Sommaire
L'article suivant explique l'état actuel de la protection des données et donne des instructions concrètes aux responsables du marketing en ligne dans les entreprises en ligne.
La protection des données est sur toutes les lèvres depuis des mois et ne bouleverse pas le secteur du marketing en ligne. Le règlement général sur la protection des données fait de grands progrès pour toutes les entreprises. Également au sujet de ePrivacy, vous apprendrez de nouvelles choses chaque semaine, qui ne peuvent être classées que par les connaisseurs de la matière.
La vie privée, à quoi ça sert?
Pour mieux comprendre les nouveaux développements, il convient de se pencher sur le sens et l'objectif de la protection des données: celle-ci a une tradition relativement longue en Allemagne. Déjà en 1970, il existait la première loi sur la protection des données en Allemagne. Mais seul l’arrêt rendu par la Cour constitutionnelle fédérale en 1983 sur le recensement a permis d’assurer la protection des données en tant que protection du droit à la personnalité du citoyen individuel dans la conscience du public.
La plus haute juridiction allemande a d'abord mentionné le droit fondamental de l'individu à l'autodétermination informationnelle. Une loi sur la collecte de données statistiques sur les citoyens par l'État (la loi sur le recensement) a été déclarée en partie inconstitutionnelle. La protection des données était (et est) avant tout un droit fondamental de chaque citoyen et une défense contre l'État. La loi sur la protection des données vise avant tout à empêcher une surveillance totale par les autorités.
Double rôle du droit de la protection des données
Les lois sur la protection des données sont également valables aujourd'hui entre particuliers et entreprises. L'objectif n'est pas d'empêcher l'espionnage total, mais un cadre juridique pour la collecte et l'utilisation de données à caractère personnel d'individus par des entreprises.
Ce qui est important, c’est la double composante: protéger la vie privée des personnes du secteur privé interfère toujours avec les libertés des entreprises. Toute disposition légale qui régit le traitement des données par les entreprises intervient dans la liberté d'occupation également garantie par la Constitution. Aucun des droits n’est prioritaire en soi. Un équilibre doit être trouvé. Cette compensation essaie de trouver les lois sur la protection des données. Parfois ça marche bien. Parfois ça ne marche pas.
Supervision de la protection des données en tant qu'agence d'État
Les autorités de protection des données jouent un rôle important et leur importance augmentera dans un avenir proche. Comme leur nom l'indique, les régulateurs sont des agences gouvernementales, des agences gouvernementales. Tout comme l'Inspection du travail veille au respect de la loi sur les cafés et que la police punit les infractions au code de la route, les responsables de la protection des données du pays agissent en tant qu'autorités de l'État lorsqu'ils engagent une procédure.
Exactement contre une condition de la surveillance du commerce ou contre une contravention de stationnement, les entreprises affectées peuvent agir contre des décrets des autorités. Contrairement aux perturbations du pub ou aux excès de vitesse du directeur, une intervention publique des autorités responsables de la protection des données est devenue publique, souvent scandaleuse – et souvent à juste titre. Cependant, les entreprises peuvent parfois être découragées de traiter avec les autorités simplement en raison d'un éventuel impact externe et de prendre des décisions, même si elles peuvent se défendre avec succès.
Les déclarations publiques des autorités ne sont donc qu’un avis officiel. Tout comme l’administration fiscale peut exprimer une opinion déclarée erronée par le Tribunal fédéral des finances, un communiqué des autorités chargées de la protection des données, chargé d’assurer la protection la plus large possible des données, peut aller au-delà de la cible et être collecté par les tribunaux.
Les deux pages de la vie privée pour chaque acheteur en ligne
En tant que chef d’agence, entrepreneur en e-commerce ou marketing en ligne, il faut gérer quotidiennement les deux côtés de la médaille: d’une part, on souhaite commencer autant que possible avec les données acquises dans le cadre des lois. D'autre part, on bénéficie en privé des lois sur la protection des données. En pratique, ce n’est pas un mauvais correctif de penser à ce que vous ressentiriez si vos propres données étaient traitées comme prévu par la société.
Surveille, analyse et optimise ton site web avec le logiciel SEO Expertise!
Allons-y!
