Comme dans d’autres secteurs également avertis depuis longtemps, la pub ne semble pas mesurer l’importance de la mise en conformité avec le règlement européen sur la protection des données personnelles. La plateforme legaltech, Privacy On Track, peut l’y aider.
Le 25 mai 1787, peu après la fin de la guerre d’Indépendance qui a chassé les Anglais de leurs treize colonies d’Amérique, une Convention s’ouvre à Philadelphie. Les représentants des nouveaux états se réunissent pour se donner une constitution fédérale, celle des Etats-Unis. Le 25 mai 2018, un autre texte constitutif fondateur va entrer en vigueur pour protéger les citoyens de dataland, mais cette fois en Europe. Dans six mois, le RGPD débarque et la pub ne pourra pas dire qu’elle a été prise de court.
En avril 2017, 45% des entreprises privées ou publiques ne connaissait toujours pas la date butoir pour être en conformité avec le futur règlement européen sur la protection des données personnelles. INfluencia s’en étonnait alors. Or y faire défaut est source de sanctions et surtout peut empêcher de jouer dans la même cour que ceux qui seront dans les clous. L’action s’impose d’autant que le process ne se fait pas du jour au lendemain. Avec la plateforme Privacy On Track, Staub Associés, expert en droit de la data, et ATEP Services, proposent une nouvelle solution globale de mise en conformité.
Parmi les principaux chantiers de la mise en conformité à la GDPR avant le 25 mai 2018, les entreprises doivent réaliser une cartographie de leur traitement de données personnelles, mettre en oeuvre une gouvernance de la data, et être en mesure de justifier à tout moment de leur mise en conformité (accountability). Bref, il y a du boulot pour les Data Protection Officers. Et pour toute une industrie publicitaire data-centric qui joue très gros. Trois questions à Sylvain Staub, président de la legaltech, Privacy On Track.
IN : qu’est-ce que le RGPD va concrètement changer pour les industries du marketing et de la pub ?
Sylvain Staub : pour elles, il est évident que la mise en œuvre obligatoire du RGPD, le 25 mai 2018, constitue une priorité absolue. Il y a déjà des années que nous pouvons parler d’une économie centrée sur la data, reposant sur une exploitation massive de la data, elle-même collectée de manière empirique et quasi systématique. La publicité a changé d’époque puisqu’elle est désormais personnalisée, contextuelle et comportementale. Toutes les pratiques de tracking, d’adexchange, de retargeting ou d’onboarding sont directement visées par le RGPD, et le seront plus encore par le futur règlement européen e-Privacy attendu en 2018.
IN : les industries data-centrées ont-elles bien compris les enjeux cruciaux de la GDPR ? Tirez-vous une sonnette d’alarme ?
S.S. : nous rencontrons un grand nombre d’entreprises data-centrées qui nous demandent de les aider à se mettre en conformité avec le RGPD et à se préparer à l’e-Privacy. Toutefois, nous constatons aussi à travers les conférences, formations ou salons professionnels auxquels nous participons que beaucoup d’entreprises actrices du big data n’ont aucune idée des actions à mettre en œuvre concrètement. Il est peut-être encore un peu tôt pour tirer la sonnette d‘alarme, mais à l’évidence, ces entreprises devraient avoir d’ici la fin 2017 identifié qui va se charger début 2018 de ce chantier, avec quelle solution de cartographie, de registre et de pilotage, avec quel support juridique et dans le cadre de quelle gouvernance… A défaut, elles se dirigent vers de vraies difficultés avec les autorités, mais aussi avec leurs partenaires commerciaux qui vont leur demander des gages de conformité puisque le principe de co-responsabilité est centrale dans le RGPD.
IN : vous dites que Privacy on Track est la legaltech des DPO. Qu’est-ce qui justifie le besoin d’une plateforme collaborative comme la vôtre ?
S.S. : le RGPD impose aux entreprises un très grand nombre d’obligations relatives aux modalités de collecte, de traitement et de sécurisation des données. Cela passe par la cartographie des traitements bien sûr, mais aussi par la cartographie des données, seule à même de pouvoir répondre aux demandes des personnes concernées et aux alertes de sécurité. Ces cartographies ainsi que le registre des données qui en découle, ne peuvent être qu’automatisés. D’une part, parce qu’avec des moyens classiques d’ateliers et questionnaires, le temps d’exécution est beaucoup trop long pour des équipes déjà surchargées. Et d’autre, part parce qu’avec les outils habituels comme les tableurs Excel, la mise à jour est très laborieuse et donc l’obligation de conformité permanente et documentée (accountability) ne peut être satisfaite. Enfin, dans la plupart des structures, la question de la data touche un grand nombre de directions (SI, sécurité, CRM, Digitale, juridique, RH, métiers…) et suppose un partage d’informations et donc une solution documentée et collaborative.
Photo de Une : Evan Kirby
