Si le état actuel de la confidentialité des données Si vous avez l'impression d'être dans une impasse, vous n'êtes pas le seul. Aux États-Unis, il semble que nous soyons en passe d'avoir 50 États disposant tous de leurs propres lois sur la confidentialité des données avant que quoi que ce soit ne soit adopté au niveau fédéral. Cette absence de décision affecte l'adaptation et l'innovation dans le secteur de l'adtech. De nombreuses entreprises du secteur technologique sont frustrées parce qu'il y a trop d'incertitude et qu'en l'absence de règles et de paramètres précis, il n'y a pas de voie claire pour aller de l'avant.
Cet article explique ce qui pourrait se profiler à l'horizon en matière de réglementation sur la protection de la vie privée, les changements opérés par les entreprises technologiques et ce que les annonceurs peuvent faire pour rester en conformité au cours des prochaines années d'incertitude.
Qu'est-ce qui crée de l'incertitude dans les réglementations relatives à la protection de la vie privée ?
Cinq facteurs principaux créent de l'incertitude dans le domaine de la protection de la vie privée.
- Nouvelles réglementations en matière de confidentialité des données continuent d'être créées, ce qui brouille les cartes pour les entreprises opérant dans les États américains et les régions du monde. Exemple : Ebbie Yazdani, directeur de la politique fédérale chez TechNet, a expliqué aux responsables de la protection de la vie privée de la National Press le coût des réglementations étatiques. "Si nous permettons à un patchwork de lois étatiques de continuer à se développer, et/ou si le Congrès n'est pas en mesure de préempter totalement les lois étatiques, il y aura un coût énorme pour l'économie et le leadership technologique de l'Amérique", a déclaré Mme Yazdani, citant un rapport de la Commission européenne sur la protection de la vie privée et des données personnelles. Étude qui a déclaré que si 50 États adoptaient leurs propres lois sur la protection de la vie privée, cela coûterait 1 000 milliards de dollars à l'économie sur une période de 10 ans.
- Les réglementations existantes font l'objet d'amendements visant à ajouter de nouvelles restrictions. La Californie a déjà modifié la CCPA avec la CPRA et les autorités fédérales existantes étendent leur champ d'application. De même, les actions en justice ajoutent de nouvelles définitions aux réglementations, comme l'ont fait les actions en justice Schrems dans l'UE. Exemple : Le HHS (qui réglemente l'HIPAA) a donné les définitions suivantes des orientations qui feraient des données pseudonymes des PHI au sens de la HIPAA lorsqu'ils sont collectés sur des sites gérés par des entités couvertes.
- Les poursuites judiciaires commencent à faire des ravages avec un débat supplémentaire sur la manière d'appliquer les réglementations au niveau mondial. En outre, le droit d'action privé prévu dans certains projets de loi sur la protection de la vie privée augmente la probabilité de recours collectifs. Exemple : Les poursuites judiciaires et les amendes ne se produisent pas seulement en réaction aux violations de données. En septembre 2022, Le commissaire irlandais à la protection des données (DPC) a infligé une amende à Instagram pour violation de la vie privée des enfants en vertu du règlement GDPR. Cette plainte de longue date concerne des données appartenant à des mineurs, qui ont été rendues publiques lorsque les utilisateurs ont transformé leur profil en compte professionnel afin d'accéder à des outils d'analyse. Meta conteste l'action en justice, en désaccord avec la manière dont l'amende a été calculée.
- Le gouvernement fédéral américain a du mal à définir son rôle. Il y a eu des tentatives de législation fédérale sur la protection de la vie privée, mais elles n'ont pas abouti. Et les organes fédéraux existants étendent leur autorité pour tenter de combler cette lacune. Exemple : Le gouvernement fédéral a tenté à plusieurs reprises d'adopter des lois fédérales sur la protection de la vie privée. La plus notable est la Loi américaine sur la protection des données (ADPPA) qui n'a pas été adoptée en raison de craintes de conflit avec la loi californienne sur la protection de la vie privée (California Privacy Act, CPA).
- La technologie n'a pas de voie claire pour l'avenir. Les entreprises qui collectent des données numériques et créent des produits à partir de ces données ne sont pas d'accord sur la voie à suivre, car il n'y a pas d'état futur clair pour les réglementations en matière de protection de la vie privée. Exemple : Google Chrome continue de retarder l'abandon des cookies et d'améliorer son approche des sujets dans l'Environnement de travail, malgré les préoccupations des parties extérieures.
