RGPD vs ePrivacy : ce que vous devez savoir
Publié: 2018-02-15
Le règlement général sur la protection des données (RGPD) remplace la directive sur la protection des données 95/46/CE…
…ET, il apporte avec lui, de nouvelles réglementations ePrivacy (ePR) pour les citoyens de l'UE…
…même si ces données sont stockées et traitées en dehors de l'Europe…
…à une époque où les données personnelles sont de plus en plus précieuses sur le plan économique.
C'est donc incroyablement important.
Mais aussi… hein ?
Et les articles sur GDPR semblent simplement compliquer les choses.
Par exemple….
- Le RGPD remplace la directive sur la protection des données 95/46/CE. Tout est clair?
- Le RGPD traite de BEAUCOUP plus que la seule confidentialité numérique. Il existe donc une sous-loi appelée ePrivacy Regulations pour donner des règles plus précises. Toujours clair ?
- ePrivacy Regulations remplace la directive ePrivacy, toujours avec moi ?
- Le GDPR est approuvé et deviendra loi le 25 mai 2018, prêt ?
- Chaque pays européen peut créer sa propre « saveur » de RGPD et seuls deux pays ont fait celle de deux douzaines… vous dites quoi ?
- Les réglementations ePrivacy ne seront probablement même pas prêtes d'ici le 25 mai 2018… ehhh revenez ?
Ainsi, là où les cookies sont mentionnés une fois dans le RGPD, les réglementations ePrivacy regorgent de descriptions détaillées de ce qui est et de ce qui n'est pas autorisé… mais nous manquons de cette loi finale (elle se trouve dans le projet n° 1533). Pratique non ?
Alors que faisons-nous? Quelles règles suivons-nous ?
C'est donc un gâchis, mais personne ne vous le dit. Puisque l'argent doit être fait.
D'article en article, vous découvrirez les amendes effrayantes de 20 millions d'euros (24 millions USD).
Le prix est de l'échec est, mais les règles ne sont pas claires. Alors que faisons-nous?
Nous mettons en œuvre ce que le RGPD dit, c'est ce que nous faisons.
Parce que peu importe que toutes les lois ne soient pas faites. Nous connaissons la structure de base, ce qui signifie que la législation de chaque pays peut varier légèrement. Mais nous avons les bases.
Et ce sont….
Marketing numérique et RGPD que savons-nous ?
Dans GDPR, nous savons que les cookies ne sont mentionnés qu'une seule fois. Le considérant 30 stipule :
Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole Internet, des identifiants de cookies ou d'autres identifiants tels que des étiquettes d'identification par radiofréquence.
Cela peut laisser des traces qui, notamment lorsqu'elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils de personnes physiques et les identifier.
Ils ne veulent donc pas d'identifiants uniques . Pas même dans les cookies – et sûrement pas de données personnelles.
Les données personnelles sont une version européenne des PII. Mais ohhh garçon c'est différent. Ici un tableau comparatif.
Données personnelles identifiables (PII) | Données personnelles |
|
+
|
Pour l'instant, c'est ce que nous savons.
L'intention de la loi européenne GDPR
Maintenant, vous pouvez saisir une équipe juridique et vous pouvez trouver toutes les zones grises de ce qui n'est pas autorisé. Mais commençons par comprendre l'idée centrale, l'intention derrière le règlement.
Si vous comprenez la loi, vous pouvez comprendre très clairement quand vous vous aventurez dans des hacks de confidentialité blackhat et grayhat. Et vous pouvez déterminer quels outils supprimer de votre pile et quels hacks marketing sympas vous pouvez vraiment conserver. Lire le considérant 26 du RGPD.
(Ou sautez les italiques et faites confiance au résumé que j'ai écrit après eux).
Les principes de la protection des données devraient s'appliquer à toute information concernant une personne physique identifiée ou identifiable.
Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation, qui pourraient être attribuées à une personne physique par l'utilisation d'informations supplémentaires, devraient être considérées comme des informations sur une personne physique identifiable.
Pour déterminer si une personne physique est identifiable, il convient de tenir compte de tous les moyens raisonnablement susceptibles d'être utilisés, tels que la singularisation, soit par le responsable du traitement, soit par une autre personne pour identifier la personne physique directement ou indirectement.
Pour déterminer si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier la personne physique, il convient de tenir compte de tous les facteurs objectifs, tels que les coûts et le temps requis pour l'identification, compte tenu de la technologie disponible au moment de l'identification transformation et développements technologiques.
