IAB Atelier Automated Trading Privacy & Automated Trading Jan Decorte Ann Fromont 4 décembre 2014
1. Introduc5on générale sur la Loi Vie Privée 2. Sanc5ons en cas de non- respect de la Loi Vie Privée 3. Règles spécifiques à la publicité comportementale 4. Régime de (co)- responsabilité 5. Recommanda5ons à l usage des u5lisateurs de l Automated trading 2
3 Introduc5on générale Loi Vie Privée
1. Introduc5on générale sur la Loi Vie Privée A. Principes et concepts généraux B. Bases légales (et limites) 4
A. Concepts généraux ü Donnée personnelle : tout élément perme.ant d iden3fier une personne physique, ou la rendant directement ou indirectement iden3fiable ; ü Traitement : toute opéra3on, automa3sée ou non p.ex. la collecte, l'enregistrement, l'organisa0on, la conserva0on, l'adapta0on ou la modifica0on, l'extrac0on, la consulta0on, l'u0lisa0on, la communica0on, diffusion ou toute autre forme de mise à disposi0on, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruc0on de données à caractère personnel ; ü Responsable du traitement : la personne qui détermine les moyens et les finalités d un traitement ; ü Sous- traitant : toute personne traitant des données à caractère personnel pour le compte du responsable du traitement ; ü Des5nataire : la personne qui reçoit les données (3ers ou non) ; ü Tiers : toute personne autre que la personne concernée, le responsable du traitement, le sous- traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous- traitant, sont habilitées à traiter les données 5
Différents types de données Données personnelles sensibles Données personnelles Données pseudonymes Données anonymes personal data rela0ng to race or ethnic origin, poli7cal opinions, religion or philosophical beliefs, sexual orienta7on or gender iden7ty, trade- union membership and ac0vi0es, gene7c or biometric data, health or sex life, administra7ve sanc7ons, judgments, criminal or suspected offences, convic7ons, or related security measures any informa0on rela0ng to an iden7fied or iden7fiable natural person who can be iden0fied, directly or indirectly, in par0cular by reference to an iden7fier such as a name, an iden0fica0on number, loca0on data, unique iden0fier or to one or more factors specific to the physical, physiological, gene0c, mental, economic, cultural or social or gender iden0ty of that person personal data that cannot be abributed to a specific data subject without the use of addi7onal informa7on, as long as such addi0onal informa0on is kept separately and subject to technical and organisa0onal measures to ensure non- adribu0on data which are neither personal data, nor pseudonymous data 6 6
A. Principes généraux ü Principes de légalité Le traitement doit reposer sur une base légale ü Principe de finalité But spécifique, adéquat et légi3me ü Principe de propor5onnalité Données adéquates, per3nentes et non excessives Données exactes et à jour Durée de conserva3on raisonnable ü Sécurité et confiden5alité Protec3on de l accès aux données (serveurs sécurisés, mots de passe, etc.) Engagements de confiden3alité ü Déclara5on auprès de la Commission Vie Privée Sauf exemp3ons (A.R. 13/02/2001) 7
A. Principes et concepts généraux Champ d applica5on 1. Champ d applica5on matériel : Ar5cle 3 Loi 12/08/1992 q Applica3on : Traitement automa3sé en tout ou en par3e ; Traitement non automa3sé de données à caractère personnel contenues ou appelées à figurer dans un fichier (ensemble structuré). q Exclusion : Traitement effectué par une personne physique pour l'exercice d'ac3vités exclusivement personnelles ou domes3ques. q Modalisa3on : Traitement à des fins journalis3ques / ar3s3ques / li.éraires. 8
A. Principes et concepts généraux Champ d applica5on 2. Champ d applica5on territorial : Ar5cle 3 bis Loi 12/08/1992 «1 lorsque le traitement est effectué dans le cadre des ac7vités réelles et effec7ves d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit interna0onal public; 2 lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automa7sés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement u7lisés à des fins de transit sur le territoire belge. Dans les cas visés à l'alinéa précédent, 2, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'ac0ons qui pourraient être introduites contre le responsable du traitement lui- même.» 9