Pendant toute cette période d'incertitude, l'utilisation des données est scrutée à la loupe par les procureurs généraux des États et les régulateurs européens de la protection de la vie privée. Toutes les entreprises qui collectent, analysent et utilisent des données s'exposent à des poursuites judiciaires et à des frais de non-conformité.
Une loi fédérale américaine va-t-elle bientôt supplanter les réglementations nationales ?
À la fin du premier trimestre 2023, cinq États avaient signé des lois sur la confidentialité des données et 19 autres étaient en cours d'élaboration, certains d'entre eux ayant plusieurs projets de loi en cours. On s'attend à ce que quatre ou cinq d'entre elles soient adoptées en 2023, les autres devant suivre en 2024 et dans les années à venir.
Il y a eu quelques tentatives au niveau fédéral pour établir de nouvelles réglementations en matière de confidentialité des données. Plusieurs dirigeants fédéraux, dont la sénatrice Amy Klobuchar (D-Minn.), ont présenté des lois fédérales sur la confidentialité des données, mais sans succès. La sénatrice Suzan DelBene (D-Wash.) a proposé législation sur la confidentialité des données en ligne qui donnerait aux consommateurs le contrôle de leurs données et à la Commission fédérale du commerce le droit de les faire respecter.
La tentative récente la plus connue est l'American Data Privacy and Protection Act (ADPPA). L'ADPPA était une proposition de loi fédérale américaine sur la protection de la vie privée en ligne qui, si elle avait été promulguée, aurait réglementé la manière dont les organisations conservent et utilisent les données des consommateurs. Malheureusement, les défenseurs de la CCPA californienne ont estimé que l'ADPPA n'était pas assez forte pour protéger les Californiens. La présidente de la Chambre des représentants, Mme Pelosi, s'est alignée sur les défenseurs californiens, publier une déclaration que l'ADPPA "doit continuer à protéger les Californiens - et les États doivent être autorisés à faire face à l'évolution rapide de la technologie".
La loi américaine sur la protection des données personnelles (ADPPA) bénéficie d'un soutien bipartisan et est le texte le plus proche de l'adoption par les États-Unis d'une loi complète sur la protection des données personnelles des consommateurs. Mais elle n'a pas encore été adoptée. En 2023, la représentante Kathy McMorris Rogers devrait réintroduire le projet de loi.
Si la loi ADPPA devait être adoptée, il est important de comprendre les différences entre cette loi et la loi CCPA. L'ADPPA va beaucoup plus loin que la CCPA en faisant peser la charge de la protection des informations sur ceux qui les traitent plutôt que sur les personnes qui les génèrent. Voici quelques-unes des principales différences :
- Il précise et limite les utilisations autorisées des données.
- Elle exige des évaluations de l'impact sur la vie privée et sur les algorithmes.
- Elle étend les protections des droits civils en ligne, en les protégeant contre la manipulation.
- Le droit d'intenter une action en justice est beaucoup plus large pour l'individu.
L'ADPPA serait la première législation complète sur la protection de la vie privée à étendre les protections des droits civils à la discrimination dans l'utilisation des informations personnelles et à exiger de toutes les entreprises et organisations à but non lucratif qu'elles intègrent la protection de la vie privée dès la conception lors de l'évaluation de leur utilisation d'algorithmes.
Mais cela passera-t-il bientôt ?
Il existe une polarisation importante sur ce sujet qui crée une paralysie. Étant donné que de plus en plus d'États verront leurs réglementations entrer en vigueur dans un avenir proche, il semble que le gouvernement fédéral s'inspirera de l'expérience des États pour établir un modèle de fonctionnement au niveau national. En d'autres termes, il faudra peut-être attendre des années avant de voir apparaître une réglementation nationale visant à clarifier et à simplifier le respect de la confidentialité des données.
Qu'est-ce que le règlement "vie privée et communications électroniques" par rapport au règlement "vie privée et communications électroniques" ?
Le Règlement général sur la protection des données (RGPD)Le règlement sur la protection des données de l'Union européenne, en vigueur depuis 2018, est largement considéré comme le plus strict au niveau mondial.
