Afin que nous puissions continuer à collecter des données sur les internautes européens et leur adresser de la publicité ciblée, vous voudrez bien obtenir leur consentement en notre nom.
Google s’apprête, selon le Wall Street Journal, à faire passer ce message aux éditeurs en prévision de l’entrée en application, le 25 mai 2018, du RGPD.
Le texte abrogera la directive 95/46/CE en tant que nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Il établit notamment une distinction entre les responsables de traitements de données (qui en déterminent la finalité et les moyens) et les sous-traitants (qui exécutent lesdits traitements).
Sur le volet publicitaire, Google entre dans la première catégorie avec quelques-uns de ses produits, comme Customer Reviews.
Dans de nombreux cas, notamment sur les offres AdWords et DoubleClick, le groupe américain agit en sous-traitant pour le compte d’éditeurs. Ces derniers sont quant à eux considérés comme responsables de traitement. Pas nécessairement parce qu’ils déterminent la finalité et les moyens, mais en vertu de la « possibilité technique » qu’ils ont de ne pas transmettre les données collectées.
Sous le régime du RGPD, les responsables de traitement doivent solliciter, avant tout recueil de données, le consentement « libre, spécifique, informé et explicite »* des citoyens de l’UE auxquels ils fournissent des produits ou des services.
Google met cette exigence à profit pour éviter d’avoir à convaincre lui-même les internautes. Une situation qui pourrait, selon certains experts, bénéficier aux plus gros médias, leur donnant davantage de pouvoir de négociation.
Les éditeurs vont toutefois devoir repenser leurs méthodes. La notion de consentement préalable à tout traitement de données impliquera de ne pas montrer de publicité à certains internautes… avec un manque à gagner évident.
Le RGPD ne donne par ailleurs pas de blanc-seing à l’une ou l’autre méthode de recueil du consentement. Les deux tiers des entreprises sondées dernièrement par Digiday Research comptent poursuivre l’utilisation des bandeaux tels que ceux qui s’affichent aujourd’hui pour avertir du dépôt de cookies. La CNIL est moins optimiste sur l’acceptabilité de ce dispositif.
Une autre obligation va échoir aux éditeurs : ils seront responsables des actions des sous-traitants, lesquelles devront être conformes aux finalités exprimées. Il leur faudra, en d’autres termes, réaliser un inventaire de l’ensemble des entités qui exploitent des données collectées sur leur site et être en mesure de déterminer ce qu’elles en font.
* Le RGPD induit la possibilité de refuser ou de retirer un consentement « sans détriment ». La fourniture d’un service ne doit pas ailleurs pas être conditionnée au traitement de données « non nécessaires ».
Crédit photo : thedescrier via Visualhunt / CC BY
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…