GDPR, ePrivacy & Awin

Pour les entreprises évoluant dans le secteur numérique, il est crucial de maîtriser les détails du RGPD et de l'ePrivacy. Dans ce livre blanc, nous cherchons à détailler les conséquences pour le marketing d'affiliation et à fournir des recommandations concrètes pour les éditeurs et les annonceurs.

Awin & le RGPD
Le RGPD en bref
Le tableau complet avec ePrivacy
Comment le RGPD impacte-t-il l'industrie du marketing d'affiliation ?
La préparation d'Awin pour le RGPD
Utilisation des données personnelles
Données des consommateurs
Responsable du traitement ou sous-traitant de données ?
Mais qu'en est-il des réseaux et des éditeurs ? Sont-ils des sous-traitants ou des responsables du traitement conjoints avec l'annonceur ?
En quoi cela diffère-t-il des positions des autres réseaux ?
Quels sont les dispositions de confidentialité prises par Awin ?
Intérêt légitime et mise en balance
Pourquoi ne pas consentir ?
Respect du consentement
La Directive ePrivacy
Alors, pourquoi parlons-nous à nouveau du consentement concernant les cookies ?
Comment le RGPD impacte-t-il le consentement aux cookies ?
Alors, en quoi le consentement aux cookies et le consentement aux données sont-ils différents ?
Comment cela impacte-t-il la manière dont les éditeurs et les annonceurs travaillent avec Awin ?
La position d'Awin en un mot
Que signifie tout cela si je suis un annonceur ou un éditeur travaillant avec Awin ?
Où puis-je en savoir plus ?

Awin & le RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Il a représenté un changement significatif dans la manière dont les données personnelles sont réglementées dans l'UE, remplaçant un cadre juridique existant qui n'avait pas prévu l'augmentation rapide de l'utilisation des données personnelles par les entreprises qui est devenue monnaie courante au cours des 20 dernières années environ.

Le RGPD a représenté un changement significatif dans la manière dont les données personnelles sont réglementées dans l'UE

Dans la perspective de l'entrée en vigueur du RGPD, chaque réseau de marketing d'affiliation et plateforme SaaS a effectué sa propre diligence raisonnable et a cherché des conseils juridiques sur sa position légale pour le traitement des données et comment ils pensent s'intégrer dans l'écosystème annonceur/éditeur.

Parce qu'il n'y a pas de cohérence dans la manière dont les réseaux d'affiliés utilisent les données, il n'y a toujours pas de consensus, ce qui peut inévitablement créer de la confusion au sein de l'industrie. Ce document vise à décrire la logique derrière la position d'Awin et nos attentes vis-à-vis des entreprises avec lesquelles nous travaillons.

1. Le RGPD en bref

Le RGPD, y compris le RGPD britannique, a été conçu pour donner plus de pouvoir aux consommateurs de l'UE et du Royaume-Uni et pour garantir leurs droits en matière d'utilisation de leurs données. C'est d'une importance capitale pour les industries numériques, car la notion de ce qui est considéré comme une donnée personnelle a été élargie pour inclure tout ce qui peut distinguer un individu, même si ce n'est pas nécessairement identifiable de manière évidente. Ainsi, si une adresse e-mail est manifestement une donnée personnelle, la portée s'étend également aux identifiants pseudonymes tels qu'une adresse IP ou un numéro de commande.

Pour exploiter ces données, les entreprises sont tenues de sélectionner un fondement juridique, parmi six options. Pour certaines activités, le choix est évident, mais pour beaucoup d'entreprises de marketing digital, elles optent généralement pour 'consentement' ou 'intérêt légitime'. Nous en dirons plus à ce sujet plus tard.

La confidentialité par conception exige que les entreprises repensent fondamentalement la manière dont elles développent de nouveaux outils et technologies, garantissant que la confidentialité et le contrôle des données font partie intégrante de l'ADN des mises à jour et des lancements produits.

La minimisation des données contraint les entreprises à ne collecter que les données nécessaires à la réalisation de la fonction de traitement spécifiée.

De plus, la formation des employés et la nomination d'individus dédiés à l'application des règles sont deux considérations importantes.

En plus de la base juridique, il existe également des principes fondamentaux inscrits dans le RGPD.

Le non-respect des règles pourrait entraîner la sanction ultime ; des amendes significatives.