B. Bases légales (et limites) La finalité doit être spécifique et autorisée par la loi 6 cas de figure : ü ü ü ü ü ü Consentement ; Nécessaire pour l exécu5on d un contrat ; Obliga5on légale ; Protec5on de l intérêt vital ; Nécessaire à l accomplissement de missions d intérêt public ou à l exercice de l autorité publique ; Nécessaire à la poursuite d intérêts légi5mes du responsable du traitement, à condi5on que les intérêts de la personne concernée ne prévalent pas (balance équitable). 10
B. Bases légales (et limites) Consentement? Libre: réelle liberté de choix ; Spécifique: la portée exacte du consentement donné doit être connue ; Informé: de toutes les informa5ons nécessaires pour évaluer exactement les conséquences du consentement. En pra5que: Privacy Policy / Poli5que de confiden5alité / Charte Vie Privée 11
Sanc5ons en cas de non- respect de la Loi Vie Privée 12
2. Sanc5ons en cas de non- respect de la Loi Vie Privée A. Sanc5ons pénales B. Sanc5ons administra5ves La réalité de la Commission Vie Privée Le projet de règlement européen C. Sanc5ons civiles 13
A. Sanc5ons pénales Ar5cles 38-42 Loi Vie Privée ü Pas de pouvoir direct de sanc5on de la Commission Vie Privée ü Peut transmeare le dossier au Procureur du Roi Sanc5ons concrètes ü Amendes de 100 à 100.000 EUR ü Emprisonnement de 3 mois à 2 ans en cas de récidive ü Publicité du jugement ü Confisca5on du matériel 14
B. Sanc5ons administra5ves La réalité de la Commission Vie Privée Organisme faisant autorité ou simple référence? ü Créée 1992 / Organe de contrôle indépendant / 16 membres / Comités sectoriels ü Missions : Consulta3on sur toute ques3on liée à la protec3on de la vie privée Informa3on et assistance Contrôle et inspec3on Ges3on des plaintes è En pra7que: Média3on ; Avis sur le caractère fondé d une plainte ; Influence dans le cadre d une procédure pénale / civile. 15
B. Sanc5ons administra5ves Le projet de règlement européen European wind of change? ü Voué à remplacer la Direc5ve 95/46/CE à vers une plus grande homogénéité ü Quelques modifica5ons importantes: Extra- territorialité One- stop- shop Data protec3on officer (> 5000 personnes concernées) European Data protec3on Board / Comité européen de la protec3on des données Sanc3ons (!): Amendes jusqu à 100.000.000 ou 5% du chiffre d affaires mondial. No3fica3on viola3on dans les 72 heures ü Timing: adop5on PE 1ère lecture 11/03/2014 - best case scenario: fin 2015 (?) 16
C. Sanc5ons civiles ü Ac5on en cessa5on devant le Président du TPI : Ar5cle 14 L 08/12/1992 Ø Exemple pra5que : marke5ng viral Cour d appel de Liège, 19 novembre 2009 : confirme ordonnance de cessa3on avec astreinte de 10.000 par infrac3on constatée (TPI Huy) ü Responsabilité contractuelle ou extracontractuelle : Ar5cle 15 L 08/12/1992 «Le responsable du traitement est responsable du dommage causé par un acte contraire aux disposi0ons déterminées par ou en vertu de la présente loi. Il est exonéré de cede responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.» Ø Obstacle : quel est le dommage subi? Ø Exemples pra5ques : A.einte à l honneur et à la réputa3on ; Détournement d informa3ons bancaires ; Collecte illicite de données et dommage causé par un 3ers des3nataire ; ü! NEW! Ac5on en répara5on collec5ve (Titre 2, Livre XVII du Code de droit économique) E.V. : 1 er septembre 2014 17
C. Sanc5ons civiles! NEW! Ac5on en répara5on collec5ve (Titre 2, Livre XVII du Code de droit économique) E.V. : 1 er septembre 2014 QUI? (Art. XVII.38 et 39) Un groupe de consommateur lésés, à 5tre individuel, par un intérêt commun, représenté par : - - - une associa5on de défense des consommateurs (P.J., siégeant au Conseil de la Consomma3on ou agréée par le ministre sur base des critères à déterminer par A.R.) ; une asbl agréée par le ministre (P.J. depuis au moins 3 ans), dont l'objet social est en rela5on directe avec le préjudice collec5f subi ; le Service de Média5on pour le consommateur, uniquement en vue de représenter le groupe dans la phase de négocia3on d'un accord de répara3on collec3ve. OÙ et COMMENT? (Art. XVII.35 et 43) : requête au TPI ou Trib. Comm. de Bruxelles PROCEDURE? - - Phase de négocia5on : dans un délai de 1 à 3 mois ; Phase de décision sur le fond : le cas échéant, montant à répar3r entre les personnes lésées. 18