Le règlement "vie privée et communications électroniques" a également été proposé récemment dans l'UE. Ce règlement crée une norme de consentement pour les cookies. Il propose également des règles de base pour déterminer quand les données peuvent être traitées, avec, par exemple, l'utilisation de données pseudonymisées ou anonymisées. Ce règlement s'appliquera aux fournisseurs de services de communication électronique traditionnels, tels que les opérateurs de téléphonie mobile et fixe, mais il couvrira également la messagerie instantanée sur Internet et les applications VOIP (courrier électronique, applications, etc.), ainsi que les communications de machine à machine telles que l'IdO.
Alors que le GDPR ne s'applique qu'au traitement des données personnelles, ePrivacy réglemente les communications électroniques même si elles concernent des données non personnelles. En outre, en ce qui concerne les cookies, le règlement "vie privée et communications électroniques" a généralement la priorité. Le règlement "vie privée et communications électroniques" devrait entrer en vigueur en 2023 et sera assorti d'une période de transition de 24 mois.
Les États-Unis et l'UE ont signé un accord vers la fin de l'année 2022 qui réglemente la collecte de données entre les gouvernements des États-Unis et de l'UE sur les citoyens de l'un et l'autre pays, appelé le "système d'échange de données". Cadre de protection des données entre l'UE et les États-Unis. Il remplace les accords précédents (Privacy Shield et Safe Harbor), qui avaient été annulés par la Cour de justice de l'Union européenne (CJUE) en raison des inquiétudes suscitées par la surveillance des personnes concernées par les données des gouvernements de l'UE sans contrôle. Le nouvel accord impose des limites et des garanties à l'accès aux données par les agences de renseignement américaines et établit un mécanisme de recours indépendant et impartial pour traiter et résoudre les plaintes des Européens concernant la collecte de leurs données à des fins de sécurité nationale.
Exploiter les données numériques mondiales pour réussir son marketing à l'avenir
Exploitez les données d'intérêt en temps réel pour renforcer l'engagement des clients et maximiser les résultats en matière de planification, de ciblage, de mesure, etc.
Comment la technologie publicitaire évolue-t-elle pour tenir compte de la confidentialité des données ?
Google poursuit la suppression des cookies tiers dans Chrome. Il a maintenant été retardée jusqu'au second semestre 2024. Google tente de donner l'impression que le "Privacy Sandbox" est viable afin de pouvoir respecter ses engagements vis-à-vis de la CMA britannique.
Le Le World Wide Web Consortium (W3C) a récemment déclaré que la plateforme publicitaire Topics de Google n'était pas bonne. pour la protection de la vie privée et n'y travaille donc pas. Le groupe d'architecture technique (TAG) du W3C a soulevé une série de préoccupations de leur examen préliminaire de l'API "sujets". Le représentant du TAG a écrit que l'API Topics proposée par Google ne protège pas les utilisateurs contre le "suivi et le profilage non désirés" et maintient le statu quo de la "surveillance inappropriée sur le web". Le représentant du TAG a ajouté : "Nous ne voulons pas que cela aille plus loin".
Les développeurs de moteurs de navigation Webkit et Mozilla se sont également exprimés de manière négative sur l'approche de Google, mettant en garde contre les lacunes en matière de protection de la vie privée. Mozilla est allé jusqu'à dire que Topics est "plus susceptible de réduire l'utilité des informations pour les annonceurs que de fournir une protection significative de la vie privée".
Pendant que Google s'efforce de trouver une solution viable, les entreprises sont toujours en mesure d'utiliser les cookies de tiers provenant des utilisateurs de Chrome. Si c'est une bonne nouvelle pour certains, ce retard reporte également les efforts de développement de solutions alternatives et maintient la confidentialité des données comme une préoccupation constante pour les annonceurs travaillant avec ces données.
TrustPid
Entre-temps, les principaux opérateurs européens de télécommunications ont obtenu l'autorisation de créer leurs propres plates-formes publicitaires afin de ne pas perdre leurs activités au profit des grandes entreprises technologiques. Orange, Vodafone, Telefonica et Deutsche Telecom créent TrustPid, une plateforme publicitaire commune. Le développement de leur propre plateforme publicitaire "privacy first" est en cours depuis deux ans. Elle permettra aux quatre entreprises de créer un concurrent aux grandes sociétés technologiques telles qu'Amazon, Apple, Google et Meta. Cette plateforme est développée conformément au règlement GDPR et au règlement ePrivacy à venir, et pourrait donc devenir un modèle de confidentialité pour les futures plateformes publicitaires.