Le RGPD est donc de grande portée et englobe tout. Mais au-delà de cette législation, les règles existantes autour du marketing numérique, inscrites dans les lois des États membres mettant en œuvre la Directive ePrivacy, doivent également être considérées en profondeur.

2. La vue d'ensemble avec ePrivacy

La Directive ePrivacy (ou ePrivacy en abrégé), donne aux personnes des droits spécifiques en matière de confidentialité en relation avec les communications électroniques, le domaine le plus significatif pour le marketing d'affiliation étant l'utilisation de cookies et de technologies similaires. Au Royaume-Uni, ces règles sont établies dans le PECR, le Règlement sur la confidentialité et les communications électroniques. Ici, nous nous référerons à la Directive ePrivacy pour plus de cohérence.

La Directive ePrivacy complète les lois générales sur la protection des données et établit des droits à la vie privée plus spécifiques sur les communications électroniques. Il y a une complexité à comprendre ce que signifie ePrivacy pour Awin et toute entreprise opérant dans l'UE, qui découle de la nature de la loi.

Alors que le RGPD, comme son nom l'indique, est un règlement et à ce titre s'applique directement tel quel, l'ePrivacy dans sa forme actuelle n'est qu'une directive, laissant l'implémentation à la discrétion des États membres. Le texte final de la loi ePrivacy a donc été déterminé par les États membres individuels et en conséquence, les exigences concernant les cookies (et technologies similaires) sont soumises à différentes exigences à travers l'Europe.

Par conséquent, bien que le RGPD soit universellement adopté, l'ePrivacy est sujet à interprétation locale.

Cette incertitude juridique sera résolue une fois que le tant attendu Règlement ePrivacy entrera en vigueur, cependant, jusqu'à ce moment, les entreprises opérant dans plusieurs juridictions doivent envisager de chercher des conseils locaux pour assurer la conformité.

Pour ajouter une couche supplémentaire de confusion, le RGPD et l'ePrivacy ne peuvent pas être interprétés isolément.

Dans certaines juridictions, l'ePrivacy peut exiger un consentement de niveau RGPD pour les cookies (qu'ils collectent ou non des données personnelles). Nous avons tenté de faire une distinction claire entre les deux lors de l'adressage du consentement aux données et du consentement aux cookies ci-dessous.

Par conséquent, bien que ce guide soit destiné à aborder l'impact du RGPD sur le marketing d'affiliation, nous ferons également référence à ePrivacy pour aborder la réglementation des données dans son intégralité.

3. Comment le RGPD impacte-t-il l'industrie du marketing d'affiliation?

L'extension du champ d'application du RGPD et son application à différents types de données personnelles signifient que, selon le contexte, certains types de données qui n'étaient peut-être pas précédemment réglementés par les lois sur la confidentialité, sont devenus soumis à réglementation. Cela inclut les identifiants de dispositifs, les identifiants de membres cashback, les numéros de référence client et autres identifiants techniques. De plus, le RGPD impose des exigences plus strictes pour obtenir le consentement des utilisateurs pour le traitement des données personnelles.

Il convient de souligner que, dans sa forme la plus pure et en ce qui concerne les services spécifiques d'Awin, le caractère des données personnelles traitées pour le marketing d'affiliation est non sensible et principalement technique.

Comparé aux autres canaux qui utilisent des données personnelles pour construire des profils d'utilisateurs à cibler à travers des publicités, le marketing d'affiliation ne s'engage pas typiquement avec des techniques de remarketing ou programmatiques.

Toutefois, certaines marques collaborent avec des affiliés qui gèrent ce type d'activité sur une base CPA via le canal d'affiliation. Dans certains cas, la publicité comportementale et d'autres formes de marketing basées sur la performance, qui dépendent fortement du profilage des utilisateurs pour l'envoi de publicités ciblées, sont soumises à des obligations réglementaires plus strictes.

D'autres plateformes d'affiliation utilisent les données fournies par les affiliés pour établir des profils destinés à la personnalisation et aux services de remarketing. Ils peuvent donc estimer qu'ils nécessitent une justification légale autre que l'intérêt légitime pour agir ainsi, ce qui entraîne différentes obligations réglementaires que les affiliés sont tenus de respecter.

