Le 25 mai 2018 est une date importante pour les citoyens de l’Union Européenne car il s’agit du jour où le Règlement Général européen sur la Protection des Données (RGPD) entrera en vigueur. Le RGPD remplace la directive sur la protection des données personnelles adoptée en 1995 et harmonise les différentes lois relatives à la protection des données des 28 États membres, y compris le Royaume-Uni. Chez Criteo, nous considérons que la fiabilité et la cohérence en matière de protection des données et de la vie privée est un jeu gagnant-gagnant, tant pour les entreprises que pour les clients que nous servons.
Depuis notre création en 2005, nous avons toujours démontré que la technologie que nous proposons est à la pointe de la sécurité et de la protection de la vie privée, tout en répondant aux attentes de nos clients grâce à une publicité personnalisée et pertinente. En tant qu’entreprise internationale avec d’importantes représentations dans plusieurs pays de l’UE, nous nous sommes toujours conformés aux exigences locales, comme nous le faisons partout dans le monde.
En réalité, nous respectons déjà les principes-clés du RGPD et sommes préparés pour une mise en place rapide de toute exigence supplémentaire. En outre, nous collaborons également avec nos clients et nos partenaires qui sont soumis à ces nouvelles réglementations ; nous leur proposons le soutien nécessaire et partageons avec eux les bonnes pratiques du secteur, afin qu’ils puissent parfaitement gérer cette transition. Criteo est donc prêt à relever le défi du RGPD et, le cas échéant, à faire ses meilleurs efforts pour limiter l’impact de ce nouveau règlement sur la capacité de nos clients et de nos partenaires à travailler avec nos solutions.
RGPD : une évolution, pas une révolution
De manière générale, cette réforme est une évolution qui harmonise les règles en matière de protection des données dans les 28 États membres de l’UE, tout en offrant une exécution et une application homogènes par les Autorités de protection des données (DPA) dans chaque État membre. Les objectifs du RGPD sont clairs :
- Moderniser le système juridique pour protéger les données personnelles dans une ère de mondialisation et d’innovation technologique toujours croissante.
- Renforcer les droits des individus tout en réduisant la charge administrative sur les entreprises et assurer une libre circulation des données personnelles à l’intérieur de l’UE.
- Apporter clarté et cohérence aux règles relatives à la protection des données personnelles et veiller à une application homogène et une mise en œuvre efficace partout au sein de l’UE.
Le RGPD protège la vie privée des citoyens de l’UE et s’applique à toutes les entreprises recueillant ou traitant des données personnelles sur les individus au sein de l’UE, même s’ils ne sont pas implantés dans un Etat membre de l’UE. Confirmation a été apportée, et c’est important pour l’industrie du marketing digitale, que le RGPD s’applique à toutes les informations concernant une personne physique identifiable ou identifiée, ce qui comprend les dispositifs techniques de suivi, comme les cookies et les identifiants publicitaire sur mobiles. Ces informations sont désormais couvertes par la définition des données personnelles.
Il est important de souligner que les identifiants techniques sur lesquels reposent ces dispositifs de suivi étaient déjà considérés comme des données personnelles par de nombreuses DPA, notamment en France. Ceci n’est pas une nouvelle exigence pour Criteo et nos méthodes sont déjà reconnues pour être conformes à ces exigences, tout en offrant un service de qualité à nos clients. Globalement, le RGPD prévoit six bases légales pour la collecte et de traitement informatique des données en Europe. Informez-vous sur la façon dont ces derniers s’appliquent à Criteo et à nos clients en cliquant ici.
Le consentement non-ambigu n’est pas synonyme d’opt-in
Le RGPD établit une distinction claire entre consentement non-ambigu et consentement explicite. Le consentement explicite implique un choix exprès de la part de l’utilisateur. Ceci s’applique par exemple pour la collecte de données sensibles telles que la race, la religion, l’orientation sexuelle, l’affiliation politique et la santé. En revanche, en tant que tels les dispositifs de suivi en ligne (par exemple, les cookies) sont catégorisés comme simple données personnelles. Aussi, selon le nouveau règlement, un opt-in exprès n’est pas requis en ce qui concerne les cookies de retargeting classique qui ne collectent pas de données sensibles.
Ad Choices : le point sur les droits et le contrôle des consommateurs
Depuis longtemps, Criteo a identifié une double attente : les consommateurs exigent à la fois une expérience publicitaire pertinente et un respect impeccable de leur vie privée, le tout accompagné d’un contrôle sur les annonces auxquelles ils souhaitent ou non être exposés. Et les consommateurs ont bien saisi cette subtilité. Selon une récente étude IPSOS-Criteo, 90 % des internautes européens connaissent le ciblage comportemental, et 75 % des sondés s’attendent à être exposés à des publicités qui correspondent à leurs centres d’intérêt.[1] Ils ont l’habitude des cookies et comprennent le rôle que ces derniers jouent dans le modèle économique des entreprises qui proposent des publicités en ligne qui permettent aux contenus auxquels ils accèdent d’exister.
C’est pourquoi Criteo s’est engagé dans le programme Ad Choices dès 2008, pour permettre aux consommateurs, en un simple clic, de savoir exactement où Criteo utilise leurs données et comment nous protégeons leur vie privée. Lorsqu’un internaute décide de se désinscrire, nous arrêtons immédiatement le suivi et le reciblage. Nous supprimons ensuite tous les identifiants de leurs navigateurs, ce qui nous empêche de les cibler ultérieurement. D’après la réglementation de l’UE sur la protection des données, aucune donnée concernant un client ne peut être conservées plus de 13 mois. Découvrez plus en détail nos engagements dans le programme Ad Choices en cliquant ici.
Privacy by Design : Criteo s’engage en faveur des bonnes pratiques en matière de protection de la vie privée
« Privacy by Design », c’est un engagement de longue date de notre entreprise pour une industrie respectueuse de la vie privée et de la sécurité des consommateurs et de nos clients. C’est aussi — et surtout — des méthodes de travail. En voici les principes fondamentaux :
- Comme exigé par le RGPD, nous avons désigné un Data Privacy Officer depuis 2013, épaulé par une équipe d’experts en protection et confidentialité des données.
- Ces experts sont rattachés aux équipes Product et R&D. Ils effectuent des contrôles systématiques et continus, de manière à surveiller les risques potentiels tout au long du cycle de vie de nos produits, et à réduire ces risques de manière proactive.
- L’équipe Data Privacy dispense de nombreuses formations à l’échelle de l’entreprise, fait appliquer les codes de conduite et participe à s’assurer que nous créons les meilleurs produits et services.
- Nous révisons et documentons régulièrement nos politiques internes, nous modifions nos politiques de confidentialité existantes si nécessaire et nous faisons appliquer ces politiques par nos partenaires et vendeurs.
Des mesures de sécurité à la pointe
Comme l’exige le RGPD, Criteo fait respecter des mesures de sécurité extrêmement strictes en ce qui concerne le recueil des données de nos clients. Nous utilisons des méthodes de pseudonymisation modernes, telle que les procédures de « hashing » (hachage), qui sont reconnues comme les plus fiables et efficaces dans le cadre du RGPD. Nous ne conservons jamais d’informations permettant d’identifier des clients en personne. À des fins de conformité et de performance optimale, nous stockons les données pseudonymisées des clients de l’UE dans le centre de données européen qui se trouve le plus proche d’eux physiquement.
Leader de notre industrie : investir dans la normalisation et des certifications
Criteo a déjà mis en place un grand nombre de certifications, qui sont révisées annuellement par des organismes officiels de certifications, dont :
- Les standards de la Network Advertising Initiative (NAI)
- L’IAB Europe
- Les principes d’autorégulation de la Digital Advertising Alliance concernant le ciblage comportemental en ligne
- Les principes d’autoréglementation de la Digital Advertising Alliance de l’Union Européenne
- Les principes d’autorégulation de la Digital Advertising Alliance du Canada
- La certification TrustArc Trusted Data Collection
Chez Criteo, nous considérons le RGPD comme une opportunité qui renforcera la confiance dans notre économie numérique et produira un climat de transparence, de contrôle et de confiance pour les entreprises et nos clients. Nous avons pour habitude de nous conformer aux normes les plus strictes de l’UE et nous sommes prêts à apporter tout notre expertise à nos clients et partenaires dans leur démarche pour se conformer au RGPD. Nous continuerons à publier régulièrement des articles sur les questions et des bonnes pratiques relatives à une mise en œuvre efficace du RGPD.
Alors, restez connectés !
[1] Étude IPSOS-Criteo, 2017