Une réforme de la réglementation en matière de protection des données personnelles est en cours en Europe et ad-exchange.fr vous en fait régulièrement écho. Pour mesurer l’impact que le nouveau règlement européen aura sur l’activité des acteurs de l’industrie du marketing, des médias et de la publicité en ligne, nous consacrons une série à ce sujet et interrogeons aujourd’hui Sarah Wanquet, directrice juridique et correspondante Informatique et Libertés d’Acxiom. Étant parmi les acteurs majeurs du secteur de la « data » au niveau mondial, et très actif en France, Acxiom fournit aux marques, aux éditeurs et aux plateformes publicitaires en ligne des solutions leur permettant de mieux connaître leurs audiences et cibles respectives grâce notamment à la segmentation de données personnelles.
D’une manière générale, comment accueillez-vous cette réforme ?
Nous avons beaucoup œuvré en amont de la réforme pour offrir aux autorités une vision pragmatique de la façon dont on utilise les données personnelles dans notre secteur d’activité. Nous avons suivi toutes les étapes et étudié les conditions de ce texte qui pouvaient nous impacter. Aujourd’hui, le règlement est là et nous nous devons de l’appliquer. Nous sommes un groupe suffisamment solide, ce qui nous permet d’avoir les moyens de le faire.
En revanche on peut se demander si cette réforme engendrera une vraie efficacité. Je ne pense pas que ce texte apporte de réponses aux questions que les individus se posent. Il impose beaucoup d’obligations aux entreprises, une véritable succession d’informations à ajouter, qui ne simplifieront pas nécessairement la compréhension des individus. C’est une sorte de saupoudrage qui a consisté à ajouter et à renforcer plein de choses qui existaient déjà. Je vous donne un exemple, celui des mentions d’information qu’il faudra ajouter aux pages « mentions légales » et « politique de confidentialité ». Toutes ces informations ne rendront pas les choses plus claires aux utilisateurs. Vont-ils mieux comprendre ? Je n’en suis pas sure.
Même si son objectif est tout à fait louable, la mise en œuvre de cette réforme risque d’être compliquée. Pour certaines entreprises, ce sera plus simple de mettre en place toutes ces exigences car elles disposent des moyens financiers et humains nécessaires. Mais la majorité des entreprises qui traitent des données personnelles en France sont des petites entreprises. Celles-ci se trouveront démunies face à ces adaptations, ces analyses d’impact et ces changements de page web.
Pouvez-vous nous donner d’autres exemples de ces nouvelles obligations qui n’apporteront pas nécessairement plus d’efficacité d’après vous ?
On parle, par exemple, du consentement, qui est renforcé par cette législation. Ce qui est véritablement renforcé est son caractère explicite. Le texte évoque un consentement « non-ambigu ». Or, il faut déjà que les entreprises puissent savoir précisément comment adapter leurs pages de consentement. Les organisations représentatives du secteur ainsi que la CNIL devront apporter des propositions aux entreprises françaises pour qu’elles soient en mesure d’aligner leurs pratiques à ce texte. Le fait est que nous ne savons pas encore comment il faut s’adapter. Nous attendons justement le démarrage des travaux avec la CNIL.
Une réflexion collective pour la mise en place de cette réforme aura lieu en France ?
Oui, Isabelle Falque-Pierrotin, présidente de la CNIL, l’avait annoncé dès l’automne 2015, lors de l’Université des correspondants Informatique et Libertés. La CNIL souhaite se positionner en tant que force de proposition, organiser une réflexion collective et collaborer avec l’ensemble des acteurs de la chaîne pour définir la manière dont on mettra cela en place concrètement.
Pouvez-vous nous donner d’autres exemples encore ?
Prenons le principe du « droit à l’oubli ». C’est aujourd’hui quelque chose qui ne s’applique pas de la même manière selon qu’il s’agit de bases marketing ou des profils dans les réseaux sociaux.
Pour nous la condition de l’oubli ne doit pas exister parce que nous ne conservons pas de données de navigation, des photos, des commentaires sur des pages type réseaux sociaux. Nous avons des données de contacts et de profils de consommateurs. Si demain une personne nous écrit pour plus que nous n’utilisions ses données, notre obligation est de respecter sa volonté. Nous allons retirer ces informations de nos bases et les mettre dans une blacklist qui va nous permettre de les maintenir systématiquement exclues à chaque mise à jour. Nous devons garder une trace de cette volonté de se faire oublier.
En revanche on voit bien la nécessité d’intégrer un « droit à l’oubli » dans le cas d’un adolescent qui a un profil sur un réseau social, qui échange des photos et des commentaires. Il faudra donc nuancer cette exigence en fonction de chaque d’activité. Chez Acxiom nous travaillons sur une base anonyme. Nous avons des bases de données personnelles que nous rendons anonymes. Nous créons des segments, des groupes d’individus, qui sont reportés de manière individuelle grâce à des identifiants.
Que voulez-vous dire par « reportés de manière individuelle » ?
Nous sommes capables de dire qu’un ordinateur, un navigateur donné, correspond à tel segment. Mais quand je regarde ces segments en ligne, je ne suis pas capable d’identifier la personne qui est derrière l’écran, autrement ce ne serait pas de la donnée anonyme mais pseudonyme. Si demain je suis dans un process d’onboarding de la donnée de votre banque, j’anonymise ce fichier bancaire et je crée des segments de profil client. Après ce travail, nous ne savons pas qui est qui dans tel ou tel groupe. Si demain vous nous demandez à sortir de ce segment, votre banque va devoir vous retirer de sa base et lorsque nous la mettrons à jour, vous n’y serez plus.
Cela veut dire que de mettre en place le « droit à l’oubli » ne vous pose pas de problème ?
Pour nous ce n’est pas un problème de respecter ce « droit à l’oubli » tant que vous êtes sur nos bases de données anonymes. En revanche, le problème se pose sur les bases de marketing direct. La plupart des gens disposent aujourd’hui déjà d’un droit d’opposition. Pour pouvoir respecter leur droit d’opposition, je dois prendre ces informations et les supprimer des bases marketing, en les incluant dans des blacklists. Ceci afin de m’assurer de ne plus jamais les avoir dans mes bases. Et c’est bien la mise en œuvre qui doit être adaptée tout en respectant l’esprit de la loi.
La suite de l’interview de Sarah Wanquet, directrice juridique et correspondante Informatique et Libertés d’Acxiom sera publiée demain.
Propos recueillis par Luciana Uchôa-Lefebvre
(Images: Acxiom.)
