Confidentialité : bilan de l'année 2015
Publié: 2015-12-31Alors que nous nous tournons vers la nouvelle année, une chose est claire : en 2016, les annonceurs et les spécialistes du marketing devront améliorer leur jeu lorsqu'il s'agit de se connecter avec l'utilisateur final. Le défi? Créer des expériences qui respectent les droits individuels à la vie privée et maintiennent l'engagement de l'utilisateur final.
C'est donc le bon moment pour prendre du recul et réfléchir à la question de savoir si vos pratiques de données existantes approfondissent ou nuisent à la confiance avec vos utilisateurs. Et rappelez-vous – vous devrez comprendre tout cela à un moment où les individus se désengagent des publicités en ligne en nombre record alors que les règles du jeu continuent de changer radicalement.
Voici les principaux points à retenir en matière de confidentialité à partir de 2015 :
Consommateurs, attitudes vis-à-vis de la vie privée et bloqueurs de publicités
En 2015, les préoccupations des consommateurs en matière de confidentialité ont évolué, passant d'une peur généralisée de la surveillance gouvernementale et du suivi commercial à des préoccupations spécifiques quant à savoir si les données personnelles sont collectées, utilisées et conservées.
Dans une enquête du Pew Trust de mars 2015 , les participants ont révélé que s'ils étaient encore préoccupés par la surveillance gouvernementale dans l'ère post-Snowden, ils étaient également préoccupés par la collecte et l'utilisation des données par des acteurs privés et commerciaux. Plus précisément, les participants à Pew ont montré une méfiance marquée à l'égard de la publicité en ligne : 76 % des adultes interrogés ont répondu qu'ils n'étaient pas "entièrement convaincus" que "les enregistrements de leur activité conservés par les annonceurs en ligne qui placent des annonces sur les sites Web qu'ils visitent resteront privés et sécurisés". ”.
Existe-t-il un lien entre les attitudes exprimées dans l'enquête Pew et la plus grande préoccupation des médias numériques en 2015, à savoir l'essor fulgurant et l'adoption de la technologie de blocage des publicités ?
photo de l'agence Spoon
Les chiffres semblent suggérer que c'est le cas. L' association professionnelle des éditeurs en ligne, Digital Content Next (DCN), a publié les résultats d'une enquête qui a révélé que plus d'un tiers des consommateurs américains essaieront les bloqueurs de publicités au cours des trois prochains mois, et environ la moitié de ce nombre finira par se retirer. de la publicité basée sur les centres d'intérêt.
Et ces chiffres sont susceptibles de continuer à augmenter, avec la sortie par Apple d'une fonctionnalité dans iOS 9 qui permet aux utilisateurs d'activer le blocage des publicités mobiles - une expérience utilisateur un peu maladroite car vous devez télécharger une application de blocage des publicités pour profiter de ce blocage. fonctionnalité (et probablement l'une des raisons du nombre record de téléchargements d'applications de blocage des publicités après la sortie d'iOS 9).
Emporter?
Examinez attentivement vos déclarations et avis de confidentialité. Pensez-vous qu'ils fournissent une vision claire de pourquoi et comment vous collectez et utilisez les données de l'utilisateur final ? Il est peut-être temps de faire preuve de créativité avec votre politique de confidentialité et d'en penser à une qui intègre du son, des graphiques ou même de l'animation dans le format. Avoir une politique de confidentialité qui explique votre valeur à vos utilisateurs sous une forme digeste et gère les attentes concernant l'utilisation et le partage des données devrait aider à repousser les nombres record de refus. Et bien sûr, vous souhaitez mettre à jour en permanence votre politique de confidentialité et tenir les utilisateurs informés des changements importants.
Le PDG de TUNE, Peter Hamilton, pense en fait qu'il y a un avantage au blocage des publicités, puisque les consommateurs vous disent essentiellement ce qui ne fonctionne pas pour eux en bloquant vos publicités. Découvrez ses conseils pour repenser l'expérience publicitaire digitale dans cet article Mediapost de décembre .
La FTC continue de signaler une application stricte en 2015
2015 a été une année chargée et importante pour la FTC.
L'agence a remporté une grande victoire lorsque son autorité de sécurité des données a été confirmée par le troisième circuit - une affaire très médiatisée impliquant des hôtels Wyndham (voir mon article de blog de septembre ici pour en savoir plus sur l' affaire Wyndham et son impact potentiel). Mais il a également subi un revers lorsqu'un juge de droit administratif a rejeté son affaire de sécurité des données contre LabMD - arguant que l'agence n'avait pas réussi à prouver un élément important d'une affaire d'injustice de la FTC - que le manque de pratiques de sécurité causait ou était susceptible de causer "un préjudice substantiel". aux consommateurs ».
