Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

04/05/2023

Cybersecurity Insights

Régie publicitaire et protection des données personnelles

Selon le rapport d’activité 2021 de la CNIL, publié le 11 mai 2022, 89 des 135 mises en demeure prononcées par l’autorité de contrôle ont porté sur les cookies.

En plus de ces mises en demeure, la CNIL a prononcé des sanctions pour les cas les plus graves, notamment à l’égard des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.

La publicité ciblée présente de nombreux enjeux relatifs à la protection des données personnelles. D’une part il s’agit d’un domaine où, d’un point de vue business, une large collecte des données est nécessaire. D’autre part, ces acteurs doivent veiller à ce que ces traitements de données personnelles se réalisent dans des conditions optimales du point de vue de la protection des données personnelles.

 

La régie publicitaire, un des acteurs principaux dans le domaine de la publicité, est directement confrontée à ces enjeux.

 

Cet article a pour objet de présenter les enjeux liés à la protection des données personnelles auxquels les régies publicitaires sont confrontées, et de présenter un processus de mise en conformité pour répondre à ces enjeux.

 

La régie publicitaire a pour rôle de commercialiser des espaces publicitaires. Elle met en relation des annonceurs qui souhaitent diffuser des publicités et des entreprises de média qui mettent à disposition des espaces publicitaires afin de monétiser leur audience. Ainsi la régie publicitaire agit en tant qu’intermédiaire entre les annonceurs et des médias ou groupements de médias.

Les données personnelles dans tout ça ?

Dans le cadre des activités de la Régie publicitaire, cette dernière est amenée à effectuer des traitements de données personnelles, notamment dans les activités suivantes :

  • Gestion des cookies
  • Mesure d’audience
  • Newsletter et autres activités marketing
  • Activités de prospection commerciale
  • Gestion des requêtes publicitaires dans le cadre de la TV segmentée

A travers les divers traitements de données personnelles que la régie publicitaire est amenée à réaliser, de nombreux enjeux relatifs à la protection des données personnelles se présentent.

 

  • Gestion des cookies et validité du consentement
  • Respect du principe de minimisation de la collecte des données
  • Transferts de données personnelles hors Union européenne. Comment réaliser des transferts vers les Etats-Unis tout en étant conforme au RGPD ?
  • Validité du consentement dans le cadre des Newsletters et autres activités marketing
  • Utilisation d’outils conformes au RGPD, notamment pour les mesures d’audience (l’exemple de Google Analytics)
  • Conformité des activités de profilage aux fins de publicité ciblée en ligne
  • Data mining
  • Sécurité des données
  • Prospection commerciale.

Ces sujets feront l’objet de fiches pratiques, comprenant une présentation des enjeux en matière de protection des donnés personnelles ainsi que les points clés de conformité devant être traités.

 

La première fiche s’intéresse à la mesure d’audience et plus précisément à la transition vers un outil conforme au RGPD, avec l’exemple de Google Analytics. Vous pouvez la télécharger en cliquant ici.

Les risques de la non-conformité

En cas de non-conformité au RGPD constatée par la CNIL, au-delà du risque de faire l’objet d’une lourde sanction pécuniaire (jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé des deux étant retenu), la CNIL peut également limiter temporairement ou définitivement un traitement ou encore suspendre les flux de données.

 

Prenons l’exemple du traitement de newsletter marketing, dans lequel la case à cocher pour recevoir les newsletters est pré cochée et que d’autres manquements sont constatés. La CNIL pourrait, dans ce cas, limiter définitivement le traitement en demandant que les opt-in collectés durant le laps de temps de l’état de non-conformité au RGPD soient supprimés. Les conséquences d’une telle décision sont désastreuses et réduisent à néant le travail et les efforts réalisés par la régie publicitaire pour se constituer une base de données.

Le processus de mise en conformité.

Le processus de mise en conformité au RGPD s’établit sur un temps long et s’inscrit dans un processus continu.

 

La première étape du processus de mise en conformité, consiste à désigner les pilotes de cette mise en conformité. Il peut s’agir par exemple du DPO, du RSSI, de référents numériques ou encore de relais informatique et libertés. L’idéal théoriquement serait de constituer une équipe composée de plusieurs membres, et éventuellement désigner des référents métiers. Toutefois, cet idéal théorique n’est pas forcément la solution la plus adaptée à la réalité de l’entité. Ainsi, selon la taille de l’entité, son activité, et ses besoins en termes de conformité au RGPD, il conviendra de constituer une équipe, plus ou moins grande, qui se chargera de la conformité au RGPD.

 

La deuxième étape est fondamentale, et vous l’avez peut-être déjà réalisée, il s’agit de cartographier les traitements de données personnelles. Il s’agit d’identifier les traitements de données, les données traitées, les finalités de traitements ainsi que les éventuels risques pour les personnes concernées. En pratique, vous pouvez vous aider d’un outil, d’un tableau Excel, ou encore construire votre propre outil. L’idée est d’avoir une vision globale des traitements de données personnelles réalisés et d’identifier les chantiers de mise en conformité au RGPD. Par ailleurs, en réalisant cette étape, vous faites un pas de plus vers la conformité au RGPD en répondant à l’obligation de l’article 30 du RGPD.

 

Maintenant que vous avez une vision d’ensemble des traitements de données personnelles et que vous avez identifié les éventuels risques pour les personnes concernées, vous pouvez passer à la troisième étape qui consiste à établir un plan d’action. Le plan d’action doit être adapté à l’entité et aux besoins relatifs à la conformité au RGPD.

 

Une fois le plan d’action construit, il convient de le réaliser en documentant les actions menées. Afin de suivre l’avancée du plan d’action et d’identifier les éventuelles difficultés rencontrées, il convient de prévoir des évaluations du plan d’action avec les pilotes identifiés.

Maria IDJOUBAR

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

2 juin 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
Read more
26 mai 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
Read more
4 mai 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.
Read more
3 mai 2023
L'objet de cette fiche vise à vous aider à réaliser la transition vers un outil de mesure d'audience conforme au RGPD.
Read more
28 avril 2023
Le terme APT, Advanced Persistant Threat, désigne un type d’attaque perpétré par des groupes professionnels, opérant dans des structures banalisées, pilotées et financées par des États.
Read more
24 avril 2023
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits et les libertés des personnes physiques sont-ils garantis ?
Read more
18 avril 2023
Alors que la loi d’orientation et de programmation du ministère de l’Intérieur (ou LOPMI), a été adoptée le 24 janvier 2023, les débats parlementaires qui l’ont animée ont fortement relancé la question de l’assurabilité des rançongiciels, mais aussi de leurs paiements toujours plus nombreux en France.
Read more
14 avril 2023
Les applications de l’intelligence Artificielle ne cessent de se multiplier, il est aujourd’hui de plus en plus difficile d’y échapper au quotidien. C’est également vrai pour les entreprises qui pour éviter de se laisser dépasser doivent apprendre à définir leur propre cadre éthique et pour cela il est important d’avoir les bons réflexes.
Read more
11 avril 2023
Chaque personne et chaque organisation doit se préparer à surmonter et à réagir aux incidents de cybersécurité. retrouvez les fiches pratiques à télécharger.
Read more
10 avril 2023
Dans un arrêt du 8 mars 2023 (21-12.492), la chambre sociale de la Cour de cassation a fait primer le droit à la preuve sur le droit à la protection des données à caractère personnel, dans le cadre d’un litige prud’homal.
Read more
The crew
Cyber Security
Cloud & Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram