3 juil 2018

Données personnelles : RGPD, ePrivacy, CNIL3, Data Leakage

Travaux et actions 2017-2018

Accompagnement des membres dans leur démarche de mise en conformité avec le RGPD

Maître Corinne Thiérache, Avocate associée au Cabinet Alerion accompagne le GESTE sur ce sujet.

Le 25 mai dernier est entré en application le RGPD. Depuis son adoption en avril 2016, le GESTE accompagne ses membres dans leur compréhension du règlement et leur démarche de mise en conformité : recommandations, partages d’expériences.

Plusieurs réunions dédiées ont été organisées ces derniers mois, dont une réunion d’échange avec la CNIL ou encore la mise en place du GT DPO sur lequel nous nous attarderons juste après.

En matière de dépôt de cookies, la CNIL a eu l’occasion de confirmer à plusieurs reprises au GESTE et à ses membres que même après le 25 mai, l’information de l’internaute telle que prévue aujourd’hui est maintenue en l’état en attendant que la rédaction du Règlement ePrivacy, soit finalisée (voir la vidéo de Maître Etienne Drouard).

A date, les éditeurs restent compliant dans la mesure où ils respectent la recommandation de la CNIL du 5 décembre 2013 relative aux cookies et autres traceurs. En effet, il n’est pas demandé aux éditeurs d’anticiper le Règlement ePrivacy qui est toujours en discussion au niveau européen.

Les éditeurs membres du GESTE peuvent donc toujours se référer au Kit Cookie Consent mis à disposition par le groupement : à savoir le Livre Blanc Cookie Consent et les trois fiches pratiques dédiées au contrôles de la CNIL (en ligne et sur place) et à la désignation d’un DPO. Ces éléments sont accessibles en ligne, sur le site du GESTE

Proposition de Règlement ePrivacy

Initiative commune de l’interprofession auprès des pouvoirs publics français et européens, notamment la Commission européenne. Maître Etienne Drouard, Avocat associé, K&L Gates, accompagne le GESTE sur le sujet  et présente dans cette vidéo les différentes actions menées cette année.

Projet de loi relatif à la protection des données personnelles, dit PJL “CNIL 3”

Après plusieurs lectures, le texte visant à préciser le RGPD a enfin été adopté en lecture définitive par l’Assemblée nationale le 14 mai dernier avant de faire l’objet d’une saisine du Conseil constitutionnel deux jours plus tard.

Pour rappel, le projet de loi relatif à la protection des données personnelles préparé par le Gouvernement ayant vocation à permettre l’application effective du RGPD a été présenté par Nicole Belloubet, Garde des Sceaux, le 13 décembre 2017. Cette loi française, qui devait entrer en vigueur le 25 mai, viendra préciser le RGPD qui est entré en application à cette même date.

Après avoir été adopté en première lecture par l’Assemblée nationale et le Sénat, la Commission Mixte Paritaire a échoué dans sa mission de rédaction d’un texte commun le 6 avril dernier. Le texte est donc repassé devant l’Assemblée pour une nouvelle lecture le 12 avril et devant le Sénat le 19 avril. L’Assemblée devait alors statuer lors d’une lecture définitive.

C’est le 14 mai dernier que le texte a été définitivement adopté par l’Assemblée nationale. Le 16 mai, soixante sénateurs ont saisi le Conseil constitutionnel d’un recours qui risque de retarder la France dans sa volonté de voir le texte s’appliquer à compter du 25 mai.

Le Conseil constitutionnel a statué le 12 juin dernier.

GT DPO

Le GT se réunit tous les mois depuis janvier et rassemble un vingtaine de DPO nommés au sein des membres du GESTE, parmi lesquels M6, TF1, France Télévisions, Lagardère Active, Solocal, Le Figaro, Bayard, Eurosport, … Les réunions sont l’occasion de partager les retours d’expérience des participants quant à la démarche de mise en conformité de leurs entreprises respectives mais également de s’interroger sur les outils techniques proposés sur le marché ou encore rencontrer les représentants du Framework IAB afin de répondre aux interrogations des éditeurs.

Le prochain GT sera notamment l’occasion de revenir sur la partie mesure d’audience avec AT Internet. (24 juillet apm). Tous les DPO des membres du GESTE souhaitant participer aux réunions sont invités à se rapprocher de l'équipe des permanents du GESTE.

Formation

Compte tenu de l’importance du sujet des données personnelles les réunions ont vocation à se poursuivre tant en comité restreint, en groupe de travail qu’en Commission. Par ailleurs, de nouvelles sessions de formation dédiées seront organismmées d’ici la fin de l’année 2018.

GT Data Leakage

Ce GT se réunit depuis quelques années au sein du GESTE en fonction de l’actualité et des besoins exprimés par les membres. La dernière réunion, dédiée à la “traque massive” de la data de géolocalisation via le mobile, a été l’occasion de revenir sur la problématique des données personnelles collectées via les SDK, les pratiques et expériences des éditeurs présents et les recommandations en la matière. 
Ce GT est de nouveau amené à se réunir dans les prochains mois, les fuites de données restant un vrai sujet et le mobile prenant de plus en plus d’importance dans les usages.

Framework IAB

L’initiative Consent Advertising de l’IAB Europe propose au marché un framework ouvert et flexible ayant vocation à assurer transparence, contrôle et choix, aussi bien pour l’internaute quant à l’utilisation de ses données personnelles à des fins publicitaires, que pour l’éditeur quant aux sociétés qui auront accès aux données personnelles de ses internautes. AppNexus a eu l’occasion de répondre plusieurs fois aux questions que se posent les éditeurs et leurs régies au cours de réunions organisées par le GESTE. Les travaux sont suivis de près, notamment s’agissant de l’intégration de Google. En savoir plus
 

RGPD - Lettre ouverte à Google

Suite aux problèmes liés aux changements opérés par Google occasionnant de lourdes pertes de revenus publicitaires, notamment la restriction d’accès à sa plateforme d’achat programmatique, DBM, au 25 mai dernier, l’interprofession (IAB, SRI, UDA, UDECAM et GESTE) s’est mobilisée et a adressé une lettre ouverte à Google. En savoir plus