Le 25 mai 2018, Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR en anglais) va entrer en vigueur. Un sujet pris très au sérieux par l’ensemble du marché de la publicité mais pas seulement, puisque toutes les entreprises privées ou publiques sont concernées.
C’est un règlement et non une directive européenne. Une directive donne des objectifs à atteindre par les pays membres, avec un délai de mise en application. Un règlement communautaire, lui, s’impose et s’applique totalement et directement par tous les pays membres de l’Union européenne.
Cette date du 25 mai 2018 est donc vue avec une certaine angoisse par beaucoup d’acteurs de la publicité digitale. D’autres y voient, au contraire, une opportunité afin de mettre de l’ordre dans un marché de la data où l’utilisateur était vu comme une sorte de « variable d’ajustement » dans l’écosystème de la monétisation digitale.
Afin d’y voir plus clair sur cette nouvelle règlementation, j’ai eu l’opportunité d’interroger une diversité de leaders d’opinion dans le domaine de la technologie publicitaire, l’activité de régie, ainsi que dans le domaine juridique.
Le premier enseignement de taille de cette enquête c’est que plus on étudie le sujet du RGPD, plus les « zones grises » (zones d’interprétation) du texte se font jour.
Comme me l’a fait remarquer Maître Merav Griguer, avocate associée au sein du Cabinet Bird & Bird, une des juristes les plus en vue sur le RGPD, quand on étudie en profondeur le sujet du RGPD, il faut faire sienne la maxime de Socrate suivante : « Je sais que je ne sais rien … ».
Aborder la question du RGPD, c’est d’abord faire preuve d’humilité. C’est, pour commencer, déclarer haut et fort que les acteurs du marché qui seraient tentés de s’autoproclamer « GDPR Compliance » sont des imposteurs…
Vincent Pelillo, VP Europe de Captify, leader de la Search Data en Europe, est très limpide sur le sujet en affirmant : « Le cadre juridique n’est pas clair. Puisqu’il n’y a pas de jurisprudence… Et c’est justement la Jurisprudence qui contribuera aux conditions finales du cadre applicatif du règlement ». Ajoutant même : ” Nous allons nous faire une religion et c’est la jurisprudence qui nous dira si nous sommes dans le vrai… ”
A défaut d’avoir une interprétation d’un texte sacré, nous allons voir quels sont les conseils prodigués par ceux qui font le marché de la publicité et de la data pour aider à se préparer mais aussi analyser les enjeux commerciaux, marketing et juridiques pour l’ensemble de l’écosystème publicitaire européen.
Si l’on se réfère au livre blanc du cabinet de conseil Deloitte intitulé : « GDPR, par où commencer ? », paru en Janvier 2017, pour réussir le projet RGPD, il faut mettre en place différentes étapes méthodologiques, juridiques et techniques.
RGPD : ETAPE MÉTHODOLOGIQUE
D’après le livre blanc de Deloitte, sur le plan méthodologique, l’approche du RGPD doit être « permanente et dynamique » (sic). Cela veut dire que la mise en œuvre pour une conformité RGPD passe par un état des lieux de la manière dont la donnée est traitée et stockée. Et ce, via un « Registre des Données ». Il convient également d’évaluer les zones de risques potentiels au regard des obligations induites par le RGPD.
Fort de ces informations, il faudra déterminer les responsabilités au sein de l’organisation : Direction des Système d’Information (DSI), Direction Marketing, Direction commerciale ou encore le Data Protection Officer (DPO), appelé aussi en français Délégué de la Protection des Données (DPD).
Ce poste de DPO est une pure création du RGPD. La création de cette fonction est une obligation pour toute les entreprises (publiques ou privées) de plus de 250 salariés ou pour toute entreprise quelle qu’en soit la taille, à partir du moment où son activité principale repose sur du traitement de données. La publicité digitale d’aujourd’hui ayant pour « système d’exploitation », l’usage de la donnée, cela signifie que tous les opérateurs du marché publicitaire digital sont concernés.