Le règlement de base sur la protection des données – Une loi pour toutes les entreprises
Depuis la loi de 1970 sur la protection des données de Hesse, beaucoup de choses se sont passées. Entre autres choses, la loi fédérale sur la protection des données a été modifiée de manière multiple et les États fédéraux ont tous leurs propres lois sur la protection des données et leurs propres responsables de la protection des données. Même au niveau de l'UE, une directive relative à la protection de la vie privée a été mise en place depuis 1995; elle a été remarquée par beaucoup et doit être mise en œuvre dans tous les États membres.
En 2018, tout sera nouveau: le règlement général sur la protection des données (DSGVO) vient, en fait, il est déjà là. Le RGPD est un règlement de l'UE en vigueur depuis 2016 et qui s'appliquera à partir du 25 mai 2018 dans tous les États membres de l'Union européenne. Contrairement à une directive de l'UE, le règlement n'a pas besoin d'être mis en œuvre séparément dans les États membres. Le RGPD est déjà en vigueur et s'appliquera sans autre période de transition à toutes les entreprises qui collectent ou traitent des données à caractère personnel au sein de l'Union européenne.
Le règlement général sur la protection des données régit le traitement des données à caractère personnel. Le règlement affecte chaque entreprise (et accessoirement toute autorité). C’est tout aussi vrai pour les opérations à un seul opérateur que pour la société DAX, autant pour chaque démarrage que pour Amazon, Facebook et Google.
Le règlement s’applique directement en Allemagne à partir du mois de mai. Jusque-là, toutes les lois sur la protection des données doivent être alignées sur le règlement. Il y a déjà un nouveau BDSG. Il contient de nombreuses dispositions avec lesquelles le législateur allemand a utilisé les marges de manœuvre permises par le GDPR aux États membres.
Le règlement ePrivacy – un règlement qui n'existe pas encore
Pendant longtemps, du moins depuis l'été dernier, le règlement sur la confidentialité des données électroniques a été évoqué à maintes reprises. Contrairement au RGPD, celui-ci n'est pas encore entré en vigueur, mais est toujours en cours de négociation. Ce règlement est destiné à remplacer la politique actuelle en matière de cookies. Tout comme cette directive (également connue sous le nom de directive sur la confidentialité des communications électroniques), le règlement ePrivacy vise à protéger la confidentialité des communications. Il ne s'agit donc pas uniquement de données personnelles, mais davantage de liberté et d'inviolabilité de la communication. La poussée est semblable à celle du DSGVO, mais pas la même. Nombreux sont ceux qui se demandent à juste titre pourquoi il a besoin d'une telle réglementation en plus de la DSGVO. Après tout, la plupart des données de communication sont également personnelles et, à ce jour, déjà réglementées par le GDPR.
Le Parlement européen a adopté un projet à l'automne, qui stipule notamment une obligation de consentement strict pour les cookies. Si la réglementation se présentait ainsi, cela aurait de graves effets sur le suivi, le ciblage et la publicité personnalisée – sur l'ensemble du marketing en ligne. Le Conseil européen ne devrait pas accepter le règlement de cette manière. Les changements qui arriveront ici ne sont actuellement pas prévisibles. De quelques changements esthétiques à une poussée fondamentalement différente, beaucoup de choses sont possibles. Il semble seulement clair que le règlement sera en place et qu'il n'aura pas d'effet sur les entreprises en même temps que le RGPD. D'ici 2019, le règlement ePrivacy n'entrera pas en vigueur. Pour l'entreprise moyenne, il est donc trop tôt pour réfléchir à la réglementation sur la protection de la vie privée. Au contraire, il est important que le GDPR arrive maintenant rapidement dans l'entreprise.
Contenu essentiel du GDPR
La plupart de ceux qui ont été confrontés au GDPR ont entendu parler des lourdes amendes imposées par le règlement. Alors qu'ils étaient auparavant menacés de graves violations de données, des amendes maximales de 300 000 EUR peuvent être infligées jusqu'à 20 millions d'euros. Pour les grandes entreprises, l’amende peut même représenter 4% du chiffre d’affaires annuel mondial. Même si les amendes ne risquent pas nécessairement d’être frappées par des amendes, le potentiel de risque global est beaucoup plus élevé. Les représentants des autorités indiquent à chaque occasion que la limite de l'amende devrait être épuisée. Même les plus petites entreprises, pour qui la protection de la vie privée était une question plutôt marginale, doivent maintenant la traiter en détail.
