L’entrée en vigueur du Règlement général de protection des données (RGPD) approche tandis qu’un autre règlement, ePrivacy, tout aussi voire plus important pour le traitement de données en ligne est en discussions à Bruxelles. ad-exchange.fr donne suite à une série consacrée à ces législations en donnant la parole à des acteurs représentatifs des différents maillions de la chaîne de l’édition et de la publicité ligne, dont les trading desks, ces acteurs spécialisés dans l’achat d’espaces sur les places de marchés publicitaires pour le compte d’annonceurs et d’agences. La parole est donnée à Céline Craipeau, spécialiste produit et solutions de Tradelab, qui se définit comme une plateforme programmatique. Pour cette experte, les acheteurs ne disposent pas de moyen de contrôle efficace du consentement des utilisateurs pour l’usage de leurs données à de fins de ciblage et d’activation média.
Vous achetez des campagnes pour le compte d’annonceurs sur les places de marché publicitaires. Dans le cadre de ces opérations vous vous servez des données dont ils disposent de leurs clients et prospects mais vous pouvez aussi être amené à acheter des données de ciblage (dites 3rd party) pour les besoins des campagnes. Vous sentez-vous directement concerné par le RGPD? Pourquoi?
En tant qu’acteur programmatique, Tradelab est en effet directement concerné par la grande nouveauté que la RGPD introduit, et qui réside dans l’élargissement de la définition des données personnelles. Il est désormais établi clairement que les cookies et les identifiants publicitaires mobiles, qui représentent l’essentiel des données que notre écosystème exploite, sont considérés comme tel. L’exploitation de ces signaux constitue le socle de notre métier. C’est sur cette base que la promesse du programmatique a été construite. C’est une des raisons pour lesquelles nous avons par exemple conduit, avec l’organisme ePrivacyseal, un audit approfondi au niveau européen de nos process de collecte, d’agrégation et de partage des données utilisateurs que nous recueillons. La répartition de la responsabilité de la protection des données reste néanmoins un enjeu de taille. Avec la RGPD, il faut s’attendre à ce que la responsabilité soit probablement partagée, étant donnée la complexité de l’écosystème programmatique qui fait intervenir des intermédiaires multiples.
Le RGPD impose que toute collecte de données personnelles (qu’elles soient nominatives ou de navigation) soit précédée d’un accord explicite de l’utilisateur. Dans la mesure où ces données circulent et passent entre différentes mains entre le moment où elles sont collectées et les moments où vous les activez, comment s’assurer que l’opt-in restera réel et toujours valable?
C’est justement la grande question que nous nous posons depuis que nous avons commencé à travailler sur le sujet en début d’année. Aujourd’hui les acheteurs programmatiques segmentent les audiences à partir de données qui sont collectées par l’intermédiaire de sites d’éditeurs et d’annonceurs. Quand vous recevez l’information, il n’est pas possible de savoir si l’utilisateur a consenti à ce qu’elle soit communiquée. Et à moins de faire le tour de tous les domaines auxquels vous êtes connectés, ce qui serait impossible du fait du volume qu’ils représentent et de l’opacité de certaines places de marché, vous n’avez pas de moyen de contrôle efficace.
C’est sur la base de l’exploitation des cookies et des identifiants publicitaires mobiles que la promesse du programmatique a été construite.
Est-ce que vos clients, partenaires, prestataires, bref est-ce que l’industrie a déjà trouvé toutes les réponses aux interrogations concernant la mise en application de ce texte? Avez-vous d’ailleurs identifié d’autres points de ce texte qui posent des problèmes de mise en œuvre?
La RGPD a le mérite d’être assez claire, par exemple concernant la sécurité des bases de données, l’établissement d’un document référençant toutes les données collectées et leurs traitements, la nomination d’un data protection officer… Nous avons amorcé ces chantiers qui sont loin d’être insurmontables mais qui nécessitent une réelle implication de nos équipes. C’est pourquoi il faut poursuivre les efforts de pédagogie sur le texte, en interne comme en externe. S’il y a un point qui techniquement peut poser question, c’est l’obligation de supprimer définitivement une donnée à la demande de l’utilisateur. Quand on utilise des bases distribuées dans le cloud, qui fonctionnent sur le principe de réplication des informations sur plusieurs machines, il est très difficile de garantir qu’il ne reste pas une copie quelque part. Les sociétés qui proposent ce type de solutions se mettent d’ailleurs en ordre de bataille pour adapter leurs systèmes.
Le gouvernement français a publié le 13 décembre son projet de loi qui sert à modifier la Loi Informatique et Libertés en vigueur pour lui permettre d’accueillir et préparer l’entrée en vigueur du RGPD. A première vue, pensez-vous que ce texte clarifie les choses?
En réalité, tous les principes sont déjà exposés de manière compréhensible dans la RGPD. Ce projet de loi ne devrait donc pas avoir pour but d’apporter des éclaircissements, mais simplement d’harmoniser la législation française avec les principes de la RGPD. Il s’agirait en l’occurrence et en l’état d’une mise à jour de la loi Informatique et libertés de 1978. On peut craindre que les adaptations successives de cette loi n’introduisent davantage de complexité et de confusion, il faut néanmoins attendre une version définitive du projet, en souhaitant qu’il corresponde au maximum aux dispositions introduites par la RGPD.
La suite de l’interview de Céline Craipeau, spécialiste produit et solutions de Tradelab, sera publiée demain.
Questions formulées par Luciana Uchôa-Lefebvre