Le DPO aura 3 missions clés :
– Maîtriser la règlementation et la faire appliquer
– Conseiller et informer les exploitants de données au sein de l’organisation ou chez les sous-traitants
– Être l’interlocuteur principal auprès de l’autorité de contrôle, la CNIL en France
Le DPO peut être un membre du personnel ou une personne extérieure à l’entreprise mais dans ce cas, plutôt avec des fonctions juridiques (juriste ou avocat). En termes de profil, les acteurs du marché publicitaire semblent hésiter entre différentes options. Pour Mathieu Roche, CEO et fondateur de ID5, plateforme centralisée de synchronisation de cookies, les profils de DPO peuvent venir de profils variés : Chief Technical Officer (CTO), Traffic Manager, Chief Data Officer (CDO), voire un consultant extérieur qui, à l’instar de certains VRP deviendrait un « DPO multicarte ». Cette comparaison peut faire sourire, mais s’avère pour certaines sociétés comme une solution transitoire intéressante, comme la
société allemande « E-Privacy », dirigée par Christoph Bauer, qui se positionne comme un partenaire RGPD extérieur, une sorte de DPO « offshore ».
Cette option de DPO « Offshore » peut s’avérer également idéale notamment pour des questions de management. En effet, le DPO est responsable face à la Loi… Et donc, le DPO peut revendiquer une pleine autonomie en termes de prise de décisions. Ainsi Vincent Pelillo se demande : « Que peut-il se passer dans le cas où le DPO est hostile à des décisions du Comité de Direction qui sont contraires à ses convictions de protection de données ? D’autres questions demeurent : « Pour les entreprises ayant des bureaux de représentation dans plusieurs pays, faut-il un DPO global ou un DPO dans chacun des pays ? … »
RGPD : ETAPE JURIDIQUE
L’une des finalités du texte RGPD est de s’assurer que toutes les entreprises européennes ou que toute entreprise étrangère opérant sur le marché commun puisse prouver à l’autorité de contrôle les dispositions prises pour rendre conforme la protection des données. C’est d’ailleurs ce que précise Maître Merav Griguer en insistant sur le fait qu’au-delà de l’impossibilité, à ce jour, d’être 100% en conformité, le principe de « Responsabilité » (« Accountability » en anglais) sera privilégié. Cela signifie : être dans la capacité, à tout moment, de démontrer aux autorités de contrôle que le niveau d’engagement de l’entreprise est au niveau des attentes (mise à jour des registres d’exploitation des données, process de sécurisation des données, mise en place de référentiels, …).
Cette exigence de responsabilité est prise très au sérieux par de nombreux éditeurs comme SeLoger, par l’intermédiaire du directeur de la régie publicitaire, Bastien Galibert, qui explique : « En interne, de plus en plus d’équipes (marketing, data, techniques, commerciales, juridiques, …) sont mobilisées pour implémenter le RGPD. Notamment en ce qui concerne la manière dont nous allons tenir informés nos utilisateurs quant à la nouvelle règlementation sur l’exploitation de leurs données ».
La responsabilité des membres du monde de la publicité et du marketing digital passe aussi par leur capacité à définir le niveau de sensibilité de la donnée qu’ils possèdent. « Qu’est-ce qu’une donnée sensible ? … » Mathieu Roche, d’ID5, nous alerte sur la manière dont, juridiquement, il sera déterminé qu’une donnée sera sensible ou non… La réponse à cette question semble, pour le moment, de la responsabilité de l’opérateur exploitant la donnée. On serait également tenté de dire que, fort des informations qui lui seront fournies, ce sera à l’utilisateur de déterminer le degré de sensibilité de ses propres données. Et qu’il est fort possible que de futures « class actions » (action judiciaire de groupes) de la part d’organisations qui représentent les utilisateurs ou les consommateurs seront là pour donner des éléments de réponse.
