Bmma privacy legal aspects
-
Upload
bmma-belgian-management-and-marketing-association -
Category
Documents
-
view
229 -
download
3
description
Transcript of Bmma privacy legal aspects
10 lundis pour
rattraper le train du
digital
Legal aspects related to privacy
Jan Decorte & Ann Fromont
10 lundis pour
rattraper le train du
digital
Le marketing digital : un secteur en pleine expansion
• Deux grands segments :
• “Search marketing” : visibilité d’un site web sur les moteurs de recherche ;
• “Display marketing” : affichage d’un contenu publicitaire sur un site de contenu éditorial (bannière, vidéo, etc.)
• Mais aussi :
• Email marketing
• Viral marketing
• Social marketing
• Affiliate marketing
• Automated trading and real-time bidding
• Etc.
10 lundis pour
rattraper le train du
digital
1. Introduction générale sur la loi « Vie Privée »
2. Les risques et sanctions en cas de non-respect de la loi « Vie Privée »
3. Examen de quelques pratiques spécifiques
3
Les aspects légaux
10 lundis pour
rattraper le train du
digital
4
1. Introduction générale sur la loi « Vie Privée »
A. Principes et concepts généraux
B. Bases légales (et limites)
10 lundis pour
rattraper le train du
digital
A. Concepts généraux
Donnée personnelle : tout élément permettant d’identifier une personne physique, ou la rendant directement ou indirectement identifiable ;
Traitement : toute opération, automatisée ou non
p.ex. la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel ;
Responsable du traitement : la personne qui détermine les moyens et les finalitésd’un traitement ;
Sous-traitant : toute personne traitant des données à caractère personnel pour lecompte du responsable du traitement ;
Destinataire : la personne qui reçoit les données (tiers ou non) ;
Tiers : toute personne autre que la personne concernée, le responsable dutraitement, le sous-traitant et les personnes qui, placées sous l'autorité directe duresponsable du traitement ou du sous-traitant, sont habilitées à traiter les données
5
10 lundis pour
rattraper le train du
digital
6
Données personnelles
sensibles
Données pseudonymes
Données anonymes
Données personnelles
6
personal data relating to race or ethnic origin, political opinions, religionor philosophical beliefs, sexual orientation or gender identity, trade-unionmembership and activities, genetic or biometric data, health or sex life,administrative sanctions, judgments, criminal or suspected offences,convictions, or related security measures
any information relating to an identified or identifiable natural personwho can be identified, directly or indirectly, in particular by reference to anidentifier such as a name, an identification number, location data, uniqueidentifier or to one or more factors specific to the physical, physiological,genetic, mental, economic, cultural or social or gender identity of thatperson
personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution
data which are neither personal data, nor pseudonymous data
Différents types de données
10 lundis pour
rattraper le train du
digital
A. Principes généraux
Principes de légalité Le traitement doit reposer sur une base légale
Principe de finalité But spécifique, adéquat et légitime
Principe de proportionnalité Données adéquates, pertinentes et non excessives
Données exactes et à jour
Durée de conservation raisonnable
Sécurité et confidentialité Protection de l’accès aux données (serveurs sécurisés, mots de passe, etc.)
Engagements de confidentialité
Déclaration auprès de la Commission Vie Privée Sauf exemptions (A.R. 13/02/2001)
7
10 lundis pour
rattraper le train du
digital
A. Principes et concepts générauxChamp d’application
1. Matériel : Article 3 Loi 12/08/1992
Application :Traitement automatisé en tout ou en partie ;
Traitement non automatisé de données à caractère personnel contenues ouappelées à figurer dans un fichier (ensemble structuré).
Exclusion :Traitement effectué par une personne physique pour l'exercice d'activitésexclusivement personnelles ou domestiques.
Modalisation :Traitement à des fins journalistiques / artistiques / littéraires.
8
10 lundis pour
rattraper le train du
digital
A. Principes et concepts générauxChamp d’application
2. Territorial : Article 3 bis Loi 12/08/1992
« 1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'unétablissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loibelge s'applique en vertu du droit international public;
2° lorsque le responsable du traitement n'est pas établi de manière permanente sur leterritoire de la Communauté européenne et recourt, à des fins de traitement de données àcaractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autresque ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.
Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner unreprésentant établi sur le territoire belge, sans préjudice d'actions qui pourraient êtreintroduites contre le responsable du traitement lui-même. »
9
10 lundis pour
rattraper le train du
digital
B. Bases légales (et limites)
La finalité doit être spécifique et autorisée par la loi
6 cas de figure :
Consentement ;
Nécessaire pour l’exécution d’un contrat ;
Obligation légale ;
Protection de l’intérêt vital ;
Nécessaire à l’accomplissement de missions d’intérêt public ou à l’exercice del’autorité publique ;
Nécessaire à la poursuite d’intérêts légitimes du responsable du traitement, àcondition que les intérêts de la personne concernée ne prévalent pas (balanceéquitable).
10
10 lundis pour
rattraper le train du
digital
Consentement ?
Libre: réelle liberté de choix ;
Spécifique: la portée exacte du consentement donné doit être connue ;
Informé: de toutes les informations nécessaires pour évaluer exactement lesconséquences du consentement.
En pratique: Privacy Policy / Politique de confidentialité / Charte Vie Privée
11
B. Bases légales (et limites)
10 lundis pour
rattraper le train du
digital
12
2. Les risques et sanctions en cas de non-respect de la Loi Vie Privée
A. Sanctions pénales
B. Sanctions administratives
La réalité de la Commission Vie Privée Le projet de règlement européen
C. Sanctions civiles
10 lundis pour
rattraper le train du
digital
A. Sanctions pénales
• Articles 38-42 Loi Vie Privée
Pas de pouvoir direct de sanction de la Commission Vie Privée
Peut transmettre le dossier au Procureur du Roi
• Sanctions concrètes
Emprisonnement de 3 mois à 2 ans
Amendes de 100 à 100.000 EUR
Publicité du jugement
Confiscation du matériel
13
10 lundis pour
rattraper le train du
digital
Organisme faisant autorité ou simple référence ?
Créée 1992 / Organe de contrôle indépendant / 16 membres / Comités sectoriels
Missions :
Consultation sur toute question liée à la protection de la vie privée
Information et assistance
Contrôle et inspection
Gestion des plaintes
En pratique:
- Médiation ;
- Avis sur le caractère fondé d’une plainte ;
- Influence dans le cadre d’une procédure pénale / civile.
14
B. Sanctions administrativesLa réalité la Commission Vie Privée
10 lundis pour
rattraper le train du
digital
European wind of change ?
Voué à remplacer la Directive 95/46/CE vers une plus grande homogénéité
Quelques modifications importantes:
Extra-territorialité
One-stop-shop
Data protection officer (> 5000 personnes concernées)
European Data protection Board / Comité européen de la protection des données
Sanctions (!): Amendes jusqu’à 100.000.000 € ou 5% du chiffre d’affaires mondial.
Notification violation dans les 72 heures
Timing: adoption PE 1ère lecture 11/03/2014 - best case scenario: fin 2015 (?)
15
B. Sanctions administrativesLe projet de règlement européen
10 lundis pour
rattraper le train du
digital
C. Sanctions civiles
Action en cessation devant le Président du TPI : Article 14 L 08/12/1992
Exemple pratique : marketing viralCour d’appel de Liège, 19 novembre 2009 : confirme ordonnance de cessation avec astreinte de 10.000€ par infraction constatée (TPI Huy)
Responsabilité contractuelle ou extracontractuelle : Article 15 L 08/12/1992« Le responsable du traitement est responsable du dommage causé par un acte contraireaux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cetteresponsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. »
Obstacle : quel est le dommage subi ? Exemples pratiques :
Atteinte à l’honneur et à la réputation ; Détournement d’informations bancaires ; Collecte illicite de données et dommage causé par un tiers destinataire ; …
! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droitéconomique) E.V. : 1er septembre 2014
16
10 lundis pour
rattraper le train du
digital
C. Sanctions civiles
! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droitéconomique) E.V. : 1er septembre 2014
QUI ? (Art. XVII.38 et 39)
Un groupe de consommateur lésés, à titre individuel, par un intérêt commun, représenté par :
‐ une association de défense des consommateurs (P.J., siégeant au Conseil de la Consommationou agréée par le ministre sur base des critères à déterminer par A.R.) ;
‐ une asbl agréée par le ministre (P.J. depuis au moins 3 ans), dont l'objet social est en relationdirecte avec le préjudice collectif subi ;
‐ le Service de Médiation pour le consommateur, uniquement en vue de représenter le groupedans la phase de négociation d'un accord de réparation collective.