Ainsi, les éditeurs se retrouvent inévitablement dans une situation où les obligations d'une plateforme diffèrent de celles d'une autre. Lors de l'entrée en vigueur du RGPD en mars 2018, les plateformes d'affiliation, sous la direction d'Awin, ont essayé de parvenir à un consensus dans le secteur en se réunissant pour s'accorder sur une approche uniforme. Même si cela n'a pas été possible, tous les participants ont accepté d'apposer leur nom sur une déclaration de l'industrie.

Awin conseille aux éditeurs de prendre contact avec tous les plateformes avec lesquels ils collaborent afin de bien comprendre leurs exigences en matière de confidentialité et les raisons de ces exigences.

4. La préparation d'Awin pour le RGPD

Un des effets majeurs du RGPD a été l'obligation pour toutes les entreprises d'analyser leur utilisation des données personnelles à la lumière de la portée, des principes et des droits stipulés par le RGPD. Awin a réalisé cette évaluation au travers d'une Analyse d'Impact sur la Protection des Données (AIPD) détaillée. L'AIPD d'Awin vise plusieurs objectifs, entre autres :

1. Créez un aperçu détaillé de toutes les données collectées au cours des activités de suivi d'Awin
2. Évaluez si Awin agit en tant que Responsable du traitement ou sous-traitant en ce qui concerne ces données
3. Examinez l'objectif et le fondement juridique de chaque activité de traitement
4. Effectuez un 'test d'équilibre' lorsque l'intérêt légitime a été identifié comme la base juridique du traitement.*
5. Identifiez les mesures de protection nécessaires pour protéger les données
6. Minimisez l'utilisation de données personnelles autant que possible

*Ce test est utilisé pour évaluer si les hypothèses d'Awin en choisissant l'intérêt légitime sont valides.

Dans l'interprétation de la position d'Awin sous le RGPD, il est important de comprendre comment Awin traite les données personnelles et quel impact cela a sur la vie privée des individus.

5. Utilisation des données personnelles

Dans le cadre habituel de ses activités, Awin traite les données des catégories de personnes suivantes:

1. Personnel Awin, Personnel de l'éditeur, de l'annonceur et du fournisseur
2. Éditeurs où l'éditeur est un personne physique
3. Les consommateurs dont les achats sont trackés par Awin

Dans le cadre de ce document, nous nous concentrerons uniquement sur l'activité de tracking qui traite les données personnelles des consommateurs. C'est parce que toutes les autres activités de traitement sont principalement réalisées pour l'administration des affaires et, selon les directives réglementaires, ces données sont jugées peu susceptibles de constituer un risque élevé pour les individus.

6. Données du consommateur

Awin utilise principalement le tracking des données des consommateurs. Ce tracking permet à Awin de comprendre le parcours en ligne d'un consommateur sur des sites web spécifiques après avoir visualisé ou cliqué sur une publicité. L'objectif du tracking est de lier les efforts de marketing spécifiques pour réaliser la vente d'un éditeur à une transaction, ce qui permet aux annonceurs de récompenser les éditeurs sur une base transactionnelle. Le tracking permet aussi à Awin de fournir des rapports pertinents aux éditeurs et annonceurs.

Le tracking cross-device permet à Awin de comprendre le parcours d'un consommateur lorsqu'il commence sur un dispositif et que la transaction se termine sur un autre.

Pour effectuer le tracking, Awin utilise des cookies domaine tracking, des balises de parcours client et l'empreinte digitale des appareils. Voici une brève explication de comment ces technologies fonctionnent :

• Cookie domaine tracking: Les cookies délivrés par le domaine Awin lorsqu'un consommateur clique sur une publicité affichée coté éditeur
• Journey tags: Un code JavaScript est intégré dans le site web de l'annonceur pour permettre à Awin de recevoir des informations sur les transactions.
• Empreinte digitale d'appareil: Les cookies délivrés par le domaine Awin lorsqu'un consommateur clique sur une publicité affichée coté éditeur. Un code JavaScript est intégré dans le site web de l'annonceur pour permettre à Awin de recevoir des informations sur les transactions. Méthode par laquelle Awin est capable d'identifier de manière unique un appareil en prenant en compte certains attributs (incl. taille/résolution de l'écran et configurations de l'utilisateur).