RGPD : ETAPE TECHNIQUE
Il est certain que le RGPD va générer une sorte d’« effet d’aubaine » pour de nouveaux prestataires de services et/ ou technologiques. Nous l’avons déjà évoqué, mais le marché du conseil en organisation ou conseil juridique va fortement bénéficier de cette nouvelle règlementation RGPD, tout comme le secteur de l’assurance a déjà vu la demande en « cyber assurance » sensiblement augmenter en raison des « cyber attaques » touchant notamment le pillage de données. Sans oublier bien sûr de nouveaux services technologiques d’agrégation, de synchronisation ou de protection de données. Tout ceci va à terme constituer la « panoplie » obligatoire pour exister et perdurer au sein de l’écosystème marketing et publicitaire.
D’ailleurs si l’on doit évoquer l’aspect budgétaire de la « phase préparatoire » pour la mise en conformité du RGPD, Oualid Barbouchi, CEO et co-fondateur de PRM Factory (régie publicitaire spécialisée dans le marketing à la performance) estime que pour une société comme la sienne (environ 30 personnes), effectuer un audit au sujet du RGPD par un cabinet d’avocat coûte près de 20 000 €.
Si à cela on ajoute d’autres prestations de services : DPO, technologies, … Les marges des sociétés publicitaires et des annonceurs risquent d’être sérieusement grignotées…
Néanmoins, beaucoup d’acteurs pensent que le RGPD peut être l’occasion de redonner ses lettres de noblesse à la publicité digitale en revalorisant sensiblement les espaces publicitaires soutenus par la donnée des utilisateurs. Ainsi, Bastien Galibert explique qu’un usage plus strict de la data va sérieusement limiter l’exploitation de cette donnée hors du contexte où elle a été récoltée. Selon le directeur de la régie publicitaire de SeLoger, le marché publicitaire digital avait trop tendance à considérer que l’exploitation des données d’un éditeur sur d’autres plateformes type recherche, réseaux sociaux ou vidéo était plus efficace car l’internaute serait plus réceptif. En réalité, selon Bastien Galibert, un tiers de la performance de la donnée se fait là où elle été récoltée. Pour SeLoger, le RGPD va revaloriser également les offres contextuelles autour de la donnée.
Le Règlement va également encourager les expériences utilisateurs « loguées ». C’est-à-dire, l’utilisation d’une adresse mail et d’un mot de passe pour accéder à un contenu ou un service. Effectivement, cette fameuse expérience utilisateur « loguée » risque de devenir la norme pour assurer au marché une « qualité de donnée » en phase avec les attentes des annonceurs toujours en quête de fiabilité des données exploitées.
LE RÈGLEMENT « E-PRIVACY »
Le RGPD pourrait donc accélérer une tendance qui émergeait déjà avec l’accélération des usages mobiles et des plateformes vidéo et sociales « loguées ». A savoir, l’exploitation des cookies dont la précision des informations est de plus en remise en cause. Mais surtout, c’est la collecte de ces mêmes informations qui suscite le débat, notamment sur la question du « consentement ».
Car au-delà de l’assurance de la protection et de la traçabilité de l’exploitation des données encadrées par le RGPD, le 25 mai 2018 devrait également voir l’entrée en vigueur d’un autre texte majeur : Le règlement « E-Privacy ».
Je vous l’accorde, il y a risque de confusion entre les deux textes. Comme l’indique le cabinet « Haas avocats » dans un article du 21 juin 2017 intitulé : « Règlement e-Privacy : Nouvelles recettes pour les cookies », ledit règlement opère un renforcement du devoir d’information et du consentement des utilisateurs en renvoyant aux dispositions du RGPD.
En cas de non-respect de l’E-Privacy, les sanctions administratives sont les mêmes que pour la violation du texte RGPD. A savoir, 20 millions d’euros ou 4% du chiffre d’affaires annuel. Une sanction d’autant plus lourde qu’on estime que la sanction de 150 000 € infligée à Facebook par la CNIL le 27 avril 2017 dernier, pour manquement aux règles d’informations des internautes sur l’usage de leurs données, s’élèverait à 991 millions d’euros dans le cadre d’une infraction à RGPD ou E-Privacy!