La FTC a continué d'être l'autorité la plus active au monde en matière de respect de la vie privée, intentant des actions fondées sur des lois telles que la loi sur la protection de la vie privée en ligne des enfants (COPPA) et la loi sur les rapports de crédit équitables (FCRA), ainsi que sur les termes «trompeurs» et «trompeurs» de l'agence. injustice » en vertu de l'article 5 de la loi FTC. La FTC a également poursuivi plusieurs initiatives politiques, y compris un atelier sur le suivi multi-appareils (voir le récapitulatif TUNE ici ) et la publication de directives de l'agence sur la publicité native .
L'un des cas les plus importants impliquant l'écosystème des applications a été les actions de la FTC en décembre 2015 contre deux développeurs d'applications mobiles pour violation de la COPPA. Il s'agit de quelques-unes des premières mesures d'application basées sur le partage d'identifiants techniques ou "persistants", tels qu'un IDFA ou une adresse IP, entre un développeur d'application et un réseau publicitaire. Avec ces actions, la FTC a établi que les identifiants persistants tels qu'un identifiant publicitaire ou une adresse IP constituent des "données personnelles" - dont la collecte, l'utilisation ou le partage déclenche la responsabilité de la COPPA.
Emporter?
Ces cas FTC nous rappellent que, que les données soient considérées comme personnelles ou matérielles, il est important de noter avec précision la collecte, l'utilisation et les contrôles des consommateurs (tels que l'opt-out) des données dans votre politique de confidentialité, sinon vous pourriez faire face à une application de la FTC. action. En outre, vous devez penser au-delà des meilleures pratiques en matière de confidentialité et vous assurer que vous respectez toutes les règles, en particulier si vous collectez des données à des fins couvertes par les lois américaines existantes, par exemple des données utilisées à des fins de crédit, d'assurance et d'emploi en vertu de la FCRA, et données collectées auprès d'enfants de moins de 13 ans à des fins de marketing en vertu de la COPPA.
Modifications des règles de protection des données de l'UE
L'année 2015 a vu des révisions majeures d'importantes exigences en matière de confidentialité en Europe.
En octobre, la Cour européenne de justice a invalidé le cadre de la sphère de sécurité entre les États-Unis et l'UE, le principal moyen par lequel les entreprises transfèrent des données personnelles à des fins commerciales de l'UE vers les États-Unis (plus d'informations dans cette mise à jour de l'équipe de confidentialité de Hogan Lovells). Les régulateurs américains et européens ont jusqu'à fin janvier pour décider d'un nouveau cadre de sphère de sécurité entre les États-Unis et l'UE qui sera conforme aux exigences énoncées dans l'avis de la Cour de justice.
En décembre, après près de quatre ans de négociations, la Commission européenne, le Conseil et le Parlement se sont mis d'accord sur une loi européenne révisée sur la protection des données ou « G D P R » qui imposerait des obligations importantes aux entreprises qui collectent des données auprès de l'utilisateur final de l'UE. Contrairement à la législation européenne actuelle en vertu des directives de 1995 et ePrivacy, le GDPR est un règlement qui entrera en vigueur sans qu'il soit nécessaire de mettre en œuvre une législation supplémentaire par les États membres de l'UE. Il deviendra exécutoire en tant que loi de l'UE dans le courant de 2018. Cela signifie que vous avez encore le temps d'évaluer l'impact potentiel des exigences du RGPD sur votre entreprise.
Voici quatre des développements majeurs auxquels vous devriez penser :
1. Les données pseudonymes sont désormais des données personnelles, pour toujours.
Dans le cadre du RGPD, la définition des données personnelles a été élargie pour inclure des identifiants techniques tels que les identifiants publicitaires et les adresses IP. Cela aligne la législation de l'UE sur la pensée actuelle de la FTC (comme indiqué précédemment dans cette mise à jour). La nouvelle loi prévoit également des exigences spécifiques pour les entreprises qui stockent des données dans des « profils ». En outre, le RGPD traite les données personnelles comme conservant toujours leur caractère personnel, même après avoir été hachées ou « pseudonymisées ». En conséquence, les droits de protection des données des consommateurs qui s'appliquaient traditionnellement aux données à caractère personnel en vertu du droit de l'UE (par exemple, notification, désinscription, suppression, conservation) s'appliqueront désormais aux données hachées.
Exiger que les données soient hachées est déjà une pratique exemplaire émergente pour le stockage ou le transfert de données utilisées à des fins de marketing. Ainsi, l'industrie devrait travailler ensemble pour articuler et développer une norme commune pour la sécurisation des données pseudonymes, d'autant plus que le GDPR prévoit des «codes de conduite» de l'industrie pour résoudre ce type de problèmes. Nous constatons déjà d'excellents travaux à cet égard de la part d'organisations telles que l' IAB UK et le Future of Privacy Forum et nous attendons avec impatience encore plus de discussions en 2016 (remarque : TUNE travaille avec les deux organisations ; nous sommes également membres de la FPF et siégeons à leur comité consultatif planche).