19 Règles spécifiques à la publicité comportementale
3. Règles spécifiques à la publicité comportementale A. Le marke5ng digital : l aarait du «sur- mesure» B. La publicité en réseau : fonc5onnement C. Le profilage : quelles contraintes légales? 1. Numéro d ID : une donnée personnelle? 2. Comment u5liser les cookies en toute légalité? D. Le projet de règlement européen : quel impact? 20
A. Le marke5ng digital : l aarait du «sur- mesure» Aarait du digital : payer moins pour une audience plus per3nente Publicité contextuelle : liée au contenu de la page web Ex. : AdSense (Google) Publicité comportementale : liée au comportement de l u3lisateur Ex. : DoubleClick (Google), Beacon (Facebook), etc. 21
A. Le marke5ng digital : l aarait du «sur- mesure» Publicité comportementale simple : Ø Collecte directe et visible (formulaires) ; Ø Collecte directe et invisible (comportement). Publicité comportementale de réseau : Ø Idem ; Ø + Collecte indirecte et invisible par le biais du réseau publicitaire (comportement à travers les sites). Un nouvel intermédiaire est né : le fournisseur de réseau publicitaire 22
B. La publicité en réseau : fonc5onnement Consommateur Cookie ID = 12345 Cookie ID = 12345 h.p://sf- hotel- review.com h.p://dogsblogs.com h.p://social- network.net Pub: Hotel Supersite Pub: Hotel Supersite Cookie ID = 12345 visite SFHotels Cookie ID = 12345 Cookie ID = 12345 visite Dogsblogs Fournisseur de réseau de publicités Cookie ID = 12345 visite Social Network 23 23
B. La publicité en réseau : fonc5onnement Dans la recherche de prospects (annonceurs) : ü Ne payer que pour des profils très précis ; ü Minimiser les coûts (RTB - enchères en temps réel) S adresser à la bonne personne Dans la rela5on clientèle (éditeur) : ü Suivre son client à travers Internet ; ü Lui proposer une interface personnalisée ; ü Lui proposer des recommanda3ons selon ses goûts, ses habitudes, Connaître son interlocuteur 24 24
C. Le profilage : quelles contraintes légales? 1. Le numéro d iden5fica5on : une donnée personnelle? 2. Comment u5liser les cookies en toute légalité? 25 25
1. Le numéro d ID : une donnée à caractère personnel? Donnée à caractère personnel : «toute informa0on rela0ve à une personne physique iden0fiée ou qui peut être iden0fiée, directement ou indirectement, par référence à un numéro d'iden7fica7on ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est iden0fiable, il convient de considérer l'ensemble des moyens en vue de permedre son iden0fica0on dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» 26 26
1. Le numéro d ID : une donnée à caractère personnel? A par5r de quand iden5fie- t- on une personne physique? un appareil = une personne physique? Exemples : - U3lisateur enregistré sur un site web (e- commerce) ; - Recoupement de données entre sites ; - Informa3ons disponibles auprès des FAIs. 27 27
1. Le numéro d ID : une donnée à caractère personnel? h.p://www.dogzblogs.com Consommateur Jean Dupont Bruxelles (BE) Jean Dupont Bruxelles (BE) visite DogsBlogs Fournisseur de réseau de publicités Cookie ID = 12345 28 28
1. Le numéro d ID : une donnée à caractère personnel? En présence de données à caractère personnel : applica5on du régime général prévu par la loi du 8 décembre 1992 sur le traitement des données personnelles Les bons réflexes : ü Dans quel but ce traitement est- il effectué? ü Faut- il demander le consentement? ü Quelle informa3on faut- il donner et quand? ü Combien de temps les données seront- elles conservées? ü A qui les données seront- elles transmises? (catégories de des3nataires) ü Les données seront- elles transférées vers un pays 3ers à l UE? (si oui: condi3ons!) ü Faut- il déclarer le traitement? 29 29
1. Le numéro d ID : une donnée à caractère personnel? Même en l absence de données à caractère personnel : applica5on de l art. 129 de la loi du 13 juin 2005 sur les communica5ons électroniques (cookies) En cas de dépôt et lecture d informa3ons sur un équipement terminal : - quelle que soit la technologie empruntée (cookies h.p, cookies flash, pixels invisibles, etc.) ; - quel que soit le moment (consulta3on site web, emails, etc.) ; - quel que soit le terminal concerné (ordinateur, table.e, smartphone, TV connectée, console de jeux, etc.). 30 30
