Guide de l'éditeur sur le RGPD et le consentement

L'un des concepts du RGPD, largement familier et ayant fait l'objet de nombreux débats, est la notion de « consentement » et la question se pose : faut-il obtenir le consentement de ses consommateurs pour poursuivre ses activités de marketing à la performance ?

Cet article vous explique succinctement les tenants et les aboutissants du consentement et la position d'Awin à ce sujet. Il aborde également les mesures pouvant être prises par les éditeurs pour se conformer aux nouvelles lois en matière de protection des données.

Définitions du consentement

Il est avant tout important de préciser qu'il y a encore beaucoup de confusion entourant la notion de consentement. Cette confusion est due, d'une part, à l'absence de consensus à ce sujet au sein de notre secteur, et d'autre part, à l’existence, parallèlement à la notion de consentement propre au RGPD, de la notion de consentement prévue par la directive ePrivacy existante (plus communément appelée la « Directive Cookie »).

Ces lois sont certes distinctes, mais coexistent. Si la protection des données est prise en compte dans son ensemble, le RGPD doit être considéré comme exhaustif et comprenant tous les aspects liés aux données. La directive ePrivacy concerne quant à elle plus spécifiquement le marketing direct et les fonctions de tracking en ligne.

Inévitablement, il existe quelques recoupements, du fait que les cookies contiennent souvent des données personnelles ; mais c'est une erreur de penser que les cookies et les données personnelles ne font qu'un. 

Cet article évoquera :

• le consentement pour l'utilisation des cookies dans le cadre de la directive ePrivacy sous les termes « Consentement aux cookies»
• le consentement pour le traitement des données personnelles dans le cadre du RGPD sous les termes « Consentement au traitement des données»

Si deux types de consentement existent, il n'est pas forcément plus facile ou nécessaire d'obtenir les deux en même temps.

Dans le contexte du RGPD, plusieurs moyens existent pour traiter légalement les données personnelles sans s’appuyer sur un consentement au traitement des données. 

En réalité, on peut même dire que le consentement au traitement des données est la base légale la moins pratique et la plus fastidieuse pour traiter des données.

Vous pouvez en savoir plus sur les six bases légales possibles pour le traitement des données personnelles en cliquant ici.

Dans le cadre de la directive ePrivacy de 2012, le consentement aux cookies est toujours requis pour pouvoir déposer des cookies, sauf s'ils sont strictement nécessaires pour assurer un service demandé par l'individu. Par conséquent, les éditeurs de cashback et ceux proposant d’autres types de récompenses, par exemple, n'ont pas besoin du consentement aux cookies pour les cookies d'affiliation, car ceux-ci sont indispensables pour qu’un service de type « cashback » ou de récompense fonctionne.

Consentement au traitement des données dans le cadre du RGPD

Il n'est pas toujours évident d'obtenir le consentement au traitement des données. La démarche risque d'avoir un impact négatif sur l'expérience de l'utilisateur sur le site ou d'inciter l'individu à ne pas donner son accord. 

Quand des données personnelles sont traitées sur la base d'un consentement au traitement des données, l'individu jouit de plus de droits sur ses données, qui devront être respectés à l'avenir. Par ailleurs, le consentement au traitement des données doit être géré et enregistré de manière détaillée. De plus, la prestation d'un service ou l'affichage d'un contenu ne peut pas être refusé aux consommateurs et aux utilisateurs ayant refusé de donner leur consentement au traitement de leurs données, sauf si ce service dépend de ce consentement.

Par-dessus tout, pour obtenir un consentement valide au traitement des données, l'individu doit avoir suffisamment d'informations pour pouvoir prendre une décision en toute connaissance de cause.

C'est la raison pour laquelle Awin utilise une base légale différente pour traiter les données personnelles dans le cadre du RGPD, appelée « intérêt légitime ». En se basant sur ce principe, Awin n'a pas besoin du consentement des individus au traitement des données de la part de ses éditeurs ou annonceurs pour tracker légalement les transactions.