OÙ et COMMENT ? (Art. XVII.35 et 43) : requête au TPI ou Trib. Comm. de Bruxelles
PROCEDURE ?
‐ Phase de négociation : dans un délai de 1 à 3 mois ;
‐ Phase de décision sur le fond : le cas échéant, montant à répartir entre les personnes lésées.
17
10 lundis pour
rattraper le train du
digital
18
3. Examen de quelques pratiques spécifiques
A. Cas simples
B. Pratiques sensibles
Email marketing Viral marketing Online behavioural advertising Big Data …
10 lundis pour
rattraper le train du
digital
Politique de confidentialité
Les bonnes questions à se poser :
Y’a-t-il un traitement de données personnelles ?
Dans quel but ce traitement est-il effectué ?
Faut-il demander le consentement ?
Les données seront-elles conservées ?
Les données seront-elles transmises à un tiers ?
Les données seront-elles transférées dans un pays tiers ?
19
A. Cas simplesSites purement informatifs ou sites d’e-commerce
10 lundis pour
rattraper le train du
digital
Politique de confidentialité
Informations à fournir :
Nom et adresse du responsable
Finalités du traitement
Droits de la personne concernée : accès, rectification, opposition
Destinataires des données
Réponse obligatoire ou non
20
A. Cas simplesSites purement informatifs ou sites d’e-commerce
10 lundis pour
rattraper le train du
digital
21
A. Cas simplesSites purement informatifs ou sites d’e-commerce
10 lundis pour
rattraper le train du
digital
Consentement préalable, libre, spécifique et informé
= « opt-in »
Sauf en cas d’opposition manifeste = « opt-out » : • Personnes morales (adresse impersonnelle) : info@..., helpdesk@...,
contact@..., etc.
• Clients existants pour produits / services analogues
La publicité doit être clairement identifiable comme telle et mentionner : • la personne physique ou morale pour le compte de laquelle elle est faite ;
• le droit de s’opposer, pour l’avenir, à recevoir des publicités ;
• le moyen d’exercer efficacement ce droit par voie électronique.
22
B. Pratiques sensiblesEmail marketing
10 lundis pour
rattraper le train du
digital
Qu’est-ce que le marketing viral ?
« Le but premier de l’annonceur consiste toujours in fine à promouvoir la vente d’un produit oud’un service, même si en pratique, le caractère publicitaire du message ou la marquen’apparaissent pas toujours dès le début de la campagne. »
http://economie.fgov.be
« Inciter une personne à communiquer des données à caractère personnel d'amis ou deconnaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnelainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parceque les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pasnon plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propresdonnées à caractère personnel. »
http://www.privacycommission.be
23
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
Qu’est-ce que le marketing viral ?
Pas de définition légale
Pose 3 questions principales :
Faut-il indiquer la mention « publicité » ?
La marque est clairement visible sur le support ? - Caractère publicitaire manifeste
Teasing ? - Caractère publicitaire ambigu
Faut-il indiquer les coordonnées du vendeur ?
L’information doit être aisément disponible : lien vers site web = OK
Qui traite les données ?
24
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
Le marketing viral est-il légal ?
Trois types de marketing viral :
1. Outil de collecte d'adresses électroniques
2. Simple incitation à transmettre un message
3. Application permettant de transmettre plus facilement un message à des contacts (« amis »)
25
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
Le marketing viral est-il légal ?
1er cas: Outil de collecte d'adresses électroniques – Attention!
