bmma privacy legal aspects

10 lundis pour

rattraper le train du

digital

Legal aspects related to privacy

Jan Decorte & Ann Fromont

10 lundis pour


digital

Le marketing digital : un secteur en pleine expansion

• Deux grands segments :

• “Search marketing” : visibilité d’un site web sur les moteurs de recherche ;

• “Display marketing” : affichage d’un contenu publicitaire sur un site de contenu éditorial (bannière, vidéo, etc.)

• Mais aussi :

• Email marketing

• Viral marketing

• Social marketing

• Affiliate marketing

• Automated trading and real-time bidding

• Etc.

10 lundis pour


digital

1. Introduction générale sur la loi « Vie Privée »

2. Les risques et sanctions en cas de non-respect de la loi « Vie Privée »

3. Examen de quelques pratiques spécifiques

3

Les aspects légaux

10 lundis pour


digital

4

1. Introduction générale sur la loi « Vie Privée »

A. Principes et concepts généraux

B. Bases légales (et limites)

10 lundis pour


digital

A. Concepts généraux

Donnée personnelle : tout élément permettant d’identifier une personne physique, ou la rendant directement ou indirectement identifiable ;

Traitement : toute opération, automatisée ou non

p.ex. la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel ;

Responsable du traitement : la personne qui détermine les moyens et les finalitésd’un traitement ;

Sous-traitant : toute personne traitant des données à caractère personnel pour lecompte du responsable du traitement ;

Destinataire : la personne qui reçoit les données (tiers ou non) ;

Tiers : toute personne autre que la personne concernée, le responsable dutraitement, le sous-traitant et les personnes qui, placées sous l'autorité directe duresponsable du traitement ou du sous-traitant, sont habilitées à traiter les données

5

10 lundis pour


digital

6

Données personnelles

sensibles

Données pseudonymes

Données anonymes

Données personnelles

6

personal data relating to race or ethnic origin, political opinions, religionor philosophical beliefs, sexual orientation or gender identity, trade-unionmembership and activities, genetic or biometric data, health or sex life,administrative sanctions, judgments, criminal or suspected offences,convictions, or related security measures

any information relating to an identified or identifiable natural personwho can be identified, directly or indirectly, in particular by reference to anidentifier such as a name, an identification number, location data, uniqueidentifier or to one or more factors specific to the physical, physiological,genetic, mental, economic, cultural or social or gender identity of thatperson

personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

data which are neither personal data, nor pseudonymous data

Différents types de données

10 lundis pour


digital

A. Principes généraux

Principes de légalité Le traitement doit reposer sur une base légale

Principe de finalité But spécifique, adéquat et légitime

Principe de proportionnalité Données adéquates, pertinentes et non excessives

Données exactes et à jour

Durée de conservation raisonnable

Sécurité et confidentialité Protection de l’accès aux données (serveurs sécurisés, mots de passe, etc.)

Engagements de confidentialité

Déclaration auprès de la Commission Vie Privée Sauf exemptions (A.R. 13/02/2001)

7

10 lundis pour


digital

A. Principes et concepts générauxChamp d’application

1. Matériel : Article 3 Loi 12/08/1992

Application :Traitement automatisé en tout ou en partie ;

Traitement non automatisé de données à caractère personnel contenues ouappelées à figurer dans un fichier (ensemble structuré).

Exclusion :Traitement effectué par une personne physique pour l'exercice d'activitésexclusivement personnelles ou domestiques.

Modalisation :Traitement à des fins journalistiques / artistiques / littéraires.