Données personnelles – En réalité, tout a une référence personnelle
Le GDPR ne s'applique qu'aux données personnelles. Il doit donc toujours y avoir une relation avec une personne physique. Les données des personnes morales ne sont pas protégées. Toutefois, cela ne signifie pas que les entreprises B2B ne sont pas concernées par le règlement. Même ceux qui n’ont que des clients professionnels collectent des données personnelles, telles que des contacts du côté client. En outre, le nom du propriétaire est inclus dans de nombreux noms de petites entreprises – et est également cité en référence.
Les données relatives aux personnes sont d’abord toutes les données sauvegardées pour une personne spécifique. L'importance des données est totalement indifférente. Si le profil du client est enregistré lorsque le client s'est connecté, ces informations ont la même référence personnelle que la pointure ou l'adresse e-mail.
En outre, conformément à la réglementation, les identifiants en ligne sont également inclus dans les données personnelles. Selon les défenseurs de la vie privée, il suffit que les informations soient stockées sur un identifiant unique sans que la personne qui les cache soit connue (ou même intéressante).
Si l'on peut encore faire valoir que les identifiants pseudonymes n'ont pas de référence personnelle, alors, selon le GDPR, c'est fini. Les identifiants en ligne tels que les cookies, les adresses IP, les identifiants ID de Google, les identifiants Google, etc. sont dans de nombreux cas des informations personnelles. La pseudonymisation ne résulte pas de la politique de confidentialité.
Il ne suffit donc pas de verrouiller les données. Si la personne peut être reconnue en utilisant la même méthode de hachage à une date ultérieure (ce qui est souvent le cas), il s'agit de la collecte de données à caractère personnel et le RGPD est applicable.
principe d'interdiction
Si une date a une référence personnelle, ce n'est pas la fin de la chanson. Cela ne signifie pas toujours que le traitement des données est interdit. Cependant, l'un des principes fondamentaux du droit de la protection des données est et reste le principe de la prohibition: tout traitement de données à caractère personnel est interdit sauf justification.
Figure 1: Principe d'interdiction et justifications
Il faut donc trouver une base légale pour le traitement des données. Les plus importants sont: (1) l’existence d’un contrat, (2) les intérêts légitimes de la société et (3) le consentement de la personne concernée.
(1) Un contrat est la justification du traitement des données client. Une entreprise de commerce électronique peut, par exemple, transmettre les données d'adresse du client à un prestataire de services logistiques afin qu'il puisse livrer les marchandises. Cependant, la justification ne va toujours que dans la mesure nécessaire à l'exécution du contrat. Par exemple, la publicité personnalisée ou une vérification de crédit n'est pas incluse.
(2) La principale justification du secteur du marketing en ligne réside dans les intérêts légitimes de la société de publicité. D'une part, un intérêt légitime de l'entreprise est requis. En outre, le traitement doit être nécessaire aux fins respectives. Avant tout, les intérêts de la personne concernée ne doivent pas prédominer. Il est donc nécessaire de trouver un équilibre entre les intérêts de l'entreprise en matière de traitement de données et ceux des personnes concernées, qui souhaiteraient voir le moins de données possible collectées et traitées. Les attentes raisonnables de la personne concernée sont décisives. Si cela se calcule généralement avec le traitement des données, celles-ci peuvent être utilisées en cas de doute. Si ce que l'entreprise planifie avec les données est plutôt inhabituel, le traitement des données doit être omis. En fin de compte, il s’agit d’un cas individuel – avec un résultat incertain.
Figure 2: Points d'examen basés sur des intérêts légitimes
(3) Si aucune autorisation ne résulte de la loi, un consentement peut aider. Avec un consentement volontaire, presque tous les traitements de données peuvent être justifiés. Cependant, il est nécessaire que le consentement ait été donné efficacement. Par rapport à la loi actuelle, le RGPD impose des exigences plus élevées concernant le caractère volontaire du consentement. Cela devrait être mis en doute, par exemple, si le consentement est lié à la conclusion du contrat.
