Plus que trois mois pour être conforme au RGPD

Les impacts sur l’industrie du marketing à la performance commencent à se dessiner.

Chez Awin, nous avons passé les neuf derniers mois à nous préparer en prévision de l’un des changements les plus importants concernant la législation sur la protection des données. Le principe de responsabilité implique l'adoption de politiques et d'approches responsables en matière de traitement des données dans tous les aspects d'une entreprise. Par conséquent, le RGPD nous oblige à considérer plusieurs secteurs de l'entreprise : de la formation à la technologie.

Dans cette optique, nous avons pensé qu'une brève mise à jour des thèmes que nous avons abordés dans nos précédents articles aiderait à apporter plus de clarté à nos partenaires dans la complexité du RGPD.

1. Evaluation

Création d'un groupe interne de stakeholders
Compte tenu de la diversité des services proposés par Awin, les parties prenantes de l'ensemble du groupe doivent être conscientes de l'importance du RGPD. Les intervenants sur le sujet reflètent la diversité des équipes au sein de l'entreprise. Des réunions ont lieu toutes les deux semaines. En outre, chaque marché a désigné un Délégué à la Protection des Données (DPD/DPO) qui veillera à la conformité d’Awin vis-à-vis du RGPD au niveau local. Le DPO sera sur place pour répondre aux demandes des clients et appuyer les initiatives de formation.

Etude d’impact relative à la protection des données (Privacy Impact Assessment)
Le RGPD impacte les entreprises de diverses manières. Dans le cadre de notre processus d'audit, il est important d'identifier les parties prenantes de toute l'entreprise, comme le marketing, la technologie, les ventes ou l'ingénierie. L’une des principales questions qui se pose  à travers le RGPD concerne la manière, pour les sociétés, d’utiliser les données.

C'est pourquoi nous avons réalisé une Etude d’impact sur la protection des données (PIA/Privacy Impact Assessment) qui porte sur tous les aspects de notre tracking : des cookies au tracking cross-device. Nous avons également pris en considération l'impact que pouvait avoir notre technologie de plugin, notre outil de réclamations cashback ou encore les spécificités de notre offre de génération de leads. Lors de notre évaluation, nous avons tenu compte du quoi, du pourquoi et du comment de chaque aspect de notre tracking ainsi que de la durée de conservation des données.

Un extrait de notre PIA sera mis à la disposition de tous nos partenaires en temps utile.

Base juridique et Balance des Intérêts
Le choix d'une base juridique pour l'utilisation des données est au cœur du RGPD. Nous avons déjà indiqué qu’Awin peut faire valoir un intérêt légitime comme base légale pour la collecte de données. Après avoir effectué la balance des intérêts lors de l'audit de notre technologie, nous avons conclu que nos technologies de tracking de base peuvent être justifiées en vertu de cette notion.

Autres considérations
Lors de l'évaluation de nos technologies de tracking, les dispositions des lois nationales mettant en œuvre le règlement ePrivacy doivent également être prises en considération. Alors que le RGPD prévoit plusieurs bases juridiques - dont l'une d'elles est le consentement – autorisant à effectuer un traitement des données, le règlement ePrivacy prévoit quant à lui une norme plus stricte en ce qui concerne les cookies et autres méthodes de tracking ayant un impact sur le terminal de l'utilisateur final. Lorsqu'elle est lue en combinaison avec le RGPD, cela signifie que, dans certains pays, un opt-in utilisateur final conforme au RGPD sera exigé à partir de mai 2018.

2. Documentation

Création de nouvelles politiques internes
Après avoir évalué l’ensemble des éléments de notre PIA et avoir pris en compte les exigences du RGPD, nous avons mis à jour nos registres de traitement ainsi que nos politiques internes. Les entreprises devront dorénavant renforcer leurs procédures concernant des problématiques telles que les notifications de violations de données, les demandes d'accès aux données, etc.

Clarifier notre position auprès des clients
Les relations d'Awin avec ses clients - éditeurs, annonceurs, agences et autres tiers - impliquent que la position de l'entreprise soit clarifiée auprès de chacune de ces typologies de clients en ce qui concerne les accords de traitement des données. Ainsi, nous avons traité les demandes des clients et rassemblé un ensemble de questions/réponses récurrentes.

Nous procédons actuellement à la construction de ce référentiel et nous le diffuserons prochainement car nous constatons un intérêt croissant pour notre position sur le sujet. Ce référentiel inclura également un examen des outils tiers, afin de confirmer que les mesures de protection nécessaires à leurs activités de traitement de données ont été réalisées.

3. Transparence et sensibilisation

Politique de confidentialité
Le dernier point qui sera abordé concerne la communication avec nos partenaires commerciaux. Nous tenons à les informer régulièrement des changements que nous réalisons. Il s'agit en partie d'une mise à jour imminente de notre avis de traitement équitable (fair processing notice), qui explicite pourquoi et comment nous traitons les données.

Communications générales
Outre les challenges logistiques et juridiques à relever, la communication et la sensibilisation sont des éléments clés du RGPD. Nous nous engageons en tant qu'entreprise à sensibiliser et maintenir une discussion ouverte sur le RGPD. Aussi, afin de vous communiquer les dernières mises à jour à ce sujet, nous avons créé une page dédiée au RGPD.

Sensibilisation des employés
En plus de communiquer à l'externe, le RGPD prévoit que les employés doivent être à la fois sensibilisés et formés aux éléments du RGPD. Cela permet encore une fois de s'assurer que les entreprises adoptent une approche axée sur la protection de la vie privée lorsqu'elles conçoivent des outils et des technologies (Privacy by design) et qu'elles accompagnent bien les employés dans leurs tâches quotidiennes. Par conséquent, les actionnaires du groupe élaborent un programme de formation obligatoire destiné à l’ensemble des salariés Awin.

 4. Prochaines étapes

Comme nous l'avons expliqué auparavant, de nombreux projets sont en cours en interne afin de nous assurer que nos activités seront conformes au RGPD d'ici mai 2018. Grâce à ce travail, nos partenaires auront bientôt accès à :

• Un extract de notre PIA.
• Un guide à l'intention de nos éditeurs détaillant les modifications apportées à nos conditions contractuelles existantes, y compris un accord de protection des données (DPA) fourni par Awin.
• Une solution de consentement qui peut être appliquée par nos éditeurs. Awin veut s'assurer de fournir à ses partenaires la technologie la plus pertinente et la plus flexible possible. Awin a développé un plugin pour le règlement ePrivacy et, en parallèle, affilinet a lancé un outil de consentement. Ces outils sont en cours d'évaluation pour s'assurer qu'ils offrent la meilleure solution en comparaison à d’autres outils de consentement.
• Une FAQ détaillée sur nos activités de traitement des données afin de s'assurer que nos clients aient une bonne compréhension de ce que fait Awin avec les données qu'elle détient.
• La politique de confidentialité mise à jour et conforme au RGPD que les annonceurs et les éditeurs sont libres de citer dans leurs propres politiques.

Les résultats seront publiés sur notre page dédiée au RGPD.