Dans le cadre de sa préparation à l’arrivée du RGPD, Webgains a cosigné avec d’autres acteurs du milieu du marketing à la performance, la déclaration que vous trouverez ci-dessous :
————
Comme vous le savez peut-être déjà, le RGPD (Règlement général sur la Protection des Données) sera mis en place à compter du 25 mai 2018. Parce qu’il est très important de se mettre en conformité avec cette réglementation, plusieurs entreprises de l’industrie du marketing d’affiliation ont décidé de collaborer afin de fournir aux utilisateurs des informations claires et uniformisées.
Voici les entreprises signataires de cette déclaration ; affilinet, Awin, CJ Affiliate, Impact Radius, Optimise, Performance Horizon, Rakuten Affiliate Marketing, Skimlinks, Tradedoubler et Webgains.
Qu’est-ce que le RGPD ?
Le règlement Général pour la Protection des Données (RGPD) est un texte européen visant à donner un nouveau cadre légal à la gestion des données privées des internautes sur les marchés européens. On peut aussi considérer cela comme un nouvel ensemble de lois indispensable à l’ère du numérique.
Ce texte viendra remplacer les lois actuelles sur la protection des données, aussi bien au niveau national qu’européen. Le RGPD est conçu de façon à donner au consommateur les moyens de contrôler la façon dont ses données privées sont utilisées et s’appliquera de la même manière partout en Europe. Le gouvernement Britannique a par ailleurs indiqué que la loi sera appliquée également au Royaume-Uni, quelles que soient ses futures relations avec l’Europe. Le RGPD prévoit par ailleurs des sanctions assez lourdes pour les contrevenants : les amendes pourront atteindre 20M£ ou 4% du chiffre d’affaires de l’entreprise – le mode de calcul qui donnera le chiffre le plus élevé sera retenu pour le calcul de l’amende.
Les nouvelles règles
Nous avons pris en considération les points du RGPD qui nous paraissent les plus pertinents à l’instant présent pour l’industrie de l’affiliation. Cependant, il reste également pertinent de se familiariser avec tous les détails du texte afin de bien comprendre toutes ses implications. Vous trouverez des liens utiles à la fin de ce communiqué.
- Données privées
Les données privées des consommateurs sont au cœur du RGPD, et ce règlement a également élargi ce qui est considéré comme tel. Ce qui veut donc dire que des données actuellement considérées comme n’étant pas privées et qui sont donc utilisées par l’industrie de l’affiliation, peuvent devenir privées avec l’arrivée du RGPD. Même si l’on ne dispose pas pour l’instant d’une liste précise, on peut déjà considérer que des informations telles que les cookies d’identification, les numéros de clients, les adresses d’IP et les identifiants des appareils utilisés seront reclassifiés comme des informations privées. Or, ce sont des éléments souvent capturés par les réseaux et les plateformes à des fins de tracking.
Les publishers qui utilisent un système d’affiliate tracking auront pour obligation de s’assurer qu’ils sont bien en conformité avec la nouvelle loi.
Cadre légal de traitement des données
Les entreprises devront mettre en place un cadre légal pour gérer les données personnelles. Il en existe six, les deux plus répandus dans le marketing numérique étant le consentement et l’intérêt légitime.
L’intérêt légitime est différent du consentement. Selon l’Information Commissionner’s Office (ICO), “c’est probablement le système le plus approprié lorsque l’on utilise les données personnelles de l’utilisateur de façon prévisible et sans que cela ait d’impact majeur sur sa vie privée, ou lorsqu’il y a une raison évidente à cette utilisation”. Si une entreprise choisit le système de l’intérêt légitime, elle doit être à même de démontrer l’aspect effectivement légal.
Lorsque le consentement est considéré comme nécessaire, l’ICO établit que “le consentement signifie que l’on offre aux individus un vrai choix et le contrôle des données. Le consentement véritable va responsabiliser les individus, construire une relation de confiance et améliorer votre réputation”.
Les contrats sont aussi un cadre légal qui peut être applicables dans certains cas. Par exemple, lorsque des accords spécifiques ont été conclus entre une entreprise et ses clients, qui permettent à l’entreprise de collecter et de traiter des données personnelles. Certains publishers peuvent avoir ce type d’accords avec leurs utilisateurs.
Compte tenu des disparités de fonctionnement au sein des réseaux d’affiliation, et de la variété des canaux utilisés pour générer des ventes, il est assez complexe pour les réseaux de donner des conseils appropriés. Si des exigences normatives devaient être respectées, les réseaux en feront état au fur et à mesure.
Vous pourrez trouver des informations sur les cadres légaux ici : https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/
- La directive ePrivacy
La directive ePrivacy (aussi appelée ‘loi sur les cookies’) concerne majoritairement les bannières et pop-ups qui informent les consommateurs sur l’usage des cookies permettant le tracking de l’activité internet. Cette directive s’applique aussi aux emails, SMS et appels marketings de consentement, applicables à certaines entreprises proposant des campagnes d’affiliation.