8

10 lundis pour


digital

A. Principes et concepts générauxChamp d’application

2. Territorial : Article 3 bis Loi 12/08/1992

« 1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'unétablissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loibelge s'applique en vertu du droit international public;

2° lorsque le responsable du traitement n'est pas établi de manière permanente sur leterritoire de la Communauté européenne et recourt, à des fins de traitement de données àcaractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autresque ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner unreprésentant établi sur le territoire belge, sans préjudice d'actions qui pourraient êtreintroduites contre le responsable du traitement lui-même. »

9

10 lundis pour


digital


La finalité doit être spécifique et autorisée par la loi

6 cas de figure :

Consentement ;

Nécessaire pour l’exécution d’un contrat ;

Obligation légale ;

Protection de l’intérêt vital ;

Nécessaire à l’accomplissement de missions d’intérêt public ou à l’exercice del’autorité publique ;

Nécessaire à la poursuite d’intérêts légitimes du responsable du traitement, àcondition que les intérêts de la personne concernée ne prévalent pas (balanceéquitable).

10

10 lundis pour


digital

Consentement ?

Libre: réelle liberté de choix ;

Spécifique: la portée exacte du consentement donné doit être connue ;

Informé: de toutes les informations nécessaires pour évaluer exactement lesconséquences du consentement.

En pratique: Privacy Policy / Politique de confidentialité / Charte Vie Privée

11


10 lundis pour


digital

12

2. Les risques et sanctions en cas de non-respect de la Loi Vie Privée

A. Sanctions pénales

B. Sanctions administratives

La réalité de la Commission Vie Privée Le projet de règlement européen

C. Sanctions civiles

10 lundis pour


digital

A. Sanctions pénales

• Articles 38-42 Loi Vie Privée

Pas de pouvoir direct de sanction de la Commission Vie Privée

Peut transmettre le dossier au Procureur du Roi

• Sanctions concrètes

Emprisonnement de 3 mois à 2 ans

Amendes de 100 à 100.000 EUR

Publicité du jugement

Confiscation du matériel

13

10 lundis pour


digital

Organisme faisant autorité ou simple référence ?

Créée 1992 / Organe de contrôle indépendant / 16 membres / Comités sectoriels

Missions :

Consultation sur toute question liée à la protection de la vie privée

Information et assistance

Contrôle et inspection

Gestion des plaintes

En pratique:

- Médiation ;

- Avis sur le caractère fondé d’une plainte ;

- Influence dans le cadre d’une procédure pénale / civile.

14

B. Sanctions administrativesLa réalité la Commission Vie Privée

10 lundis pour


digital

European wind of change ?

Voué à remplacer la Directive 95/46/CE vers une plus grande homogénéité

Quelques modifications importantes:

Extra-territorialité

One-stop-shop

Data protection officer (> 5000 personnes concernées)

European Data protection Board / Comité européen de la protection des données

Sanctions (!): Amendes jusqu’à 100.000.000 € ou 5% du chiffre d’affaires mondial.

Notification violation dans les 72 heures

Timing: adoption PE 1ère lecture 11/03/2014 - best case scenario: fin 2015 (?)

15

B. Sanctions administrativesLe projet de règlement européen

10 lundis pour


digital


Action en cessation devant le Président du TPI : Article 14 L 08/12/1992

Exemple pratique : marketing viralCour d’appel de Liège, 19 novembre 2009 : confirme ordonnance de cessation avec astreinte de 10.000€ par infraction constatée (TPI Huy)

Responsabilité contractuelle ou extracontractuelle : Article 15 L 08/12/1992« Le responsable du traitement est responsable du dommage causé par un acte contraireaux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cetteresponsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. »

Obstacle : quel est le dommage subi ? Exemples pratiques :

Atteinte à l’honneur et à la réputation ; Détournement d’informations bancaires ; Collecte illicite de données et dommage causé par un tiers destinataire ; …

! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droitéconomique) E.V. : 1er septembre 2014

16

10 lundis pour


digital


! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droitéconomique) E.V. : 1er septembre 2014

QUI ? (Art. XVII.38 et 39)

Un groupe de consommateur lésés, à titre individuel, par un intérêt commun, représenté par :

‐ une association de défense des consommateurs (P.J., siégeant au Conseil de la Consommationou agréée par le ministre sur base des critères à déterminer par A.R.) ;

‐ une asbl agréée par le ministre (P.J. depuis au moins 3 ans), dont l'objet social est en relationdirecte avec le préjudice collectif subi ;

‐ le Service de Médiation pour le consommateur, uniquement en vue de représenter le groupedans la phase de négociation d'un accord de réparation collective.

