A la demande de la Mobile Marketing Association France et de sa commission Publicité, le cabinet Staub & Associés est revenu sur les différents défis auquel sera confronté le marché publicitaire français dans les prochains mois.

Avec plus de 150 interactions chaque jour entre un mobinaute et son smartphone, le mobile s’est imposé dans le quotidien des Français soulevant de nombreuses questions sociétales mais également juridiques en raison d’une collecte massive de données. En effet, il est désormais possible d’historiser la navigation des mobinautes grâce à des DMP, de récolter les données des consommateurs dans des CRM et de multiplier les points de contact publicitaires au travers de DSP.

Particulièrement complexe, cet écosystème de la donnée doit par ailleurs se clarifier, sous la double impulsion de lois sur les données personnes personnelles (Règlement européen RGDP 2016-679 et futur règlement européen E-Privacy) d’une part, et de nouvelles lois (Sapin, Macron, …) visant à clarifier le fonctionnement du marché publicitaire d’autre part.

Le RGDP : une nouvelle règlementation pour les données personnelles

La notion de protection des données personnelle est née en France, en 1978, au moment de la tentative d’interconnexion des premiers fichiers informatiques de l’Etat Français. Devant le risque de créer un « big brother » en fichant toute la population française, le gouvernement avait fait machine arrière et créé la CNIL, pour contrôler la numérisation et la diffusion des données personnelles, adoptant ainsi une position en lien avec la protection des libertés publiques et de la vie privée, en tant qu’émanation de la personne, distincte de ce fait de la position qu’allaient prendre de leur côté les acteurs nord américains, qui voient avant tout dans la donnée une source économique de création de richesse.

Modernisée en 2004 et renforcée avec la loi pour la confiance dans l’économie numérique (LCEN), qui clarifiait la prospection électronique par email, push ou SMS, le cadre législatif s’apprête à vivre une nouvelle révolution avec le RGDP, le règlement européen de protection des données. Celui-ci est le fruit d’un compromis entre la protection de la vie privée, et les grands principes fondateurs du marché économique européen (libre circulation des données, marché unique européen, charte des droits fondamentaux).

Le nouveau cadre règlementaire, commun à toute l’UE, ne repose plus sur une déclaration CNIL et la peur d’un éventuel contrôle pour non-conformité, mais sur un respect constant, technique et organisationnel, des exigences de sécurité  et de protection des données personnelles.

« Les entreprises doivent pouvoir expliquer quelles données elles collectent, dans quel but, à qui elles les envoient, combien de temps elles les conservent et surtout désormais comment elles sont protégées, pendant toute la durée du traitement. Cela concerne les données identifiant directement le consommateur (nom, prénom, photo, données biométriques, …) mais aussi les données indirectement identifiantes (numéro de téléphone, mail, numéro de badge, adresse IP, géolocalisation, données comportementales captées via les réseaux et matchées avec les données personnelles…) permettant d’identifier le consommateur en les croisant avec d’autres bases de données » explique Thomas BEAUGRAND, Avocat au sein du cabinet Staub.

Le RGDP instaure ainsi plus grands principes :

– Principe de loyauté et transparence, avec d’information préalable et circonstanciée des consommateurs, d’explication du but de cette collecte et d’obtention du consentement de leur part ;

– Principe de proportionnalité et de minimisation avec l’arrêt des collectes massives au profit d’une collecte ciblée avec une finalité clairement identifiée ;

– Principe de co-responsabilité : le sous traitant est tout aussi responsable que l’annonceur dans la protection des données personnelles ;

– Principe de sécurité : la confidentialité autour des données exige des dispositifs et des procédures de sécurité avec une notion de « privacy by design » ou de « security by default » directement dans le code source de l’application ;

– Principe de conservation limitée : La loi imposait déjà une détention maximale des coookies de 13 mois et le RGDP confirme ce principe en réclamant également des systèmes de purge automatique, afin que la donnée ne soit pas conservée ad vitam aeternam.

Vous pouvez lire la suite de l’article sur le site de la Mobile Marketing Association France en cliquant sur ce lien.