Le tracking cross-device fait appel aux domaine tracking et le Journey Tag de la même façon et dans les mêmes buts que le tracking. En outre, le tracking cross-device crée des profils de consommateurs pseudonymes, qui sont par la suite utilisés pour relier plusieurs appareils à un seul consommateur.

Toutes les données qu'Awin utilise pour le tracking sont pseudonymes, non sensibles, largement techniques et ne sont pas liées au comportement, ou aux prédictions ou évaluations de l'intérêt des consommateurs ou des personnalités.

7. Responsable du traitement ou sous-traitant de donné?

Toute entreprise qui gère des données doit déterminer son rôle dans le traitement de ces données.

Les implications de cette décision varient en fonction du rôle spécifique que vous jouez. La décision d'être un 'Responsable du traitement' ou un 'sous-traitant' de données est logiquement liée à l'utilisation que vous faites des données suivies et aux décisions que vous prenez à leur sujet.

Vous serez un responsable du traitement si vous déterminez:

• Pourquoi s données doivent être traitées; et/ou
• Comment elles devraient être traitées pour atteindre l'objectif prévu.

D'un autre côté, les sous-traitants ne choisissent jamais la raison pour laquelle ils doivent traiter les données, ils laissent cette décision au responsable du traitement qui les a guidés. Les sous-traitants peuvent prendre des décisions restreintes sur la façon de traiter les données en fonction des objectifs fixés par le responsable du traitement, mais ces décisions doivent être uniquement 'non essentielles'.

Cela implique que le Responsable du traitement doit toujours prendre les décisions cruciales, y compris celles concernant les données à traiter pour réaliser son objectif ou le modèle économique de l'objectif visé.

L'essentiel à retenir est que les rôles sont attribués en fonction des faits.

Il n'est pas possible de conclure un contrat qui stipule, par exemple, "X sera le Responsable du traitement, Y sera le sous-traitant", si, en réalité, Y a pris des décisions sur les données à traiter pour les objectifs de X ; dans ce cas, Y finira par être co-Responsable du traitement aux côtés de X. Si Y décide de traiter des données pour ses propres objectifs, il sera le seul Responsable du traitement pour ce nouvel objectif.

Dans le marketing d'affiliation, l'annonceur est toujours un Responsable du traitement car seul l'annonceur peut décider 'pourquoi' traiter les données ; seul l'annonceur peut décider, par exemple "Faisons du marketing en ligne et payons des commissions sur une base CPA".

8. Mais qu'en est-il des réseaux et des éditeurs ? Sont-ils des sous-traitants ou des responsables du traitement conjoints avec l'annonceur?

ALa position d'Awin est qu'Awin est un coresponsable du traitement avec l'annonceur, ainsi qu'avec les éditeurs. Il existe en fait une relation de coresponsabilité entre les trois parties.

C'est parce qu'Awin a décidé du modèle économique, et qu'Awin et les éditeurs décident quelles données traiter pour mener à bien la campagne de marketing d'affiliation de l'annonceur.

Cela est dû à la façon dont les Transactions sont trackées, signalées et rapportées.

Nous croyons que cette conclusion est la seule qui représente fidèlement la manière dont les choses se déroulent dans la pratique.

Si, par exemple, Awin ou les éditeurs étaient contraints d'agir en tant que sous-traitants de données, ils devraient obtenir l'approbation préalable de chaque annonceur respectif pour chaque nouveau traitement de données. Ils ne sont pas en mesure de prendre ces décisions de leur propre chef ; une telle situation semble à la fois peu pratique et inapplicable.

9. En quoi cela diffère-t-il des positions des autres réseaux?

Certains réseaux ont choisi une position de sous-traitant de données, ce qui signifie qu'ils n'ont alors pas à déterminer une base légale pour le traitement des données et sont donc incapables de déterminer une base légale pour leurs éditeurs.

Ils peuvent choisir de s'assurer que les annonceurs engagent directement les éditeurs pour s'assurer qu'ils ne sont pas responsables de toute éventuelle violation de données par un éditeur, se retirant directement de la relation éditeur/annonceur.

L'un des défis supplémentaires d'être un sous-traitant de données est l'impact potentiel sur votre capacité à prendre des décisions concernant le développement futur de vos services et technologies.