OÙ et COMMENT ? (Art. XVII.35 et 43) : requête au TPI ou Trib. Comm. de Bruxelles

PROCEDURE ?

‐ Phase de négociation : dans un délai de 1 à 3 mois ;

‐ Phase de décision sur le fond : le cas échéant, montant à répartir entre les personnes lésées.

17

10 lundis pour


digital

18

3. Examen de quelques pratiques spécifiques

A. Cas simples

B. Pratiques sensibles

Email marketing Viral marketing Online behavioural advertising Big Data …

10 lundis pour


digital

Politique de confidentialité

Les bonnes questions à se poser :

Y’a-t-il un traitement de données personnelles ?

Dans quel but ce traitement est-il effectué ?

Faut-il demander le consentement ?

Les données seront-elles conservées ?

Les données seront-elles transmises à un tiers ?

Les données seront-elles transférées dans un pays tiers ?

19

A. Cas simplesSites purement informatifs ou sites d’e-commerce

10 lundis pour


digital

Politique de confidentialité

Informations à fournir :

Nom et adresse du responsable

Finalités du traitement

Droits de la personne concernée : accès, rectification, opposition

Destinataires des données

Réponse obligatoire ou non

20


10 lundis pour


digital

21


10 lundis pour


digital

Consentement préalable, libre, spécifique et informé

= « opt-in »

Sauf en cas d’opposition manifeste = « opt-out » : • Personnes morales (adresse impersonnelle) : info@..., helpdesk@...,

contact@..., etc.

• Clients existants pour produits / services analogues

La publicité doit être clairement identifiable comme telle et mentionner : • la personne physique ou morale pour le compte de laquelle elle est faite ;

• le droit de s’opposer, pour l’avenir, à recevoir des publicités ;

• le moyen d’exercer efficacement ce droit par voie électronique.

22

B. Pratiques sensiblesEmail marketing

10 lundis pour


digital

Qu’est-ce que le marketing viral ?

« Le but premier de l’annonceur consiste toujours in fine à promouvoir la vente d’un produit oud’un service, même si en pratique, le caractère publicitaire du message ou la marquen’apparaissent pas toujours dès le début de la campagne. »

http://economie.fgov.be

« Inciter une personne à communiquer des données à caractère personnel d'amis ou deconnaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnelainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parceque les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pasnon plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propresdonnées à caractère personnel. »

http://www.privacycommission.be

23

B. Pratiques sensiblesViral marketing

10 lundis pour


digital

Qu’est-ce que le marketing viral ?

Pas de définition légale

Pose 3 questions principales :

Faut-il indiquer la mention « publicité » ?

La marque est clairement visible sur le support ? - Caractère publicitaire manifeste

Teasing ? - Caractère publicitaire ambigu

Faut-il indiquer les coordonnées du vendeur ?

L’information doit être aisément disponible : lien vers site web = OK

Qui traite les données ?

24


10 lundis pour


digital

Le marketing viral est-il légal ?

Trois types de marketing viral :

1. Outil de collecte d'adresses électroniques

2. Simple incitation à transmettre un message

3. Application permettant de transmettre plus facilement un message à des contacts (« amis »)

25


10 lundis pour


digital


1er cas: Outil de collecte d'adresses électroniques – Attention!

L’annonceur réalise trois opérations :

collecte des adresses e-mail chez ses clients/prospects envoie un message (texte ou vidéo) aux amis de son client enregistre les adresses e-mails

La collecte et l’enregistrement d’adresses e-mail est un traitement de données à caractère personnel :

– Déclaration du traitement auprès de la CPVP– Les finalités doivent être légitimes– Information de la personne concernée– Droit d’accès et de rectification

Envoi d’e-mails : lorsque l’annonceur envoie un message publicitaire aux amis de ses clients, il s’agit d’un courrier électronique non sollicité (spam) : opt-in

26


10 lundis pour


digital


2ème cas : Simple incitation à transmettre un message – OK !

