La CMP : un outil essentiel à la protection des données personnelles

Le RGPD : un impact sur l’utilisation des données personnelles

Qu’est-ce que le RGPD ?

Applicable depuis le 25 mai 2018 dans toute l’Union Européenne, le Règlement Général sur la Protection des Données a apporté de nombreux changements dans l’encadrement du traitement des données personnelles sur le territoire de l’Union Européenne.
Le RGPD a ainsi fortement renforcé la loi Informatique et Libertés de 1978 qui avait pour objectif de donner un cadre juridique à l’utilisation des données personnelles des résidents français.

Les objectifs du RGPD :

Ce nouveau règlement apporte une protection supplémentaire et homogène à tous les citoyens résidant dans l’Union Européenne car il lui permet de reprendre le contrôle de sa donnée. Dans cet objectif,  l’article 5 du RGPD précise que désormais, les données des résidents de l’Union Européenne doivent être traitées de manière licite, loyale et transparente.

Le règlement européen rend les sociétés responsables du traitement des données personnelles de sorte qu’elles se conforment aux nouvelles règles énoncées et que la protection des données apparaisse comme étant prioritaire.

Ce règlement a pour objectif principal de renforcer l’information apportée aux internautes en améliorant la transparence à leur égard, et leur capacité à faire un choix quant à l’utilisation de leurs données personnelles.
Il devient alors nécessaire que les utilisateurs soient informés de manière claire, de l’usage et de la transmission de leurs données et qu’ils puissent accepter comme ne pas accepter  à tout moment le traitement qui en est fait.

Qui est impacté par l’application du RGPD ?

Le RGPD a une portée globale et va ainsi protéger tous les européens.
Il va s’appliquer à toute organisation, publique ou privée, qu’elle que soit sa taille, qui traite des données personnelles pour son compte ou non, dès lors :

-          Qu'elle est établie sur le territoire de l’Union européenne,

-          Ou que son activité cible directement des résidents européens.

Une évolution encadrée par les recommandations de la CNIL

Qu’est-ce que la CNIL ?

La CNIL, Commission Nationale de l’Informatique et des Libertés, est le régulateur du traitement des données personnelles sur le territoire français .
Elle a pour objectif principal d’aider les personnes physiques à maîtriser et protéger leurs données personnelles mais aussi à exercer leurs droits. Par ailleurs, elle accompagne les professionnels dans leur mise en conformité.
En plus de sa mission de protection des droits et de conseil, la CNIL a également un pouvoir de contrôle ainsi que de sanction, quant aux professionnels qui ne respecteraient pas les réglementations en vigueur comme celles du RGPD.

Quelles sont les recommandations adoptées par la CNIL ?

À la suite du RGPD, la CNIL a précisé les modalités d’application du règlement général européen mais aussi celle d’ePrivacy.

La CNIL a donc adopté de nouvelles recommandations et a particulièrement insisté sur l’obligation d'existence d’un consentement préalablement à tout accès à un device, et toute une utilisation d’un cookie ou d’un traceur, mais aussi sur la validité du consentement, rappelant qu’il devait être libre, spécifique, éclairé et univoque.

Ces termes n’étant pas toujours compris, nous aimerions vous aiguiller en reprenant chacun de ces  points.

• Un consentement libre : Chaque utilisateur doit pouvoir effectuer librement son choix. Cela signifie qu’il ne doit en aucun cas être contraint de choisir une option qu’il n’aurait pas souhaitée.
  De la même manière, il devient impossible pour un éditeur d’empêcher un utilisateur d’avoir accès à son site si ce dernier s’est opposé au ciblage publicitaire.
• Un consentement spécifique : Chacun doit être totalement informé de l’étendu et des conséquences du traitement des données effectué avant qu’il ne consente (finalités et partage des données).
• Un consentement éclairé : L’information affichée à l’utilisateur devra être  mise en forme dans des termes parfaitement compréhensibles afin qu’il puisse prendre connaissance  des différentes finalités de  traitement de sa donnée personnelle.
• Un consentement univoque : L’utilisateur doit être en capacité d’effectuer ses choix de manière complètement volontaire.  
  Cela passe notamment par le fait d’appuyer sur le bouton « accepter », permettant ainsi de ne laisser planer aucun doute sur la volonté de l’internaute à consentir.
  