Ceci s'applique au traitement des données personnelles lorsque des personnes surfent du site Web de l'éditeur vers les sites Web de l'annonceur, via nos domaines, en trackant la confirmation de la transaction et en rendant disponible les rapports dans l'interface utilisateur.

Awin peut adopter cette approche, car il constitue un réseau d'affiliation « pureplay ». 

Awin utilise les données personnelles pour tracker les redirections vers les sites des annonceurs et les transactions qui s'en suivent et établir des rapports, mais Awin ne réutilise jamais ces données pour :

• Construire des profils comportementaux d'utilisateurs
• Profil comportemental
• Utiliser les profils à d'autres fins commerciales

Pour être conformes à la loi, ces types de traitement tendent à exiger un consentement au traitement des données, car ils sont perçus comme ayant un impact significatif sur la vie privée des individus. 

En évitant ce type de traitement, Awin peut invoquer un intérêt légitime pour justifier son traitement et éviter la nécessité de demander un consentement au traitement des données.

La définition de l’intérêt légitime donnée par l’Information Commissioner’s Office (ICO) est disponible ici.

Consentement aux cookies dans le cadre de la directive ePrivacy

Depuis la retranscription de la Directive ePrivacy dans les législations nationales au sein de l'UE, tous les acteurs du secteur doivent demander le consentement aux dépôts de cookies. 

A l’heure actuelle, ce consentement se fait souvent sur une base implicite ; un avertissement est présenté à l'individu expliquant l'utilisation des cookies, mais il ne doit rien faire pour marquer son consentement aux cookies (contrairement à ce que l'on appelle plus communément « l'opt-in »). La nature même d'une Directive fait que son interprétation juridique peut différer d'un pays à l'autre.

Dans certaines juridictions de l’UE, le consentement implicite d'un individu n'est pas acceptable. Depuis plusieurs années, les utilisateurs doivent donc donner expressément leur consentement aux cookies. Mais ces juridictions sont minoritaires.

Awin a exigé de ses éditeurs d'obtenir le consentement aux cookies dans ses conditions générales depuis 2012. Ainsi, nous nous assurons que les éditeurs respectent ces règles, mais aussi que nous obtenons le consentement au dépôt de cookies d'Awin, au nom d'Awin. Ce fonctionnement est typique d'un réseau comme le nôtre : nous n'avons pas la possibilité naturelle ou pratique de demander aux individus leur consentement aux cookies.

Pourquoi toujours revenir sur la question du consentement aux cookies ?!

Les consentements aux cookies sont revenus à l'ordre du jour car, dans la plupart des États membres de l’Union Européenne, les lois mettant en œuvre la Directive ePrivacy reposent sur une définition locale du consentement pour définir le consentement aux cookies. 

Dès lors, lorsque le RGPD remplacera les lois locales sur la protection des données, la définition utilisée pour le consentement aux cookies sera également remplacée.

C'est important, car la norme de consentement nécessaire pour le RGPD est plus élevée qu’en vertu des lois locales existantes sur la protection des données ; la principale différence étant que ce consentement doit être donné sans ambiguïté.

Quel est l'impact du RGPD sur le consentement aux cookies ?

Le résultat est que l'obtention du consentement aux cookies doit désormais impliquer davantage l’individu. La différence principale étant que, parce que le consentement des cookies doit être donné sans ambiguïté, l'approche commune consistant à utiliser le consentement implicite est probablement insuffisante. Le consentement aux cookies devrait également être donné avant que les cookies ne soient mis en place. 

Pour obtenir un consentement valide aux cookies selon la nouvelle définition du consentement, l'individu doit faire une action pour marquer son accord. Vous connaissez certainement les outils de consentement universels les plus utilisés : une technologie qui affiche un message lorsqu'un utilisateur arrive sur un site internet et cherche à obtenir la permission de tracker les activités de ce consommateur sur ce site.

