Après le RGPD voici ePrivacy !

En direct des bureaux du marketing…

La commission et le parlement européen souhaitent mettre en place le projet de Marché Unique Numérique européen (MUN). Pour restaurer la confiance des européens, et renforcer la sécurité des communications, ils ont décidé de reformer la directive européenne ePrivacy datant de 2002. Ce nouveau règlement, toujours baptisé ePrivacy, viendra préciser ou compléter le RGDP déjà en vigueur. A la différence du RGDP, qui concerne la protection des données personnelles en général, ePrivacy est spécifiquement orienté vers la communication électronique.
Pour le emarketing, ePrivacy va exiger un consentement pour toute collecte de données personnelles mais aussi de toute forme d’information d’un terminal en vue d’un traitement pour de la publicité ciblée (donnée et métadonnée).
La Commission souhaitait à l’origine une adoption des deux règlements en mai 2018. Le RGDP a été adopté, mais pas encore ePrivacy qui fait toujours l’objet de débats. Suite à la proposition de la Commission de janvier 2017, le Parlement a rendu son avis en octobre 2017. Des amendements ont été proposés. Le trilogue (Commission – Parlement – Conseil) est toujours en cours. Pour rappel un règlement, contrairement à une directive européenne, s’applique à tous les pays de l’Union, avec peu d’adaptations nationales.
A l’issue des négociations, il ne fait aucun doute que notre cœur de métier sera directement touché par ce nouveau règlement. Nous pensons qu’il sera voté au premier trimestre 2019. 

Ce qui va changer !

Nous, les marketers, allont perdre à court terme toute relation avec les consentements « cookie based » avec un impact global sur tous les parcours client.
Risque : Le consentement risque d’être géré au niveau supérieur (navigateur, OS), avec une opposition par défaut du suivi multidomaine et du stockage de données.
Opportunité : En cas d’opt-in global, l’utilisateur donnera son consentement à-priori. Une friction de moins dans notre processus de tracking.

Au départ la Commission souhaitait que les utilisateurs finaux aient un choix large : du non-consentement «ne jamais accepter les cookies») jusqu’au consentement global permissif («toujours accepter les cookies»), en passant par des options intermédiaires («rejeter les cookies de tiers»).
Mais cette proposition a été amendée par le Parlement qui souhaite que les utilisateurs aient le choix entre 5 catégories de finalités :
1- suivi à des fins commerciales ou à des fins de prospection directe à des fins non commerciales (publicité comportementale);
2 – suivi aux fins de la fourniture de contenu personnalisé;
3 – suivi à des fins d’analyse;
4 – suivi des données de localisation;
5 – communication de données à caractère personnel à des tiers (y compris communication d’identifiants uniques pour corrélation avec des données à caractère personnel détenues par des tiers) »
Il propose donc une granularité plus fine des permissions. Une décision qui demande toutefois une certaine expertise à l’utilisateur.
Un consentement opt-in supplémentaire est envisagé par le législateur. Chaque site pourrait proposer un opt-in au moment de la connexion au service… même si nous ne savons pas encore qui prendra cet opt-in en charge. Le navigateur, le traceur (qui dépose le cookie), ou l’éditeur du service ?
Tout laisse penser que ce seront les éditeurs de service qui conserveront cet opt-in.
L’utilisateur final aura aussi le loisir de créer une liste blanche de sites Web dont il accepte les cookies tiers. Et aussi une liste noire de sites où l’utilisateur refuse tout cookie tiers. C’est déjà le cas dans Mozilla Firefox.
Nous assistons à un déplacement du consentement de nos plateformes vers l’utilisateur. Pour ce dernier, tout sera plus simple : il n’aura à gérer qu’un seul paramétrage global.
Mais cette proposition fait débat : un consentement global, donné à-priori et une fois pour toute, peut-il être considéré comme « informé » et « spécifique » au sens de l’article 4§11 du RGDP ?
Le contrôle de confidentialité est au cœur de l’ePrivacy, il sera adopté lors du vote définitif.

Il convient de se préparer à une baisse des visiteurs « identifiables » sur nos plateformes.

Le risque principal pour les pros du marketing : 
Si un utilisateur restreint globalement ses permissions de confidentialité, jusqu’à « refuser les cookies de tiers », nous aurons des difficultés à l’identifier sur nos différents points de contact. Nous perdrons beaucoup de pertinence sur les trackings. Il peut même être « invisible » pour notre remarketing comportemental via les cookies ou identifiants de terminaux.
Cette proposition vient clore une série de tentatives de régulation du cookie, et rien ne prédit son adoption massive.
Nous avions déjà le protocole « Do Not Track » au niveau du navigateur, mais qui n’est toujours pas adopté au niveau du W3C (7 ans de procédure). Apple, en 2012, qui a basculé de l’identifiant unique et personnel (UDID) à l’identifiant publicitaire variable (IDFA). Ce dernier proposant un effacement (« reset ») de l’identifiant. Au final, peu d’utilisateurs s’en servent.
Les trois mesures ayant eu des effets significatifs ont été :
– 2016, Apple imposant sur ses terminaux le LAT (Limit Ad Tracking) qui permet un opt-out complet de tout tracking (Conséquence : 20% des utilisateurs auraient activé cette fonction).
– Apple limitant – unilatéralement – la durée de vie des cookies tiers à 24h.
– Le RGDP, qui a fait baisser de 22% en trois mois l’utilisation par les sites des cookies 3rd party.