L’annonceur réalise trois opérations :
collecte des adresses e-mail chez ses clients/prospects envoie un message (texte ou vidéo) aux amis de son client enregistre les adresses e-mails
La collecte et l’enregistrement d’adresses e-mail est un traitement de données à caractère personnel :
– Déclaration du traitement auprès de la CPVP– Les finalités doivent être légitimes– Information de la personne concernée– Droit d’accès et de rectification
Envoi d’e-mails : lorsque l’annonceur envoie un message publicitaire aux amis de ses clients, il s’agit d’un courrier électronique non sollicité (spam) : opt-in
26
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
Le marketing viral est-il légal ?
2ème cas : Simple incitation à transmettre un message – OK !
Le consommateur est encouragé à transmettre un message, un lien, une vidéo à ses amis par les moyens qu’il choisit lui-même:
– Réseaux sociaux (Netlog, Facebook, Twitter, Myspace, …)
– Courrier électronique
– Blogs personnels
– Messageries instantanées
– Transmission hors ligne
Différents types de campagne :
– Sites Internet dédiés à une campagne
– Partage d’économiseurs d’écran
– Films sur Youtube ou Dailymotion
– Jeux promotionnels
– Groupes sur des réseaux sociaux
27
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
Le marketing viral est-il légal ?
3ème cas : Application permettant de transmettre plus facilement un message à des contacts – Cas limite
– Possibilité de limiter les risques d’illégalité : l’annonceur n’envoie pas de message, c’est le consommateur qui le fait avec l’aide de l’annonceur ;
– L’annonceur offre un outil technique pour transmettre un message ;
– L’annonceur ne collecte pas les données (pas d’enregistrement)
Selon la Commission Vie Privée, les actions de marketing viral sont illégales au regard de la loi« Vie privée » au motif qu’elles « semblent pas bénéficier de suffisamment de légitimité à lalumière de la LVP »
Mais :
– S’agit-il d’un traitement de données à caractère personnel?
– L’annonceur est-il le responsable du traitement?
28
B. Pratiques sensiblesViral marketing
10 lundis pour
rattraper le train du
digital
• Attrait du digital : payer moins pour une audience plus pertinente
• Publicité contextuelle : liée au contenu de la page webEx. : AdSense (Google)
• Publicité comportementale : liée au comportement del’utilisateur
Ex. : DoubleClick (Google), Beacon (Facebook), etc.
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
Qu’est-ce que la publicité comportementale ?
Publicité comportementale simple :
Collecte directe et visible (formulaires) ;
Collecte directe et invisible (comportement).
Publicité comportementale de réseau :
Collecte indirecte et invisible par le biais du réseau publicitaire (comportement à travers les sites).
Un nouvel intermédiaire est né :
le fournisseur de réseau publicitaire
30
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
31
Consommateur
http://SF-hotel-review.com http://dogsblogs.com http://social-network.net
Pub: HotelSupersite
Pub: HotelSupersite
CookieID = 12345
CookieID = 12345
CookieID = 12345 Cookie
ID = 12345visite Social Network
CookieID = 12345visite SFHotels
CookieID = 12345visite Dogsblogs
Fournisseur de réseau de publicités
10 lundis pour
rattraper le train du
digital
32
A partir de quand identifie-t-on une personne physique ?
un appareil = une personne physique ?
Exemples :
- Utilisateur enregistré sur un site web (e-commerce) ;- Recoupement de données entre sites ;- Informations disponibles auprès des FAIs.
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
33
Consommateur
Jean Dupont Bruxelles (BE)
http://www.dogzblogs.com
Fournisseur de réseau de publicités
Jean Dupont Bruxelles (BE)visite DogsBlogs
CookieID = 12345
10 lundis pour
rattraper le train du
digital
34
En présence de données à caractère personnel :
application du régime général prévu par la loi du 8 décembre 1992sur le traitement des données personnelles
Les bons réflexes :
Dans quel but ce traitement est-il effectué ? Faut-il demander le consentement ? Quelle information faut-il donner et quand ? Combien de temps les données seront-elles conservées ? A qui les données seront-elles transmises ? (catégories de destinataires) Les données seront-elles transférées vers un pays tiers à l’UE ? (si oui:
conditions !) Faut-il déclarer le traitement ?
