Les acteurs de la publicité sur Internet via l’IAB viennent d’éditer un guide relatif à l’application du RGPD à leur activité.
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Il vise à encadrer la légalité des traitements des données personnelles faites par les sociétés domiciliées en Europe ou par les sociétés étrangères qui traitent des données de citoyens européens.
Ce texte évoque à plusieurs reprises les codes et les usages et invitent autant que possible les intervenants à s’y référer ou même à en concevoir afin qu’ils puissent servir de référentiel.
L’article 40 précise notamment que « Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises. »
Les codes doivent être validés par la CNIL (ainsi que toute évolution de ces codes). Si un code à vocation à concerner des activités de traitements impliquant plusieurs pays de l’UE, l’organisme de contrôle (la CNIL) doit transmettre le projet de code au Comité européen de la protection des données qui est une nouvelle instance créée par le RGPD. Le comité validera le projet de code et le transmettra, à son tour, à la Commission européenne pour une ultime validation et publication.
Passé tous ces écueils le code sera reconnu d’application générale dans tous les pays de l’UE.
Le code de l’IAB n’en est pas encore là mais il a le mérite de rappeler clairement les règles principales du RGPD appliquées à un secteur d’activité : notamment les principes de transparence, de minimisation des données et de sécurisation.
Il évoque le rôle des agences de publicités digitales dans le cadre du RGPD.
Le guide considère notamment qu’elles devraient être considérées comme co-responsables du traitement avec les éditeurs des sites dont elles gèrent l’attribution des espaces publicitaires.
La question peut en effet se poser de savoir si dans ce cadre l’agence doit être vue comme sous-traitant de l’éditeur du site ou comme co-traitant à savoir d’égal à égal.
Le guide prône la seconde option dès lors que l’intermédiaire, à savoir l’agence, fixe également les conditions de traitement des données pour permettre l’affichage de la publicité.
Le guide rappelle que le principe de légalité d’un traitement repose sur le consentement de la personne concernée si ce traitement est susceptible de produire un effet juridique. L’IAB estime toutefois que ce n’est pas le cas majoritairement de la publicité en ligne (à la différence des opérations promotionnelles sans doute). Dans ce cas il est possible de se passer du consentement de la personne et de justifier du traitement par l’intérêt légitime de l’annonceur ou du support.
Cela implique toutefois d’avoir préalablement évalué cet intérêt légitime en le confrontant aux risques vis-à-vis des droits et libertés des personnes (le guide liste les questions à se poser pour réaliser cette évaluation). Une telle évaluation pourra être sollicitée de la CNIL en cas de contrôle.
On peut également noter que d’autres guides dans le domaine de la publicité avaient fait l’objet d’une validation par la CNIL sous l’empire de la loi de 1978 :
– Code de conduite sur l’utilisation de coordonnées électroniques à des fins de prospection directe de l’Union Française du Marketing Direct (UFMD)
Ce code propose des exemples de mentions de recueil du consentement des personnes concernées. Il rappelle que le consentement ne peut être présumé et qu’il ne doit pas non plus être dilué dans les conditions générales de vente. Une annexe spécifique aborde également la question des opérations de parrainage.
– Code de déontologie de la communication directe électronique du Syndicat National de la Communication Directe (SNCD)
Ce code propose des exemples de mentions de recueil du consentement des personnes, préconise l’apposition d’une case à cocher sur chaque formulaire de collecte. Il rappelle que le consentement ne peut être présumé et qu’il ne doit pas non plus être dilué dans les conditions générales de vente.
– Code de déontologie des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel de la Fédération des entreprises de vente à distance (FEVAD)
– Code de déontologie européen en matière d’utilisation de données à caractère personnel dans le marketing direct par the Federation of European Direct and Interactive Marketing (FEDMA)
La multitude de codes ne rend pas aisé de fixer des règles stables dans le domaine de la publicité ou du marketing en matière de traitement de données personnelles. Pour le moins ces codes ont le mérite de permettre une approche pragmatique à des questions d’ordre assez général soulevées par la loi Informatiques et Libertés et maintenant par le RGPD.