Par exemple, Awin devrait informer les annonceurs si nous concluons un accord de traitement de données avec eux, qu'ils ne pourraient pas utiliser les corrections de bugs, les mises à jour, les améliorations ou les fonctionnalités supplémentaires des produits ou services d'Awin jusqu'à ce que l'annonceur donne instruction à Awin par écrit de le faire.

Il est crucial de noter que l'interprétation d'Awin de la position de sous-traitant/responsable du traitement diffère de celle des autres réseaux. Après avoir sollicité des conseils juridiques, nous sommes convaincus que notre position est correcte.

Essentiellement, nous pensons que les déclarations suivantes décrivent notre position de responsable du traitement :

1. Les annonceurs ne décident pas de ce qu'il faut tracker. Ils choisissent un réseau, mais le réseau décide comment leur technologie fonctionne et quelles données sont utilisées. Sans ce statut, un réseau ne serait jamais en mesure d'itérer une nouvelle technologie sans obtenir un nouvel accord de sous-traitant de chaque partenaire.
2. Les réseaux déterminent le modèle économique.

3. Les réseaux guident les annonceurs, par exemple, en leur demandant de garder le tracking actif et opérationnel.

Le marketing direct peut être réalisé avec une seule information (par exemple, une adresse e-mail). Cela permet au responsable du traitement de demander à l'entreprise de marketing direct/au sous-traitant, "d'envoyer des e-mails à cette liste d'adresses e-mail". Le marketing d'affiliation est plus complexe, ce qui rend difficile pour l'annonceur de donner toutes les instructions à tous leurs affiliés.

10. Quels sont les arrangements de confidentialité d'Awin?

En tant que co-responsables, il est nécessaire que les parties concernées établissent un accord définissant les rôles et responsabilités de chaque acteur. À la différence des accords de traitement des données où une partie est le responsable du traitement et l'autre le sous-traitant, ces parties jouissent d'une plus grande liberté pour déterminer la forme et le contenu de l'accord, sans obligation d'inclure les responsabilités d'un sous-traitant au niveau du RGPD.

Coté annonceur, Awin propose un avenant au contrat de l'annonceur, qui adresse spécifiquement le traitement des données nécessaire pour les services d'Awin, en tant que co-responsable du traitement des données.

Pour les éditeurs, les termes relatifs au traitement des données sont inclus dans les annexes de notre accord standard avec l'éditeur, afin de clarifier les responsabilités de chaque partie. Par exemple, ces termes définissent comment Awin et les éditeurs répondront aux demandes des consommateurs concernant les données, ou comment ils géreront une éventuelle violation de données.

En définissant clairement ces responsabilités, on évite que les annonceurs, les éditeurs et Awin soient tenus responsables des infractions au RGPD commises par les autres.

Cela implique aussi que, en tant que responsable du traitement, les éditeurs seront tenus de respecter un nombre plus important d'obligations du RGPD. Toutefois, toutes les parties concernées sont déjà tenues de le faire lorsqu'elles traitent des données pour leurs propres objectifs. Il en résulte qu'elles devront maintenant aussi respecter ces obligations pour les données traitées lorsqu'elles génèrent des clients pour un annonceur.

Le principal avantage est que sur le réseau Awin, si cela est réalisé en conformité avec le RGPD et les accords ou conditions appropriés, les parties peuvent décider par elles-mêmes de la manière de traiter les données. Nous sommes fermement convaincus que c'est déjà le cas et que les autorités nous considéreraient comme des co-responsables du traitement. En instaurant une obligation contractuelle qui reflète la réalité factuelle, chacun devrait avoir une vision claire des obligations qu'il doit assumer en vertu du RGPD.

Enfin, nous avons pris en compte la manière dont les autorités en charge des données pourraient catégoriser Awin, ses annonceurs et ses éditeurs pour déterminer notre position.

11. Intérêt légitime et test d'équilibre

En tant que responsable du traitement, Awin est tenu de justifier le traitement des données personnelles avant qu'il ne soit considéré comme légal. Il existe six bases légales sous lesquelles cela peut être fait:

• Consentement

• Contrat

• Obligation légale

• Intérêt vital

• Public tâche

• Intérêt légitime

Lors de l'évaluation de l'intérêt légitime d'Awin, les intérêts de l'ensemble du système d'affiliés ont été considérés.

Un test d'équilibre a ensuite été réalisé, confirmant que le tracking présente un risque très faible d'impact négatif injustifié sur les intérêts ou les droits et libertés fondamentaux des personnes concernées par ces données.