Pierre Chappaz, Chairman chez Teads.tv, est « vent debout » contre le texte E-Privacy, tel qu’il est envisagé actuellement. Dans une tribune qu’il a signée le 13 novembre dernier, au sein du journal Les Echos, il indique que : « Le règlement E-Privacy est une menace pour le pluralisme de l’information », notamment parce qu’il réduirait le marché publicitaire aux seuls acteurs du Web qui collectent les données sans passer par les cookies… »
Mais, n’était-ce pas déjà le sens de l’Histoire … ? Ce règlement E-Privacy ne serait-il pas en fait que l’accélérateur d’un phénomène d’usage (les applications mobile) mais aussi une exigence réclamée par les internautes eux-mêmes ou certains groupes qui les représentent ?
Oualid Barbouchi, CEO et co-fondateur de PRM Factory pense que : « l’avenir de la publicité digitale sera basé en très grande partie sur l’exploitation de données issues d’expériences utilisateurs logués, opt-in. Et ce, sur la base d’un consentement explicite encadré par l’E-Privacy et renforcé par le RGPD, garant de la protection des données ». Oualid Barbouchi poursuit : « Ceci est une excellente nouvelle notamment pour des business comme la publicité mobile ou l’emailing ciblé ». En effet, selon lui, les SDK mobile (Software Development Kit) vont se substituer aux cookies via, par exemple, l’utilisation plus fréquente de solutions comme le « fingerprinting » ou l’anonymisation systématique des données.
L’un des autres facteurs de crispation des publicitaires réside autour de la procédure de validation du consentement de l’internaute envisagée par E-Privacy. En effet, jusqu’à présent la Directive « Vie privée et communications électroniques » de 2002 exigeait une simple information et demande d’acceptation de cookies sur la page d’accueil des sites. La réalité est que : 1) Les internautes ne savent nécessairement pas ce qu’est un cookie ; 2) Certains sites apposent de manière unilatérale un cookie avant même que l’internaute ait donné son accord. Avec l’E-Privacy, le consentement devrait se faire au niveau du… navigateur… Ce changement est révolutionnaire… Et pose questions :
– Est-on certain que les utilisateurs ont la maturité suffisante ou le savoir-faire pour indiquer dans leur navigateur le type de consentement auquel ils adhèrent ?
– En éliminant par défaut tous les cookies dans les futures versions des navigateurs, n’est-on pas en train de violer les libertés individuelles quant au droit de pouvoir accéder à des contenus ou services personnalisés ?
(ex : Articles préférés sur un site marchand ; centres d’intérêts sur un site de contenu …)
Pour le moment, le G29, la « CNIL européenne » (regroupant les 29 instances de contrôle nationales), doit encore statuer sur la clarification des modes d’application de l’E-Privacy.
Il existe de nombreux désaccords entre les pays membres et les lobbies (notamment en Allemagne) déploient toute leur énergie pour modifier le projet de texte définitif. Certains pensent que les désaccords très nombreux entre pays membres pourraient aboutir à un report d’E-Privacy… Mais rien n’est moins sûr…
« UN BIG BANG RÈGLEMENTAIRE » POUR UN « BIG BANG DE L’OFFRE PUBLICITAIRE »
Maître Merav Griguer, avocate associée au sein du cabinet Bird & Bird, précise que : « Le consentement n’est pas obligatoire dans tous les cas ; par exemple, si l’internaute est déjà client, le contrat vaut consentement ».
lle poursuit en considérant que : « le RGPD ne va pas tuer la publicité ciblée. Le texte a pour ambition de réguler, affiner, améliorer la qualité de la data. Par exemple, un opérateur dans le domaine du « retargeting » (reciblage publicitaire) devra s’assurer que son client (NDLR : l’annonceur) a bien eu le consentement du consommateur ou prospect final ciblé. L’information est toujours obligatoire pour celui qui est en mesure matériellement de contacter les personnes ciblées ».