Le consommateur est encouragé à transmettre un message, un lien, une vidéo à ses amis par les moyens qu’il choisit lui-même:

– Réseaux sociaux (Netlog, Facebook, Twitter, Myspace, …)

– Courrier électronique

– Blogs personnels

– Messageries instantanées

– Transmission hors ligne

Différents types de campagne :

– Sites Internet dédiés à une campagne

– Partage d’économiseurs d’écran

– Films sur Youtube ou Dailymotion

– Jeux promotionnels

– Groupes sur des réseaux sociaux

27


10 lundis pour


digital


3ème cas : Application permettant de transmettre plus facilement un message à des contacts – Cas limite

– Possibilité de limiter les risques d’illégalité : l’annonceur n’envoie pas de message, c’est le consommateur qui le fait avec l’aide de l’annonceur ;

– L’annonceur offre un outil technique pour transmettre un message ;

– L’annonceur ne collecte pas les données (pas d’enregistrement)

Selon la Commission Vie Privée, les actions de marketing viral sont illégales au regard de la loi« Vie privée » au motif qu’elles « semblent pas bénéficier de suffisamment de légitimité à lalumière de la LVP »

Mais :

– S’agit-il d’un traitement de données à caractère personnel?

– L’annonceur est-il le responsable du traitement?

28


10 lundis pour


digital

• Attrait du digital : payer moins pour une audience plus pertinente

• Publicité contextuelle : liée au contenu de la page webEx. : AdSense (Google)

• Publicité comportementale : liée au comportement del’utilisateur

Ex. : DoubleClick (Google), Beacon (Facebook), etc.

B. Pratiques sensiblesOnline behavioural advertising

10 lundis pour


digital

Qu’est-ce que la publicité comportementale ?

Publicité comportementale simple :

Collecte directe et visible (formulaires) ;

Collecte directe et invisible (comportement).

Publicité comportementale de réseau :

Collecte indirecte et invisible par le biais du réseau publicitaire (comportement à travers les sites).

Un nouvel intermédiaire est né :

le fournisseur de réseau publicitaire

30


10 lundis pour


digital

31

Consommateur

http://SF-hotel-review.com http://dogsblogs.com http://social-network.net

Pub: HotelSupersite

Pub: HotelSupersite

CookieID = 12345

CookieID = 12345

CookieID = 12345 Cookie

ID = 12345visite Social Network

CookieID = 12345visite SFHotels

CookieID = 12345visite Dogsblogs

Fournisseur de réseau de publicités

10 lundis pour


digital

32

A partir de quand identifie-t-on une personne physique ?

un appareil = une personne physique ?

Exemples :

- Utilisateur enregistré sur un site web (e-commerce) ;- Recoupement de données entre sites ;- Informations disponibles auprès des FAIs.


10 lundis pour


digital

33

Consommateur

Jean Dupont Bruxelles (BE)

http://www.dogzblogs.com

Fournisseur de réseau de publicités

Jean Dupont Bruxelles (BE)visite DogsBlogs

CookieID = 12345

10 lundis pour


digital

34

En présence de données à caractère personnel :

application du régime général prévu par la loi du 8 décembre 1992sur le traitement des données personnelles

Les bons réflexes :

Dans quel but ce traitement est-il effectué ? Faut-il demander le consentement ? Quelle information faut-il donner et quand ? Combien de temps les données seront-elles conservées ? A qui les données seront-elles transmises ? (catégories de destinataires) Les données seront-elles transférées vers un pays tiers à l’UE ? (si oui:

conditions !) Faut-il déclarer le traitement ?