2. Responsabilité accrue des sous-traitants
En vertu de la législation européenne actuelle, les contrôleurs de données qui déterminent la manière dont les données seront traitées conservent la responsabilité principale des violations de la protection des données. Les processeurs de données comme TUNE, qui traitent les données à la demande des contrôleurs de données, n'ont pas de responsabilité principale en supposant qu'ils respectent certaines exigences (généralement consignées dans un « addendum sur le traitement des données » entre le contrôleur et le processeur).
Cependant, le GDPR augmentera la responsabilité des processeurs de données. Il existe un risque de responsabilité conjointe et solidaire pour les violations de données telles que l'accès non autorisé ou une violation de données. Dans certains cas, un responsable du traitement des données pourrait être le principal responsable des violations de données, en particulier s'il s'avère que des lacunes dans le traitement ont conduit à la violation en question ou s'il s'avère que le sous-traitant a agi davantage comme un responsable du traitement des données dans un cas particulier. De plus, les processeurs de données doivent démontrer une « responsabilité ». Et tout cela devient encore plus significatif, si l'on considère qu'en vertu du RGPD, les régulateurs peuvent imposer des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial d'une entreprise.
3. Le consentement est requis pour la plupart des types de "profilage"
La nouvelle législation de l'UE exige que vous obteniez le consentement d'un individu avant de configurer tout type de profil sur cet utilisateur (ou ses appareils). Les seules exceptions à cette règle concernent la prévention et la détection du crime. Bien qu'une norme très irréalisable de consentement explicite ait été discutée dans des projets antérieurs, la version finale de la loi prévoit une norme de consentement « sans ambiguïté ». Il reste à voir quel sera réellement ce niveau de consentement en matière d'analyse ou de tout autre type d'activité de mégadonnées. Cependant, c'est encore une autre question à laquelle l'industrie peut, espérons-le, répondre par le biais d'un code de conduite ou d'un processus similaire avec les parties prenantes.
4. COPPA
Le GDPR inclura une loi sur la protection de la vie privée des enfants similaire à la loi américaine COPPA, bien que les exigences spécifiques ne soient pas claires. Le GDPR établit l'âge du consentement à 16 ans, mais les régulateurs de la protection des données de l'UE peuvent l'abaisser à 13 ans (qui est actuellement l'âge du consentement en vertu de la COPPA américaine).
Emporter?
Le RGPD aura un impact considérable sur la façon dont les entreprises font des affaires avec les citoyens de l'UE . De nombreuses exigences - concernant le consentement, le traitement des données pseudonymes et les données des enfants - doivent encore être déterminées. Cependant, la nouvelle loi prévoit également que l'industrie jouera un rôle par le biais de codes de conduite, de certifications et d'autres mécanismes. Cela signifie que les groupes de réflexion sur la protection de la vie privée et les communautés d'associations industrielles ont un rôle important à jouer car ils aident les entreprises à naviguer dans les nouvelles exigences et proposent des normes viables pour se conformer à la nouvelle loi. TUNE se réjouit de travailler avec nos partenaires d'association existants - le Future of Privacy Forum , l' eDAA et le Privacy Law Salon - sur certains de ces efforts au cours de la nouvelle année.
Quel est votre plan de jeu en 2016 ?
Avec tout cela à l'esprit, c'est le bon moment pour commencer à réfléchir à la façon dont vous prévoyez d'améliorer votre jeu en 2016. Une nouvelle année offre l'opportunité de réengager les utilisateurs et de repenser la conformité, en particulier avec les nouvelles exigences GDPR qui se profilent à l'horizon. .
Chez TUNE, nous poursuivrons notre travail d'éducation et d'information en 2016 par le biais de nos newsletters, articles de blog et autres événements axés sur les données et la confidentialité. Nous vous contacterons également pour voir si des entreprises partageant les mêmes idées souhaitent s'associer à nous dans le cadre d'une campagne d'éducation sur Internet financé par la publicité, son fonctionnement et les avantages qu'il offre (notamment l'accès à des services tels que Gmail ou Facebook). Nous pensons que la plupart des problèmes de confidentialité liés à la collecte de données en ligne peuvent être résolus grâce à des efforts ciblés axés sur ce type d'éducation des utilisateurs finaux et des parties prenantes.
Êtes-vous intéressé à travailler avec nous sur ces efforts? Veuillez nous envoyer un e-mail , nous apprécierions avoir de vos nouvelles.
Tout le meilleur pour une très heureuse et prospère année 2016!
Remarque : Cette pièce est destinée à présenter mon point de vue sur certains événements liés à la vie privée en 2015 ; il n'est pas destiné et ne doit en aucun cas être interprété comme un avis juridique. Merci d'avoir pris une re annonce :-).
Vous aimez cet article ? Inscrivez-vous pour recevoir nos e-mails de résumé de blog.