La nouvelle loi interdit, dans certaines circonstances, le couplage du consentement et la conclusion du contrat. Jusqu'où l'interdiction va vraiment est encore ouverte. Une épée de Damoclès est la disposition selon laquelle des autorisations distinctes sont obtenues pour différentes opérations de traitement. Lorsque les traitements sont si différents qu'il faut demander un consentement séparé, la loi ne le dit pas. En général, il est supposé qu'un consentement beaucoup plus granulaire devra être demandé à l'avenir. 10 boîtes entre elles dans le processus de commande? C'est concevable.
Figure 3: Points de contrôle pour consentement
possibilité opt-out
Le DSGVO attache une grande importance à l'autodétermination de l'utilisateur. Peu importe qu'une mesure de marketing repose sur un consentement ou que des intérêts légitimes soient utilisés pour justifier. L'utilisateur doit avoir une option de désinscription. Le consentement doit être révoqué, le traitement des données basé sur des intérêts légitimes, l'utilisateur peut s'y opposer. En outre, l'utilisateur doit également être informé de manière transparente. Cela se fait généralement dans les informations de confidentialité sur le site Web.
Conformité – doit avoir
Outre l'augmentation drastique des amendes, le renversement de la charge de présentation est particulièrement nouveau. S'il était légitime pour les entreprises de taille moyenne de ne rien faire de mal en matière de protection des données, le DSGVO impose de lourdes obligations aux entreprises qui doivent être activement respectées pour éviter les amendes.
Créer un répertoire des activités de traitement
Les détails ne peuvent pas être discutés ici, mais en principe chaque entreprise doit garder une trace de toutes les activités de traitement. Il doit répertorier toutes les opérations de traitement de données et, en particulier, l’objet du traitement et les dates de suppression. Les entreprises qui ne disposent pas encore d'un tel répertoire doivent commencer dès maintenant, y compris le marketing en ligne et le commerce électronique.
Personnaliser les textes légaux
Bien entendu, les textes légaux, à savoir les consentements et les informations relatives à la protection des données, doivent être adaptés à la nouvelle loi. Seules les obligations d'information ont été considérablement élargies. Les contrats avec les prestataires de services doivent également être adaptés. Les anciens contrats de traitement de données doivent être réajustés.
Se préparer aux informations requises
Les droits des personnes concernées seront étendus. En particulier, il existe un droit général de s’opposer au traitement de données. Les revendications doivent être remplies immédiatement. Par exemple, pour la revendication d'informations, cela signifie qu'il doit exister un processus au sein de la société fournissant des informations sur toutes les données stockées concernant un client, généralement dans les quelques jours ouvrables qui suivent. Ce processus doit déjà exister avant les premières demandes du client.
Vérifiez TOM
Les mesures que les entreprises devront prendre pour assurer la sécurité du traitement des données seront également une nouvelle qualité. Le règlement précise que des mesures techniques et organisationnelles appropriées doivent être en place pour assurer un niveau de protection approprié au risque. Ce qu'il faut, c'est une évaluation des risques.
Ordre chargé de la protection des données
Le DSGVO prévoit également pour les grandes entreprises l’obligation de nommer un responsable de la protection des données. Cependant, la nouvelle loi allemande va plus loin et prévoit – comme auparavant – la nomination obligatoire d'un responsable de la protection des données, si plus de 10 employés de l'entreprise traitent en permanence avec le traitement automatisé de données à caractère personnel. Comme cela s'applique à presque toutes les entreprises de plus de 10 employés, de nombreuses entreprises allemandes devront nommer un responsable de la protection des données conformément au GDPR.
Qu'est-ce que cela signifie pour le marketing en ligne?
Dans ce qui suit, trois exemples expliquent brièvement comment DSGVO a un effet concret sur le marketing en ligne.
En outre, selon le GDPR, un suivi des mouvements de visiteurs sur le site Web restera possible. Cependant, conformément à la nouvelle loi, les données collectées seront presque toujours personnelles, de sorte qu'une justification est requise.
Un considérant du GDPR mentionne expressément le publipostage comme un intérêt légitime possible. Dans le suivi lui-même n'est toujours pas de marketing direct. Cependant, l’analyse est l’étape préliminaire du publipostage ultérieur et est donc fondamentalement toujours possible.