10 lundis pour


digital

35

Même en l’absence de données à caractère personnel :

application de l’art. 129 de la loi du 13 juin 2005 sur les communicationsélectroniques (cookies)

En cas de dépôt et lecture d’informations sur un équipement terminal :

- quelle que soit la technologie empruntée (cookies http, cookies flash, pixelsinvisibles, etc.) ;

- quel que soit le moment (consultation site web, emails, etc.) ;

- quel que soit le terminal concerné (ordinateur, tablette, smartphone, TVconnectée, console de jeux, etc.).


10 lundis pour


digital

36

Article 129 L. 13 juin 2005: le principe

« Le stockage d'informations ou l'obtention de l'accès à des informations déjàstockées dans les équipements terminaux d'un abonné ou d'un utilisateur estautorisée uniquement à condition que :

1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixéesdans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égarddes traitements de données à caractère personnel, des informations claires etprécises concernant les objectifs du traitement et ses droits sur la base de la loi du 8décembre 1992 ;

2° l'abonné ou l'utilisateur final ait donné son consentement après avoir étéinformé conformément aux dispositions visées au point 1. »


10 lundis pour


digital

37

Article 129 Loi du 13 juin 2005 : les exceptions

« L'alinéa 1er n'est pas d'application pour l'enregistrement technique desinformations ou de l'accès aux informations stockées dans les équipementsterminaux d'un abonné ou d'un utilisateur final

ayant pour seul but de réaliser l'envoi d'une communication via un réseau decommunications électroniques ou ;

de fournir un service demandé expressément par l'abonné ou l'utilisateur finallorsque c'est strictement nécessaire à cet effet. »


10 lundis pour


digital

38

Avis 4/2012 du Groupe 29 : typologie des cookies

Cookies « intrusifs » : consentement explicite requis

• les cookies de modules sociaux de pistage ;• les cookies publicitaires de tiers ;• les cookies analytiques d’origine ;• …

Cookies « non-intrusifs » : consentement explicite n’est pas requis

• les cookies alimentés par l’Internaute (p.ex. panier d’achat) ;• les cookies d’authentification ;• les cookies de sécurité centrés sur l’Internaute ;• les cookies de personnalisation de l’interface utilisateur (p.ex. préférences

linguistiques) ;• les cookies de modules sociaux de partage de contenu ;• ...


10 lundis pour


digital

39

Exemples

10 lundis pour


digital

40

B) Utiliser les cookies en toute légalité

10 lundis pour


digital

41

Présence d’une bannière informant sur :

• Les finalités :« afin de vous offrir une meilleure expérience de navigation »

• Les moyens de s’opposer :« voir notre Politique de Cookie »

• Le dépôt de cookies en cas de poursuite de la navigation :o « J’accepte tous les cookies pour les sites de Rezidor Hotels » (précoché)o « Je suis conscient que certains cookies sont requis pour l’utilisation des sites de

Rezidor Hotels, mais je n’accepte pas les cookies qui collectent des informationsau-delà de cette portée » (à cocher)

Présence d’une Politique de confidentialité :

• indiquant comment activer / désactiver les cookies ;

• en danois uniquement !


10 lundis pour


digital

42

www.youronlinechoices.com (OBA Framework)

http://www.youronlinechoices.com/

10 lundis pour


digital

43

Quelles sont les modifications essentielles à venir ?

• Un nouveau concept : les “données pseudonymes”

= des données à caractère personnel qui ne peuvent pas être attribuées à unepersonne concernée sans avoir recours à des informations supplémentaires,pour autant que de telles informations supplémentaires soient conservéesséparément et soumises à des mesures techniques et organisationnelles afin degarantir cette non-attribution;

• Conditions plus strictes pour le “consentement” ;

• Conditions plus strictes pour le“profilage”.


10 lundis pour


digital

44

Merci pour votre attention

Ann FROMONT: [email protected] DECORTE : [email protected]

mailto:[email protected]

mailto:[email protected]

bmma privacy legal aspects

Documents

cultural or social

responsable du traitement

personne traitant

reference to an

subject to technical

search marketing

identifiable traitement

donnes10 lundis