Cela signifie qu'Awin ne dépendra pas du consentement individuel comme base légale pour le traitement des données personnelles en vertu du RGPD, dans le cadre de ses services de suivi.

12. Pourquoi ne pas consentir?

Il est d'abord essentiel de souligner qu'il y a toujours une grande confusion concernant le consentement.

Cela est en partie dû à l'absence de consensus au sein de l'industrie sur ce sujet, mais surtout parce qu'en plus du consentement GDPR, il existe également un consentement en vigueur lié à la Directive ePrivacy.

Ces lois, bien qu'indépendantes, coexistent. Dans le cadre de la confidentialité des données, considérez le RGPD comme un règlement global et complet sur tous les aspects de la régulation des données personnelles. En revanche, l'ePrivacy se concentre spécifiquement sur le marketing direct et les fonctions de tracking en ligne, telles que l'utilisation de cookies ou de technologies similaires.

Il est inévitable qu'il y ait une certaine superposition car les cookies contiennent souvent des données personnelles, mais il serait faux de penser que les cookies et les données personnelles sont identiques.

En vertu du RGPD, il y a une multitude de méthodes pour traiter légalement les données personnelles sans dépendre du consentement des données. En réalité, on peut affirmer que le consentement des données est le fondement juridique le moins commode et le plus contraignant pour le traitement des données.

Conformément à la Directive ePrivacy, l'autorisation pour l'utilisation des cookies est toujours nécessaire sauf si les cookies sont strictement indispensables pour fournir un service demandé par l'individu. Par conséquent, les éditeurs de cashback et de récompenses, par exemple, peuvent ne pas nécessiter l'autorisation pour les cookies d'affiliation car ces cookies sont essentiels pour le fonctionnement d'un service basé sur le cashback ou la fidélisation.

Il n'est pas sans défis d'obtenir le consentement pour l'utilisation des données. En le faisant, l'expérience de l'utilisateur sur le site peut être affectée négativement et l'individu peut quand même refuser de donner son consentement.

Lorsque le traitement des données personnelles est basé sur le consentement de l'utilisateur, des droits de données plus étendus sont accordés à l'individu, qui devront être respectés dans le futur. En outre, le consentement aux données doit être géré et consigné avec un degré de détail spécifique. Par ailleurs, un service ou un contenu ne peut être refusé aux consommateurs et aux utilisateurs pour avoir refusé de donner leur consentement aux données, sauf si le service est dépendant de ce consentement.

Peut-être plus important encore, pour obtenir un consentement valide pour les données, l'individu doit recevoir suffisamment d'informations pour prendre une décision.

Étant donné qu'Awin est un réseau d'affiliation, nous utilisons des données personnelles restreintes pour suivre les recommandations vers les sites web des annonceurs, les transactions qui en résultent et nos rapports. Cependant, nous ne réutilisons jamais ces données pour établir des profils comportementaux d'utilisateurs ou pour d'autres objectifs marketing. De plus, nous ne collectons pas d'autres données pour :

1. Construction de profils comportementaux des utilisateurs
2. Ciblage comportemental
3. Marketing à d'autres fins

Pour être effectués en toute légalité, ces types de traitement nécessitent généralement un consentement aux données, car ils sont considérés comme ayant une influence plus significative sur la confidentialité des individus. En s'abstenant de ce type de traitement, Awin peut se fonder sur un intérêt légitime pour justifier son traitement et éviter d'avoir à obtenir le consentement aux données des éditeurs ou des annonceurs pour le suivi légal des transactions.

Cela s'applique au traitement des données personnelles lorsque les individus naviguent du site web de l'éditeur vers les sites web des annonceurs, via nos domaines, en suivant la confirmation de la transaction et le rapport subséquent disponible dans l'interface utilisateur via le tracking.

13. Respecter le consentement

Il est important de considérer que si un responsable du traitement choisit le consentement comme base légale, il se peut qu'il ne puisse pas utiliser une autre base légale si le consentement s'avère difficile à obtenir.