Les principes de la protection des données ne devraient donc pas s'appliquer aux informations anonymes, à savoir les informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou aux données à caractère personnel rendues anonymes de telle manière que la personne concernée n'est pas ou plus identifiable.
Le présent règlement ne concerne donc pas le traitement de ces informations anonymes, y compris à des fins statistiques ou de recherche.
Bref, ma version : Les données personnelles (et c'est beaucoup) ne doivent être collectées qu'avec un intérêt légitime (dans un autre article, plus à ce sujet), ou en échange d'un consentement, dans le cadre d'un contrat. Il existe quelques exceptions supplémentaires qui ne s'appliqueront pas à 90 % des spécialistes du marketing numérique, mais vous pouvez toutes les lire ici.
Lorsque vous collectez des données personnelles, celles-ci doivent être…
- stockés en toute sécurité à l'intérieur de l'Europe.
- protégé.
- peuvent être effacés ou modifiés sur demande.
Vous devez également être prêt à signaler une violation de la sécurité de ces données dans les 72 heures suivant sa survenance. Assurez-vous donc d'être en mesure d'informer les personnes concernées et les autorités si cela devait se produire.
Les Européens veulent cette loi, elle s'étend bien au-delà de l'Europe et elle touche toutes les bases de données dans le monde où les Européens sont stockés avec une certaine forme de données personnelles.
"Mais Dennis, tu oublies..."
Évidemment, j'oublie des tonnes et des tonnes de choses. Il s'agit de plus de 300 pages de loi GDPR et de plus de 100 sur le projet de règlement ePrivacy 1533. Mais l'idée est claire.
Le stockage de données personnelles vous affectera en tant que propriétaire du marketing numérique car vous devez demander votre consentement.
Quoi? Consentement? Oui, consentement explicite !
Ouais. Vous devez expliquer aux visiteurs du site Web, aux prospects et aux clients, comment vous collectez et stockez leurs données. Ne l'utilisez pas d'une autre manière que celle que vous partagez.
Alors non… en vous inscrivant à ce livre blanc, vous acceptez les termes bla bla personne ne le lira.
À la place….
"<case à cocher non cochée> J'accepte qu'en téléchargeant ce livre blanc, je reçoive un e-mail avec le livre blanc.
<case à cocher non cochée>, je consens à un appel téléphonique d'un représentant de la société X. »
Bon sang… cela va faire baisser les taux de conversion, n'est-ce pas ?
Ouais probablement.
Désolé, ce n'est pas ma loi...
Que pouvez-vous faire sans consentement ?
Vous pouvez utiliser n'importe quel outil de votre pile qui ne stocke pas d'ID de cookie et ne stocke pas de données personnelles. Pas d'empreintes digitales et autres astuces désagréables pour éviter les cookies…
Ainsi, aucun identifiant de cookie, aucun identifiant unique et aucun stockage de données personnelles sur les sites Web de ces outils ne sont autorisés.
Convert Experiences (notre logiciel de test A/B) fonctionnera sans ID de cookie ni identifiant unique et sans stockage de données personnelles. C'est donc quelque chose à rechercher lorsque vous évaluez vos outils de marketing.
Il semble que l'analyse Web (comptage des visiteurs) sera autorisée, mais les outils et fonctionnalités d'analyse autorisés ne sont pas clairs à 100 %. C'est à ePrivacy Regulations – une loi, qui encore une fois, n'est pas terminée.
Alors vaut-il la peine de demander le consentement? Peut-être…
Il faut donc demander un consentement clair, par type (groupe) d'outils.
Ce qui vous met dans une position délicate.
Si vous exécutez 10 outils de reciblage qui combinent les recherches historiques, les visites de pages, etc. ? Mettez-les dans un groupe et voyez si vous pouvez expliquer clairement l'avantage aux visiteurs, afin qu'ils consentent.
Pas de cases pré-cochées… pas de pots-de-vin, pas de murs de cookies…
Et ces outils ne peuvent fonctionner QUE si un visiteur leur donne le feu vert. Même pour les spécialistes du marketing les plus intelligents, vous envisagez une réduction du trafic.
Il y a beaucoup plus à apprendre.
Et donc nous documentons les zones grises.
Voici quelques bons points de départ :
- Comment mener une campagne de renouvellement d'autorisation GDPR réussie : un guide étape par étape
- Le piratage de la croissance vous mène-t-il à de lourdes amendes ? Ajustez votre stratégie sortante pour le RGPD.
- Comment acheter un logiciel de test A/B conforme au RGPD
- Comment convertir en commerce électronique à l'ère du RGPD