2. U5liser les cookies en toute légalité Ar5cle 129 L. 13 juin 2005: le principe «Le stockage d'informa0ons ou l'obten0on de l'accès à des informa0ons déjà stockées dans les équipements terminaux d'un abonné ou d'un u0lisateur est autorisée uniquement à condi0on que : 1 l'abonné ou l'u0lisateur concerné reçoive conformément aux condi0ons fixées dans la loi du 8 décembre 1992 rela0ve à la protec0on de la vie privée et à l'égard des traitements de données à caractère personnel, des informa7ons claires et précises concernant les objec0fs du traitement et ses droits sur la base de la loi du 8 décembre 1992 ; 2 l'abonné ou l'u0lisateur final ait donné son consentement après avoir été informé conformément aux disposi0ons visées au point 1.» 31 31
2. U5liser les cookies en toute légalité Ar5cle 129 L. 13 juin 2005 : les excep5ons «L'alinéa 1er n'est pas d'applica0on pour l'enregistrement technique des informa0ons ou de l'accès aux informa0ons stockées dans les équipements terminaux d'un abonné ou d'un u0lisateur final q ayant pour seul but de réaliser l'envoi d'une communica7on via un réseau de communica0ons électroniques ou ; q de fournir un service demandé expressément par l'abonné ou l'u0lisateur final lorsque c'est strictement nécessaire à cet effet.» 32 32
2. U5liser les cookies en toute légalité Avis 4/2012 du Groupe 29 : typologie des cookies q Cookies «intrusifs» : consentement explicite requis les cookies de modules sociaux de pistage ; les cookies publicitaires de 3ers ; les cookies analy3ques d origine ; q Cookies «non- intrusifs» : consentement explicite n est pas requis les cookies alimentés par l Internaute (p.ex. panier d achat) ; les cookies d authen3fica3on ; les cookies de sécurité centrés sur l Internaute ; les cookies de personnalisa3on de l interface u3lisateur (p.ex. préférences linguis3ques) ; les cookies de modules sociaux de partage de contenu ;... 33 33
Exemples 34 34
B) U5liser les cookies en toute légalité 35 35
2. U5liser les cookies en toute légalité Présence d une bannière informant sur : Les finalités : «afin de vous offrir une meilleure expérience de naviga0on» Les moyens de s opposer : «voir notre Poli0que de Cookie» Le dépôt de cookies en cas de poursuite de la naviga5on : o «J accepte tous les cookies pour les sites de Rezidor Hotels» (précoché) o «Je suis conscient que certains cookies sont requis pour l u0lisa0on des sites de Rezidor Hotels, mais je n accepte pas les cookies qui collectent des informa0ons au- delà de cede portée» (à cocher) Présence d une Poli5que de confiden5alité : indiquant comment ac3ver / désac3ver les cookies ; en danois uniquement! 36 36
www.youronlinechoices.com (OBA Framework) 37 37
D. Le projet de règlement européen : quel impact? Quelles sont les modifica5ons essen5elles à venir? Un nouveau concept : les données pseudonymes = des données à caractère personnel qui ne peuvent pas être a.ribuées à une personne concernée sans avoir recours à des informa3ons supplémentaires, pour autant que de telles informa3ons supplémentaires soient conservées séparément et soumises à des mesures techniques et organisa3onnelles afin de garan3r ce.e non- a.ribu3on; Condi3ons plus strictes pour le consentement ; Condi3ons plus strictes pour le profilage. 38 38
Régime de (co)- responsabilité 39
4. Régime de (co)- responsabilité A. Protec5on des données et vie privée : un constat B. Qui est responsable de quoi? 1. Pour l u5lisa5on des cookies 2. Pour le traitement de données personnelles C. Applica5on à la publicité en réseau 40
A. Protec5on des données et vie privée : un constat Un constat : nul n est à l abri! Principe de co- responsabilité soutenu par : Avis Commission Vie Privée No. 10/2012 du 21 mars 2012 sur le projet de loi modifiant la loi du 13 juin 2005 Avis Groupe 29 No. 2/2010 du 22 juin 2010 sur la publicité comportementale Deux organismes voués à acquérir davantage de pouvoirs 41