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
35
Même en l’absence de données à caractère personnel :
application de l’art. 129 de la loi du 13 juin 2005 sur les communicationsélectroniques (cookies)
En cas de dépôt et lecture d’informations sur un équipement terminal :
- quelle que soit la technologie empruntée (cookies http, cookies flash, pixelsinvisibles, etc.) ;
- quel que soit le moment (consultation site web, emails, etc.) ;
- quel que soit le terminal concerné (ordinateur, tablette, smartphone, TVconnectée, console de jeux, etc.).
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
36
Article 129 L. 13 juin 2005: le principe
« Le stockage d'informations ou l'obtention de l'accès à des informations déjàstockées dans les équipements terminaux d'un abonné ou d'un utilisateur estautorisée uniquement à condition que :
1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixéesdans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égarddes traitements de données à caractère personnel, des informations claires etprécises concernant les objectifs du traitement et ses droits sur la base de la loi du 8décembre 1992 ;
2° l'abonné ou l'utilisateur final ait donné son consentement après avoir étéinformé conformément aux dispositions visées au point 1. »
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
37
Article 129 Loi du 13 juin 2005 : les exceptions
« L'alinéa 1er n'est pas d'application pour l'enregistrement technique desinformations ou de l'accès aux informations stockées dans les équipementsterminaux d'un abonné ou d'un utilisateur final
ayant pour seul but de réaliser l'envoi d'une communication via un réseau decommunications électroniques ou ;
de fournir un service demandé expressément par l'abonné ou l'utilisateur finallorsque c'est strictement nécessaire à cet effet. »
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
38
Avis 4/2012 du Groupe 29 : typologie des cookies
Cookies « intrusifs » : consentement explicite requis
• les cookies de modules sociaux de pistage ;• les cookies publicitaires de tiers ;• les cookies analytiques d’origine ;• …
Cookies « non-intrusifs » : consentement explicite n’est pas requis
• les cookies alimentés par l’Internaute (p.ex. panier d’achat) ;• les cookies d’authentification ;• les cookies de sécurité centrés sur l’Internaute ;• les cookies de personnalisation de l’interface utilisateur (p.ex. préférences
linguistiques) ;• les cookies de modules sociaux de partage de contenu ;• ...
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
39
Exemples
10 lundis pour
rattraper le train du
digital
40
B) Utiliser les cookies en toute légalité
10 lundis pour
rattraper le train du
digital
41
Présence d’une bannière informant sur :
• Les finalités :« afin de vous offrir une meilleure expérience de navigation »
• Les moyens de s’opposer :« voir notre Politique de Cookie »
• Le dépôt de cookies en cas de poursuite de la navigation :o « J’accepte tous les cookies pour les sites de Rezidor Hotels » (précoché)o « Je suis conscient que certains cookies sont requis pour l’utilisation des sites de
Rezidor Hotels, mais je n’accepte pas les cookies qui collectent des informationsau-delà de cette portée » (à cocher)
Présence d’une Politique de confidentialité :
• indiquant comment activer / désactiver les cookies ;
• en danois uniquement !
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
42
www.youronlinechoices.com (OBA Framework)
10 lundis pour
rattraper le train du
digital
43
Quelles sont les modifications essentielles à venir ?
• Un nouveau concept : les “données pseudonymes”
= des données à caractère personnel qui ne peuvent pas être attribuées à unepersonne concernée sans avoir recours à des informations supplémentaires,pour autant que de telles informations supplémentaires soient conservéesséparément et soumises à des mesures techniques et organisationnelles afin degarantir cette non-attribution;
• Conditions plus strictes pour le “consentement” ;
• Conditions plus strictes pour le“profilage”.
B. Pratiques sensiblesOnline behavioural advertising
10 lundis pour
rattraper le train du
digital
44
Merci pour votre attention
Ann FROMONT: [email protected] DECORTE : [email protected]