Les entreprises américaines suivent cette affaire de près, car les régulateurs de l'UE affirment depuis des années que le seul moyen d'extraire des informations de l'équipement terminal d'un utilisateur à des fins de ciblage publicitaire est d'obtenir son consentement. Mais les réglementations rendent le consentement incroyablement difficile à obtenir. Si TrustPid a trouvé un moyen d'y parvenir, le monde entier sera intéressé de voir ce qu'ils font pour plaire aux régulateurs de l'UE.
Identifiants universels (UID)
Les régulateurs européens de la protection de la vie privée encouragent les entreprises technologiques à exiger le consentement pour tout identifiant. Toutefois, la manière dont Apple met en œuvre cette mesure leur pose un gros problème. La politique de transparence d'Apple en matière de suivi des applications oblige les développeurs d'applications à afficher une invite supplémentaire (conçue par Apple) pour demander aux utilisateurs finaux la permission au développeur de "suivre" l'utilisateur, même si ce dernier a déjà consenti au partage de ses données par l'intermédiaire de l'outil de consentement du développeur. La crainte que cette mesure ne supprime la concurrence basée sur les données et le choix des consommateurs dans l'écosystème Apple a été soulevée. a déclenché des enquêtes de la part de plusieurs autorités européennes.
Le résultat ? Pour l'instant, l'obtention du consentement est la règle. Mais il n'y a pas encore de voie claire pour l'avenir.
Que peuvent faire les annonceurs pour se protéger contre l'incertitude ?
Le gouvernement fédéral américain finira par adopter une législation qui dissipera la confusion entre les lois des différents États. Et Google finira par supprimer les cookies tiers. Toutefois, ces deux changements majeurs n'interviendront probablement pas avant plusieurs années.
En attendant, les annonceurs doivent s'assurer qu'ils travaillent avec des fournisseurs de données qui respectent les règles suivantes réglementations actives en matière de confidentialité des données. Il est utile de comprendre les principaux aspects des réglementations nationales américaines pour s'assurer que les fournisseurs de données tiers respectent la protection de la vie privée. Recherchez des partenaires de données qui disposent de plusieurs options pour gérer le consentement (à la fois opt-out et opt-in). Ils auront également mis en place des plans pour traiter les demandes de données et les actions en justice relatives à la protection de la vie privée.
Aspects clés des fournisseurs de données tiers respectueux de la vie privée :
- La définition des informations personnelles est large et inclut les identifiants pseudonymes. Le règlement contient une définition large des informations personnelles qui inclut désormais les identifiants pseudonymes. Remarque : chaque société de technologie publicitaire dispose d'un identifiant unique, ce qui constitue toujours un traitement de données à caractère personnel.
- Ils disposent d'une option de refus claire et d'une option d'acceptation selon les besoins. Un fournisseur respectueux de la vie privée proposera une option de refus claire et une option d'acceptation pour les données sensibles telles que la santé, la religion, etc.
- Ils disposent d'un moyen de traiter les demandes d'accès des personnes concernées. Les données pseudonymes sont difficiles à vérifier en cas de demande. Un fournisseur respectueux de la vie privée aura déjà trouvé comment procéder.
- Ils disposent d'un plan de gestion d'un droit d'action privé. Les procureurs généraux ont la possibilité d'intenter des actions en justice pour faire appliquer les lois et il est important de savoir que votre fournisseur de données dispose d'un plan pour traiter et démontrer la conformité avant qu'une action en justice formelle ne soit intentée.
Il est essentiel de s'assurer que vos partenaires en matière de données respectent les réglementations relatives à la confidentialité des données, aujourd'hui et à l'avenir. Il est préférable de prévoir les restrictions les plus strictes dès maintenant, avant qu'il ne soit trop tard, et la seule façon d'y parvenir est de ne pas le faire seul, mais de travailler avec une équipe de spécialistes de la protection des données. partenaire de données respectueux de la vie privée comme ShareThis.