Par conséquent, les éditeurs peuvent choisir d'utiliser des outils de consentement. Mais le consentement pourrait aussi être obtenu, par exemple, en poursuivant la navigation sur un site internet en cliquant sur des liens internes ou externes (à condition que des cookies ne soient pas utilisés avant).

Alors, quelle est la différence entre le consentement aux cookies et au traitement des données ?

Étant donné que les cookies sont intrinsèquement moins compliqués que tout autre traitement de données personnelles, il est beaucoup plus facile de se conformer aux normes de consentement accrues en obtenant un consentement aux cookies qu’en obtenant un consentement au traitement des données utilisées pour les cookies.

Il y a moins d'explications à donner à l'individu, moins d'obligations pour la tenue des registres et moins de droits supplémentaires à assurer à l'individu.

Le risque de non-conformité est également bien inférieur, étant donné que les amendes infligées par le RGPD ne s'appliquent pas au consentement aux cookies, contrairement aux consentements au traitement des données utilisées pour les cookies.

Même si les lois transposant la Directive ePrivacy s’appuient sur le RGPD pour la définition du consentement, elles imposeront toujours leurs propres amendes et pénalités en cas de non-conformité.

En quoi cela va-t-il changer la manière de travailler avec Awin ?

Nous sommes bien conscients qu'en raison de ce changement dans la définition du consentement, il sera beaucoup plus difficile pour vous de vous conformer à vos obligations existantes. Sauf si, bien entendu, vous travaillez déjà dans une juridiction comme les Pays-Bas, qui exige déjà de ses concitoyens de donner leur accord pour le dépôt de cookies.

Le consentement aux cookies continuera d'être exigé par Awin de la part de ses éditeurs afin qu'ils obtiennent le consentement au dépôt de leur cookies, mais aussi pour ceux utilisés par le domaine d'Awin. 

Nous continuerons également d’examiner la conformité des éditeurs à ces exigences et de leur demander d'obtenir correctement le consentement aux cookies s’il nous semble que ce n'est pas le cas.

Cependant, Awin ne précise pas la manière d'obtenir ce consentement aux cookies. 

Awin offrira un outil de consentement qui peut être utilisé pour le consentement aux cookies, mais vous pouvez également utiliser d'autres outils de consentement, ou obtenir un consentement valide par d'autres moyens. Par exemple, il suffira, dans la plupart des cas, de modifier les notices existantes relatives aux cookies pour expliquer aux individus qu'ils donneront leur accord pour l'utilisation d'un cookie de tracking d'affiliation s'ils cliquent sur un lien externe sans modifier les paramètres de leur navigateur. L'approche d'Awin suivra cette méthodologie.

Nous sommes conscients que le RGPD n'est pas simple, en particulier pour les petits éditeurs, et nous essayons de minimiser le fardeau de la conformité pour nos éditeurs par tous les moyens possibles.

Un des moyens envisagé est de justifier notre traitement des données sur la base d'un intérêt légitime, de sorte que nous n'ayons pas à demander aux éditeurs d'obtenir un consentement au traitement des données en notre nom, Awin. Ce n'est en revanche pas une option pour le consentement aux cookies ; si une entreprise n'a pas besoin d'utiliser de cookies ayant comme finalité la fourniture d’un service demandé par un individu, le consentement aux cookies est inévitable. Cependant, étant donné que le consentement aux cookies est plus simple que le consentement au traitement des données utilisées pour les cookies, nous pouvons néanmoins nous montrer flexibles dans les méthodes de consentement légal aux cookies qui sont acceptables à nos yeux.

Nous continuerons de publier des directives pour aider les éditeurs et les annonceurs avant le 25 mai 2018, y compris les détails de notre outil de consentement. 

Nous espérons que vous comprenez que nous ne sommes pas en mesure d'offrir des conseils juridiques.