La CNIL a également insisté sur l’un des principes fondamentaux du  RGPD : il est essentiel que l’utilisateur soit conscient du droit de retrait dont il dispose lui permettant à tout moment de retirer son consentement.
Cette possibilité doit être, pour chacun, aussi simple d’application que celle de pouvoir donner son consentement.

Afin que les entreprises puissent faire évoluer leurs systèmes dans les meilleures conditions, la CNIL laisse aux acteurs du marché un délai de 6 mois pour appliquer ces recommandations publiées en Octobre 2020 (soit jusqu’au 31 mars 2021).
Cela implique nécessairement de savoir, comment, être conforme à ces exigences.

La mise en place d’une CMP conforme aux mesures exigées

Afin de se conformer à ces exigences, les CMP sont alors devenues des outils essentiels et nécessaires à chaque éditeur de sites internet.

La CMP, acronyme de l’appellation Consent Management Platform est une plateforme technologique dédiée à la collecte, à l’enregistrement et à la restitution des choix faits par les internautes concernant la gestion de leurs données personnelles.

Cela étant, être équipé d’une CMP ne signifie pas être conforme au RGPD.

Le règlement général sur la protection des données a en effet une couverture bien plus grande que la seule application digitale, ou la publicité digitale ou encore bien plus grande que l’utilisation du consentement comme base légale de traitement des données personnelles. Cela étant, notre focus ici se concentrera uniquement sur les spécificités de la conformité réglementaire associée aux règlements ePrivacy et RGPD dans le cadre du marketing et de la publicité digitale.

En effet, dans le cadre de la mise en conformité des entreprises traitant et collectant des données personnelles par le biais du canal digital à des fins marketing ou publicitaires, les CMP sont devenues un outil essentiel de transparence et d’information pour l’utilisateur du site internet mais aussi un outil essentiel au partage et à la transmission des informations à l’ensemble de la chaîne digitale. De ce fait, afin d’être appropriée, la CMP doit se conformer totalement aux différentes exigences énoncées auparavant.

Un acteur joue, par ailleurs, un rôle important dans la conformité des CMP, il s’agit de l’IAB Europe.
En effet, l’Interactive Advertising Bureau, association qui “représente les acteurs de la publicité digitale auprès de son écosystème et accompagne le développement de l’économie de la publicité digitale”  a mis en place un standard technologique, le TCF (V1 et actuellement V2), ayant pour but de répondre aux exigences de transparence d’information et des choix des utilisateurs demandés par le  RGPD  et ePrivacy en facilitant la transmission d’informations entre les acteurs.

Le Transparency & Consent Framework permet ainsi de transmettre les différents choix réalisés par les utilisateurs, à leur arrivée sur un site internet, que ce soit leur acceptation, leur opposition,  leur absence de choix ou encore leur refus.
Cette initiative européenne apparaît donc comme une réelle opportunité pour le marché digital en ouvrant l’accès à l’information des utilisateurs à tous les acteurs de la chaîne grâce à un langage et un protocole commun à tous. Il s’agit d’un cadre qui facilite la transmission, et soutient les acteurs dans l’obtention d’un consentement valide. Elle instaure un réel cercle vertueux entre les différents acteurs.
Dans cette optique, il est donc favorable pour chaque éditeur qui diffuse de la publicité ciblée de s’assurer que sa CMP ait passé avec succès les contrôles de conformité du CMP Validator TCF V2 de l’IAB Europe.

Au même titre qu’utiliser une CMP ne signifie pas être conforme au RGPD et à ePrivacy, il n’est ni obligatoire d’utiliser une CMP sur son site Internet ni d’utiliser le framework du Transparency & Consent Framework. Cela étant dit, comme énoncé précédemment, ce standard simplifie l’application des 2 réglementations applicables et permet, si les paramètres, les protocoles et les politiques du framework sont bien respectés d’utiliser une  CMP conforme aux exigences.

Ainsi, il existe aujourd’hui des CMP qui répondent à ces exigences telle que la CMP Sirdata.
Vous avez, en effet, la possibilité de configurer vous-même votre CMP, en sélectionnant les options  comme le  design souhaité par exemple pour correspondre à l’image de votre site internet.
Pour autant, nous vous assurons qu’aucune de ces options ne pourra vous être proposée si elle n’est pas entièrement conforme à la réglementation en vigueur.
D’autant qu’en tant qu’éditeur, utiliser une CMP conforme est un gage de tranquillité car elle  évite de se confronter à des irrégularités qui pourraient amener à une sanction financière ou une mise en demeure publique appliquée par le régulateur.