B. Qui est responsable de quoi? En l absence de contrat : 1. Qui est responsable pour le respect de la disposi5on «cookie»? Celui qui place et accède aux informa5ons 2. Qui est responsable pour le respect du régime général de la loi de 1992? Le «responsable du traitement» : la personne qui détermine les moyens et les finalités d un traitement ; Le «sous- traitant» : toute personne traitant des données à caractère personnel pour le compte du «responsable du traitement». 42
1. Pour l u5lisa5on des cookies Obliga5ons liées à l u5lisa5on des cookies : Informer et demander l accord Publicité comportementale : Quid / quand? celui qui place et accède celui qui configure et édite le contenu du site web? 43
2. Pour le traitement de données personnelles Obliga5ons liées au statut de «responsable du traitement» Principal acteur visé par le régime général de la loi de 1992 Une mul5tude d obliga5ons (parfois peu précises) : Ø Respect des principes généraux : légalité, légi3mité, propor3onnalité ; Ø Informa3on des personnes concernées ; Ø Déclara3on à la Commission Vie Privée; Ø Mesures de sécurité et de confiden3alité suffisantes ; Ø En cas de sous- traitant : men3ons contractuelles obligatoires ; Ø En cas de transfert hors UE : niveau de protec3on adéquat. 44
2. Pour le traitement de données personnelles Obliga5ons liées au statut de «sous- traitant» N agir que sur instruc5ons du «responsable du traitement» : Le sous- traitant est un exécutant ; il ne prend pas l ini3a3ve de nouveaux traitements, ni de modifier les modalités du traitement. Se conformer aux mesures de sécurité et de confiden5alité imposées par le «responsable du traitement» ; Présenter les garan5es suffisantes pour ce faire. 45
C. Applica5on à la publicité en réseau Publicité comportementale : Avis 04/2012 du Groupe 29 Editeur : v v «déclenche» le placement de cookies et le traitement ; (Co)- responsable du traitement car co- détermine les moyens et les finalités du traitement Fournisseur de réseau publicitaire : v v Place les cookies et y accède ; (Co)- responsable du traitement car contrôlent les moyens et les finalités du traitement 46
C. Applica5on à la publicité en réseau Publicité comportementale : Annonceur : le cas échéant, responsable du traitement ultérieur d informa3on lors du clic sur son annonce p.ex. : «Si l annonceur saisit l informa0on de ciblage (par exemple, certaines données démographiques telles que jeunes mamans ou un groupe d intérêt comme amateur de sports extrêmes ) et la combine avec le comportement de naviga0on ou les données d inscrip0on de la personne concernée, il est alors un responsable autonome du traitement des données pour cede par0e du traitement.» (Avis 2/2010 du Groupe 29 sur la publicité comportementale) 47
C. Applica5on à la publicité en réseau Publicité comportementale : deux acteurs non évoqués Régie interne: vend de l espace publicitaire au nom et pour le compte de l éditeur Agence de communica5on / agence média : achète de l espace publicitaire au nom et pour le compte de l annonceur «sous- traitants» au sens de la loi de 1992? Dépend de la nature de l interven5on : apprécia5on de fait Dépend des disposi5ons contractuelles Evolu5on des rôles des intermédiaires tradi5onnels 48
Recommanda5ons à l usage des u5lisateurs de l Automated trading 49
Observa5ons finales Toute utilisation de cookies n est pas considérée comme «intrusive» Les techniques considérées «intrusives» (profilage / tracking) font l objet de règles plus strictes, mais sont néanmoins autorisées Le projet de règlement européen ne remet pas en question ces observations 50
Recommanda5ons Choisir des partenaires fiables et sérieux S informer quant aux techniques de profilage / tracking employées Être attentif aux clauses contractuelles : Le cas échéant, prévoir une clause de partage de responsabilité ; Le cas échéant, prévoir une clause de garantie réciproque en cas de manquement de l une ou l autre des parties. 51
Ques5ons / réponses 52
Merci pour votre aaen5on Jan DECORTE: jdc@koan.eu Ann FROMONT: afr@koan.eu 53
47 rue de Monceau FR 75008 Paris T: +33 (0)1 56 69 71 20 F: +33 (0)1 56 69 71 14 www.koan.eu Boulevard du Souverain 100 B 1170 Bruxelles T: +32 (0)2 566 90 00 F: +32 (0)2 566 90 10 hap://www.linkedin.com/pub/koan- law- firm/20/a04/4a5 @KoanLaw 54