Le 25 mai 2018, Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR en anglais) va entrer en vigueur. Un sujet pris très au sérieux par l’ensemble du marché de la publicité mais pas seulement, puisque toutes les entreprises privées ou publiques sont concernées.
C’est un règlement et non une directive européenne. Une directive donne des objectifs à atteindre par les pays membres, avec un délai de mise en application. Un règlement communautaire, lui, s’impose et s’applique totalement et directement par tous les pays membres de l’Union européenne.
Cette date du 25 mai 2018 est donc vue avec une certaine angoisse par beaucoup d’acteurs de la publicité digitale. D’autres y voient, au contraire, une opportunité afin de mettre de l’ordre dans un marché de la data où l’utilisateur était vu comme une sorte de « variable d’ajustement » dans l’écosystème de la monétisation digitale.
Afin d’y voir plus clair sur cette nouvelle règlementation, j’ai eu l’opportunité d’interroger une diversité de leaders d’opinion dans le domaine de la technologie publicitaire, l’activité de régie, ainsi que dans le domaine juridique.
Le premier enseignement de taille de cette enquête c’est que plus on étudie le sujet du RGPD, plus les « zones grises » (zones d’interprétation) du texte se font jour.
Comme me l’a fait remarquer Maître Merav Griguer, avocate associée au sein du Cabinet Bird & Bird, une des juristes les plus en vue sur le RGPD, quand on étudie en profondeur le sujet du RGPD, il faut faire sienne la maxime de Socrate suivante : « Je sais que je ne sais rien … ».
Aborder la question du RGPD, c’est d’abord faire preuve d’humilité. C’est, pour commencer, déclarer haut et fort que les acteurs du marché qui seraient tentés de s’autoproclamer « GDPR Compliance » sont des imposteurs…
Vincent Pelillo, VP Europe de Captify, leader de la Search Data en Europe, est très limpide sur le sujet en affirmant : « Le cadre juridique n’est pas clair. Puisqu’il n’y a pas de jurisprudence… Et c’est justement la Jurisprudence qui contribuera aux conditions finales du cadre applicatif du règlement ». Ajoutant même : « Nous allons nous faire une religion et c’est la jurisprudence qui nous dira si nous sommes dans le vrai… »
A défaut d’avoir une interprétation d’un texte sacré, nous allons voir quels sont les conseils prodigués par ceux qui font le marché de la publicité et de la data pour aider à se préparer mais aussi analyser les enjeux commerciaux, marketing et juridiques pour l’ensemble de l’écosystème publicitaire européen.
Si l’on se réfère au livre blanc du cabinet de conseil Deloitte intitulé : « GDPR, par où commencer ? », paru en Janvier 2017, pour réussir le projet RGPD, il faut mettre en place différentes étapes méthodologiques, juridiques et techniques.
RGPD : ETAPE MÉTHODOLOGIQUE
D’après le livre blanc de Deloitte, sur le plan méthodologique, l’approche du RGPD doit être « permanente et dynamique » (sic). Cela veut dire que la mise en œuvre pour une conformité RGPD passe par un état des lieux de la manière dont la donnée est traitée et stockée. Et ce, via un « Registre des Données ». Il convient également d’évaluer les zones de risques potentiels au regard des obligations induites par le RGPD.
Fort de ces informations, il faudra déterminer les responsabilités au sein de l’organisation : Direction des Système d’Information (DSI), Direction Marketing, Direction commerciale ou encore le Data Protection Officer (DPO), appelé aussi en français Délégué de la Protection des Données (DPD).
Ce poste de DPO est une pure création du RGPD. La création de cette fonction est une obligation pour toute les entreprises (publiques ou privées) de plus de 250 salariés ou pour toute entreprise quelle qu’en soit la taille, à partir du moment où son activité principale repose sur du traitement de données. La publicité digitale d’aujourd’hui ayant pour « système d’exploitation », l’usage de la donnée, cela signifie que tous les opérateurs du marché publicitaire digital sont concernés.
Le DPO aura 3 missions clés :
– Maîtriser la règlementation et la faire appliquer
– Conseiller et informer les exploitants de données au sein de l’organisation ou chez les sous-traitants
– Être l’interlocuteur principal auprès de l’autorité de contrôle, la CNIL en France
Le DPO peut être un membre du personnel ou une personne extérieure à l’entreprise mais dans ce cas, plutôt avec des fonctions juridiques (juriste ou avocat). En termes de profil, les acteurs du marché publicitaire semblent hésiter entre différentes options. Pour Mathieu Roche, CEO et fondateur de ID5, plateforme centralisée de synchronisation de cookies, les profils de DPO peuvent venir de profils variés : Chief Technical Officer (CTO), Traffic Manager, Chief Data Officer (CDO), voire un consultant extérieur qui, à l’instar de certains VRP deviendrait un « DPO multicarte ». Cette comparaison peut faire sourire, mais s’avère pour certaines sociétés comme une solution transitoire intéressante, comme la
société allemande « E-Privacy », dirigée par Christoph Bauer, qui se positionne comme un partenaire RGPD extérieur, une sorte de DPO « offshore ».
Cette option de DPO « Offshore » peut s’avérer également idéale notamment pour des questions de management. En effet, le DPO est responsable face à la Loi… Et donc, le DPO peut revendiquer une pleine autonomie en termes de prise de décisions. Ainsi Vincent Pelillo se demande : « Que peut-il se passer dans le cas où le DPO est hostile à des décisions du Comité de Direction qui sont contraires à ses convictions de protection de données ? D’autres questions demeurent : « Pour les entreprises ayant des bureaux de représentation dans plusieurs pays, faut-il un DPO global ou un DPO dans chacun des pays ? … »