Le RGPD ne se substitue pas à la directive ePrivacy, mais vient s’y ajouter. Cette directive est actuellement en cours de relecture, afin de s’assurer qu’elle sera bien alignée sur le RGPD une fois finalisée. L’un des objectifs de cette révision est d’améliorer la transparence auprès des consommateurs et d’introduire des procédures d’exemptions de cookies plus strictes (valable aussi pour les technologies de tracking similaires). Avec l’actuelle directive ePrivacy, l’ICO a clairement établi que le consentement était nécessaire pour pouvoir utiliser des “cookies et autres technologies similaires”. Donc, peu importe quel cadre légal vous utiliserez pour gérer les données privées, la directive ePrivacy indique qu’un consentement clair et précis est requis pour que vous puissiez utiliser la majorité des cookies, car le RGPD établit clairement que le consentement n’est acquis que s’il ne souffre d’aucune ambiguïté. Ce qui veut donc dire que les publishers devront revoir leur système de consentement en se basant sur les conseils de l’ICO, et faire les modifications nécessaires.
- La solution de consentement élaborée par l’industrie du marketing
Compte tenu de l’impact potentiellement significatif de ce règlement sur la publicité en ligne, les différents acteurs du milieu ont décidé de collaborer pour créer une approche standard généralisée. En novembre 2017, IAB Europe a annoncé l’arrivée d’une norme technique pour le consentement en ligne, et que les acteurs du milieu travaillaient à élaborer un outil de consentement destiné à assurer le respect du RGPD et de la directive ePrivacy, lequel sera disponible d’ici à la fin mai. Vous pouvez vous inscrire ici pour être tenu au courant de l’avancement de ce projet.
Si vous décidez d’inclure un système de consentement sur votre site internet, vous pourrez utiliser des solutions gratuites disponibles sur le net. Un certain nombre d’entreprises ont développé des outils de consentement ; nous vous conseillons donc de les essayer afin de trouver celui qui correspond à vos besoins. Vous trouverez beaucoup d’outils en ligne, disponibles avec plus ou moins d’options, et nous vous conseillons de bien vous assurer qu’ils sont bien conformes aux nouveaux textes de lois.
Par ailleurs, les entreprises listées plus hauts sont à votre disposition pour vos apporter leur aide.
- Ce que les publishers devront faire
- Les publishers doivent déterminer à quel degré le RGPD est susceptible d’impacter leur activité, et doivent également conserver la trace des mesures prises pour se mettre en conformité.
- Les publishers doivent s’assurer que tout est transparent pour le consommateur, et décider quel est le cadre légal le plus adapté pour collecter et traiter les données personnelles des utilisateurs du site.
- Les publishers doivent contrôler et mettre à jour les dispositions relatives à la vie privée et les informations sur les cookies proposées par leur site, afin de s’assurer d’une transparence complète ; et également s’assurer d’obtenir un consentement clair et sans ambiguïté.
- Les publishers doivent prendre leurs responsabilités et se faire conseiller sur le plan légal par leurs propres moyens. Ce communiqué n’a pas vocation de conseil juridique et n’a pas de valeur légale.
- Les publishers doivent se renseigner auprès des réseaux et plateformes dont ils dépendent s’ils souhaitent obtenir de l’aide et des conseils spécifiques pour se mettre en conformité avec le RGPD.
L’arrivée du RGPD implique que de nombreux changements devront être effectués au sein des entreprises, et l’impact de cette nouvelle loi est encore inconnu. Cependant, l’impact potentiel peut être limité si l’on fait l’effort de comprendre ce qui est requis et que l’on prend les mesures nécessaires à la mise en conformité avec ce règlement. La date du 25 mai 2018 marque le commencement d’une nouvelle ère pour le respect de vie privée sur Internet.
En tant qu’entreprise, il est très important que vous soyez bien conscient de vos obligations au regard du RGPD ; et que vous fassiez tous les ajustements nécessaires pour vous mettre en conformité. N’hésitez pas à vous renseigner via les liens ci-dessous, et prenez aussi le temps de réfléchir aux conseils que nous vous avons fourni ci-dessus.
Liens utiles (en anglais) :
Directive ePrivacy : https://www.iabuk.net/policy/briefings/iab-factsheet-eu-eprivacy-regulation
IAB GDPR Hub : https://www.iabuk.net/gdpr-hub
Guide ICO du RGPD : https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
Le Guide ICO des Data Controllers et des Data Processors : https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf
Système de consentement IAB : https://www.iabeurope.eu/policy/gig-working-paper-on-gdpr-consent/