Toutefois, la condition préalable est que les données spécifiques collectées soient nécessaires à la réalisation de l'objectif spécifique et que les intérêts des utilisateurs ne soient pas prédominants. Le fait qu'il soit suffisant pour certains types de suivi de stocker des adresses IP raccourcies suggère que le stockage de l'adresse IP complète n'est pas nécessaire. Dans des cas individuels, cela peut être différent. Dans tous les cas, une évaluation préalable est nécessaire.
Les attentes légitimes des utilisateurs sont importantes pour la mise en balance des intérêts. Avec le suivi de première partie sur le site Web, les utilisateurs doivent s'y attendre de nos jours. En revanche, le suivi inter-appareils, qui permet aux utilisateurs d'être reconnus sur plusieurs appareils, n'est actuellement pas censé répondre à leurs attentes.
Figure 4: Différents formulaires de suivi et DSGVO
Dans tous les cas, une clarification transparente et l'octroi d'une option de retrait sont nécessaires.
Il est concevable que le consentement (supplémentaire) soit obtenu. Cela doit être fait volontairement. Il est possible de demander un tel consentement lors de l'ouverture d'un compte utilisateur. Une intégration du consentement dans une bannière de cookie est envisageable à l'avenir. De la même manière que l'utilisation de cookies est signalée, il est également possible d'indiquer l'utilisation d'outils de suivi. Si l'utilisateur continue à surfer, ceci peut être considéré comme un consentement.
Dans le nouveau ciblage, dans lequel les visiteurs du site sont reconnus ailleurs et la publicité (re) est livrée, il a été soutenu que la référence personnelle n’est pas donnée, après tout, ni annonceur ni éditeur ne sauraient de quel client il s’agit. En vertu de la nouvelle loi, les données personnelles seront presque toujours disponibles. En règle générale, il existe une option de fusion avec un login ou un cookie.
La question de savoir si une justification peut être fondée sur des intérêts légitimes dépend des données collectées en vue d'un nouveau ciblage. Un intérêt légitime est donné: adapter la publicité à l'utilisateur a un sens et constitue un intérêt économique légitime. Le marketing direct ciblé ne peut être moins légitime que le marketing par arrosage. Selon la définition de l’intérêt, la collecte de données sera également nécessaire.
L’équilibre des intérêts dépend du niveau de technologies de ciblage dans les attentes raisonnables de l’utilisateur. Alors que les utilisateurs s'attendent à un reciblage sur le même appareil, leur utilisation (pseudonyme) étant commune depuis longtemps, un reciblage croisé sur plusieurs appareils ne répond généralement pas à leurs attentes.
Figure 5: Différentes formes de ciblage et intérêts légitimes
Il est également possible d'obtenir un consentement supplémentaire dans les différentes procédures de ciblage. Par exemple, l'opérateur d'une boutique en ligne peut expressément confirmer l'utilisation d'une procédure de recentrage du ciblage lors de l'ouverture d'un compte client. La mention dans un cookie-bar est également envisageable. Dans ce cas, le processus de ciblage devrait être décrit brièvement et associé à un passage correspondant de la politique de confidentialité.
Figure 6: Ré-ciblage et consentement
Le GDPR prévoit des réglementations strictes sur le profilage. Si le ciblage est un profilage au sens du règlement, un consentement est requis. Cependant, les règles ne s'appliquent que si le profilage menace considérablement la personne affectée. Cela devrait être manquant, en règle générale.
- (3) Publicité dans le bulletin d'information – Consentement à la personnalisation?
Le GDPR ne change pas le fait que toute annonce par courrier électronique nécessite le consentement exprès préalable du destinataire. Quiconque enfreint cette règle commet en même temps une violation de la protection des données.
Si le bulletin d’information doit être personnalisé et dynamisé en fonction du comportement de la commande ou du taux d’ouverture, il s’agit d’un traitement de données qui, à son tour, nécessite une justification. Selon les données effectivement utilisées pour l’individualisation de la lettre d’information, cela peut être justifié par les intérêts légitimes de l’annonceur. La DSGVO stipule expressément que le marketing direct peut constituer un intérêt légitime. Ensuite, cela doit également s'appliquer au marketing direct ciblé. Les attentes raisonnables du destinataire sont toutefois décisives. Plus les données utilisées sont nombreuses et surprenantes, plus tôt leur évaluation ne sera plus fondée sur des intérêts légitimes.