Un rappel de consentement tous les 6 mois va aussi générer une augmentation de l’opt-out en cas de liaison relâchée entre la plateforme et l’utilisateur.
Si l’éditeur conserve la main sur le consentement au niveau de sa plateforme, nous pourrons limiter les pertes en sollicitant le visiteur comme nous le faisons déjà avec les pop-ups cookies / RGDP.
Il faut prévoir une inflation de pop-ups de demande d’opt-in, similaire à celle de l’entrée en vigueur du RGDP en mai 2018.
Je propose que notre équipe UX / UI prépare déjà des messages pour solliciter l’acceptation de nos cookies quand nous détectons un navigateur ou OS très « restreint » en termes de confidentialité.
Un renouvellement d’opt-in après 30 jours est aussi à prévoir. Là aussi, l’expérience utilisateur devra être travaillée pour ne pas lasser le visiteur.
En cas de refus, retrait ou objection de consentement, nos systèmes devront être en mesure de « caper » (limiter) les nouvelles demandes d’opt-in, mais aussi de proposer des publicités contextualisées par rapport à la page (et non par rapport au profil du visiteur).
Une question que le projet ePrivacy n’aborde pas : qui sera responsable en cas de non-identification de consentement ? L’OS, le navigateur, le traceur, ou l’éditeur ?

Que devons-nous faire dans ce cas : prendre une position de repli (non consentement) ou présumer d’un consentement à minima ?
La question du protocole de communication entre les apps / sites et l’OS n’est pas réglée. Nous souhaiterions éviter des initiatives isolées de chaque constructeur au profit d’une norme technologiquement neutre. L’initiative de l’IAB Europe « Transparency & Privacy » est un excellent exemple de norme open source et technologiquement neutre.

[Oups] Facebook partage ENCORE les données de vos amis d’amis avec certains annonceurs

On pensait que Facebook avait arrêté le partage de données « très » personnelles en 2015.
Selon son CEO, Mark Zuckergerg, c’est à cette date que le partage d’informations comme « le degré de proximité avec un utilisateur » avait été interdit. C’est depuis 2015 qu’il prétendait aussi ne plus partager les informations personnelles de… vos amis.
Il n’en est rien. Le Wall Street Journal a découvert que ces pratiques ont continué et à tout publié vendredi 08 juin dans la soirée.
Certains annonceurs comme NISSAN ou la banque RBC ont pu continuer à travailler avec ces données très personnelles. Ils faisaient partie d’une « liste blanche » d’entreprises sélectionnées sur des critères que les journalistes n’ont pas réussi à percer. On doute que les utilisateurs aient été prévenus de cette sur-utilisation. C’est bien le quatrième scandale qui frappe ce réseau cette semaine !

Si l’info du WSJ est validée, Facebook a donc menti lors de son grand oral devant le Congrès américain et devant la Commission Européenne.
Il était temps de réagir, le secteur des Analytics ne parvenait pas à s’auto-réguler. Nous verrons si les promesses du nouveau Règlement européen parviennent à remettre un peu de décence dans ces partages d’informations.

Votre employeur peut-il consulter votre clé USB personnelle, branchée sur l’ordi du bureau ?

Oui.
Tout appareil branché sur le réseau interne de l’entreprise est présumé professionnel. Et les fichiers qu’il contient s’ils ne sont pas clairement identifiés comme « personnels » sont considérés comme professionnels.
Il convient donc d’être vigilant : votre ordinateur portable personnel branché sur le réseau du bureau est un ordinateur « présumé » professionnel. Il est donc accessible aux règles de cybersurveillance de l’entreprise. Votre employeur peut donc contrôler les fichiers, les sites visités, les copies de/vers cet ordinateur… etc
Votre clé USB aussi. Elle aura beau s’appeler « SuperMan » elle fait partie du parc informatique de l’entreprise le temps de sa connexion.

L’employeur devra quand même vous prévenir des usages et contraintes liés à ce type d’appareils, généralement dans une charte informatique.
Note : Si vous vous amusez à mettre tous vos emails pro en « personnel » dans l’objet, cela ne vous protège pas beaucoup. L’abus sera sanctionné.