Sollicitée par beaucoup de régies et d’éditeurs, Maître Griguer poursuit en constatant que : « Oui, les éditeurs sont inquiets vis-à-vis de l’’E-Privacy et du RGPD, mais ils ont compris que 1) Le consentement n’est pas obligatoire dans tous les cas ; 2) Le règlement RGPD présente de vraies opportunités pour améliorer la qualité de la data lorsque le consentement est obligatoire et ainsi en faire un vrai argument marketing. 3) En revanche, le projet e-privacy en l’état est effectivement inquiétant pour les acteurs de la publicité. E-privacy en l’état est plutôt une menace.
Qu’en est-il donc de l’émergence de nouvelles offres publicitaires émanant de ce « Big Bang règlementaire », potentiel générateur d’un « Big Bang des offres publicitaires Digitales » ?
Pour Bastien Galibert, directeur de la régie publicitaire de SeLoger, l’offre publicitaire de type « Marketing Direct » va sortir renforcée de ces nouvelles dispositions règlementaires. Le marché de l’email pourrait être revalorisé (Base d’abonnés newsletters, CRM OnBoarding, …).
Vincent Pelillo, VP Europe de Captify remarque que : « Le niveau de préparation des acteurs du marché est équivalent à leur niveau de maîtrise et de connaissance de l’exploitation de la donnée. L’offre va donc se raréfier pour une meilleure qualité de produit basée sur la data et la connaissance prospect/ client ». Captify a engagé depuis un certain temps un travail d’évangélisation du marché (annonceurs, agences et éditeurs, …) afin de prêcher la bonne parole et établir une sorte de « bonne foi » du marché vis-à-vis du RGPD et de l’E-Privacy via deux sujets : 1) C’est quoi le RGPD et l’E-Privacy ? ; 2) Quelles sont les implications opérationnelles de ces deux nouvelles règlementations ?
Mathieu Roche, CEO d’ID5 pense que les éditeurs, les annonceurs et les agences doivent se pencher en urgence sur la question des synchronisations des cookies. Sujet encore très méconnu, mais qui s’avère central pour la connaissance de la collection des données et la maîtrise de leurs exploitations comme l’exige le RGPD.
Oualid Barbouchi, CEO de PRM Factory, considère, lui, que l’on assiste à la « désintermédiation » de l’usage des datas entre les éditeurs et certains acteurs spécialisés de la data et du retargeting. Et pour reprendre une expression chère à Vincent Salini, directeur délégué des activités digitales et des opérations spéciales de MPublicité, tout comme sur le marché de la publicité du programmatique, les éditeurs vont retrouver petit à petit leur « souveraineté » dans le domaine de l’exploitation de leur data.
UN AVENIR ENTHOUSIASMANT ?…
Via RGPD et E-Privacy, l’enjeu est donc de remettre au centre de l’écosystème publicitaire digital : l’utilisateur.
Le challenge est aussi, pour les acteurs du marché, d’accompagner ce même utilisateur, via un nouveau contrat de lecture/d’usage qui le placerait au cœur des offres éditoriales, servicielles et publicitaires. Et ce, en l’incitant à maîtriser l’usage de ses propres données.
Pour y arriver, pourquoi les éditeurs, les annonceurs et les agences ne pourraient pas mettre en place des projets de « Marketing Juridique » et ainsi en faire un levier de Business Development… ? Comme le fait remarquer Maître Merav Griguer, quand on parle de « transformation digitale », il est souvent question de « casser les silos » organisationnels pour opérer les changements nécessaires…
GDPR et E-Privacy ne seraient-ils pas en fait les déclencheurs de la « disruption » nécessaire du marché de la publicité et du marketing digital, pour éviter de sombrer dans le « darwinisme digital » et surtout, pour enfin opérer une relation apaisée entre les utilisateurs, les éditeurs, les agences et les annonceurs ? …