En cas de doute, un consentement est requis. Dans tous les cas, le destinataire doit pouvoir mettre fin à la personnalisation. Le destinataire doit être préalablement informé de ce droit d’opposition.
Qu'est-ce que tout cela signifie pour le marketing en ligne?
Le GDPR aura sans aucun doute un impact significatif sur toutes les entreprises en ligne. Le marketing en ligne n’est toujours qu’une partie du projet DSGVO de l’entreprise. Bien entendu, plus une entreprise mise sur le marketing en ligne, plus la part du projet attribuée à ce canal est grande.
Toute personne vendant un outil de marketing en ligne reçoit des questions de la part de ses clients sur la conformité à DSGVO depuis des semaines, voire des mois. Quiconque n’a pas de réponses menace bientôt de perdre des clients. Le manque de conformité à DSGVO devrait être un motif de résiliation pour les clients.
Dans tous les cas, il est important que le marketing en ligne et la confidentialité des clients dans le projet interne ne soient pas négligés. Quiconque n'a pas entendu parler d'un projet DSGVO dans l'entreprise doit s'adresser à la direction ou au responsable de la protection des données. Souvent, le flux nécessaire est sous-estimé.
Si cela ne s'est pas déjà produit, cela arrive quand même: chaque service de marketing en ligne doit contribuer au répertoire des opérations de traitement de données de l'entreprise. Si vous ne l'avez pas déjà fait, vous pouvez commencer par le faire et noter en particulier le type de données collectées, le but de la collecte de données, une justification éventuelle et les délais de suppression. Celui qui commence en avril est trop tard.
L'autorisation de sauvegarder les données expire si la justification est supprimée. Même ceux qui peuvent fonder un suivi sur des intérêts légitimes peuvent ne pas sauvegarder les données pour toujours. Il nécessite donc un concept de suppression. Cela doit non seulement être sur papier, mais aussi être mis en pratique avec l'informatique. Pour chaque date personnelle, elle doit être définie quand elle doit être supprimée. Et puis il doit y avoir une routine de suppression.
Dans de nombreux cas, des outils de marketing externes seront utilisés. Chaque client doit être sûr de savoir quelles données sont stockées à quelles fins et qu'il est traité conformément au GDPR. Il est judicieux de demander rapidement au fournisseur de services dans quelle mesure la conformité DSGVO existe et d’aller à la racine des réponses. En particulier, une option de désinscription doit être proposée. En outre, de nouveaux contrats de traitement de contrats conviviaux devraient être rédigés et soumis aux prestataires de services. Il peut également être un bon test de demander aux fournisseurs de services spécifiquement des accords audiovisuels révisés.
Bien entendu, il est important que les textes juridiques visibles de l'extérieur soient adaptés à la nouvelle situation juridique. Si vous avez l’impression que le marketing n’est pas suffisamment impliqué ici, vous devriez demander à la personne responsable du projet et apporter votre contribution. La passerelle la plus simple pour les questions des gouvernements et des clients sont les avis de protection des données incomplets publiés sur le site Web.
conclusion
Le règlement général sur la protection des données aidera tous les citoyens de l'UE (y compris les directeurs généraux et les responsables du marketing) à être plus privés – pas nécessairement parce que les règles se resserrent, mais surtout parce que les entreprises doivent traiter beaucoup plus de la protection des données. Pour les entreprises, c'est le revers de la médaille. Le DSGVO apporte des changements et entraîne également des efforts et des coûts considérables dans le marketing en ligne. Contrairement à ce qui a peut-être été fait auparavant, il est négligent de ne pas donner la priorité à la confidentialité dans l'entreprise. Il y aura des amendes. Mauvaise presse aussi. Il vaut mieux être préparé tout de suite.
Surtout dans les grandes entreprises, le marketing en ligne est parfois en retard dans les projets DSGVO. Ceci est dangereux car le délai jusqu'au 25 mai est plus court qu'il n'y paraît. Quiconque ne s'est pas occupé de la vie privée jusqu'à présent doit commencer maintenant. Pour les collègues du marketing en ligne, cela signifie avant tout de poser les bonnes questions aux bonnes personnes.