Conformément aux directives du Groupe de travail de l'article 29 sur le consentement en vertu du Règlement 2016/679:

Si une partie quelconque du traitement repose sur le consentement comme base légale, le responsable du traitement doit respecter cette décision et interrompre cette partie du traitement si une personne retire son consentement

Il est également précisé :

"Il serait profondément injuste pour les individus de prétendre que les données seront traitées sur la base du consentement, alors qu'en réalité, on s'appuie sur une autre base légale. Autrement dit, le responsable du traitement ne peut pas changer de consentement à d'autres bases légales. Par exemple, il n'est pas permis d'utiliser a posteriori la base de l'intérêt légitime pour justifier le traitement, lorsque des problèmes ont été rencontrés avec la validité du consentement."

En raison de la nécessité de divulguer préalablement une base juridique, un responsable doit décider à l'avance laquelle des six bases sera adoptée.

14. La Directive ePrivacy

Depuis l'implémentation de la Directive ePrivacy dans les lois nationales de l'UE, il est obligatoire pour tous d'obtenir le consentement pour l'utilisation des cookies lors de leur mise en place.

Depuis 2012, Awin impose aux éditeurs d'obtenir le consentement pour l'utilisation des cookies conformément à nos conditions d'engagement avec les éditeurs. Cela vise non seulement à garantir le respect de ces règles par les éditeurs, mais également à obtenir le consentement pour les cookies d'Awin, au nom d'Awin. C'est une pratique courante pour des réseaux comme le nôtre, qui n'ont pas d'opportunité naturelle ou pratique pour solliciter le consentement pour les cookies auprès des individus..

15. Alors, pourquoi parlons-nous à nouveau du consentement des cookies?

La question du consentement aux cookies a refait surface ces dernières années. En effet, dans la plupart des États membres de l'UE, les lois qui mettent en application la Directive ePrivacy se fondent sur la définition du consentement présente dans les lois locales relatives aux données pour définir le consentement aux cookies.

Ainsi, la définition du consentement aux cookies a été remplacée lorsque le RGPD a pris la place des lois locales sur les données.

C'est important car le niveau de consentement nécessaire pour le RGPD est plus élevé que celui de certaines lois locales préexistantes sur les données et cela a été davantage clarifié par la jurisprudence et dans les directives émises depuis l'entrée en vigueur du RGPD.

16. Comment le RGPD impacte-t-il le consentement aux cookies?

En somme, obtenir le consentement pour les cookies est maintenant une tâche plus compliquée. La différence spécifique réside dans le fait que le consentement pour les cookies doit être clair et sans équivoque, rendant ainsi l'approche courante du consentement implicite insuffisante. De plus, le consentement pour les cookies doit être obtenu avant que les cookies ne soient installés.

Pour obtenir un consentement de cookie valide conformément à la nouvelle définition du consentement, l'individu doit prendre une action active pour exprimer son accord. Vous connaissez probablement les outils de consentement universels ou les plateformes de gestion du consentement (CMPs) ; une technologie qui affiche un message lorsqu'un utilisateur accède à un site web et sollicite l'autorisation de suivre l'activité de ce consommateur sur le site.

La plupart des opérateurs de sites web, y compris les éditeurs et les annonceurs, utilisent de tels outils de consentement pour obtenir le consentement pour les cookies servis sur leur site web, y compris les cookies d'Awin lorsqu'ils travaillent sur la plateforme Awin.

17. Alors, en quoi le consentement aux cookies et le consentement aux données sont-ils différents?

Comme les cookies sont naturellement moins complexes que toutes les utilisations possibles des données personnelles, il est beaucoup plus facile de se conformer aux normes de consentement renforcées lorsqu'on obtient le consentement pour les cookies plutôt que pour les données.

Cela est dû au fait qu'il y a moins de choses à clarifier pour l'individu, moins d'exigences en matière de conservation des dossiers et moins de droits supplémentaires à accorder à l'individu.

Le risque de non-conformité est également plus faible, car les énormes amendes imposées par le RGPD ne s'appliquent pas au consentement des cookies, contrairement aux consentements de données utilisés pour les cookies.

Bien que les lois mettant en œuvre la Directive ePrivacy s'appuient sur le RGPD pour la définition du consentement, elles ont toujours leurs propres amendes et pénalités pour non-conformité.

18. Comment cela impacte-t-il la manière dont les éditeurs et les annonceurs travaillent avec Awin?

L'obtention du consentement pour les cookies reste nécessaire pour Awin, ses éditeurs et annonceurs, à la fois pour obtenir le consentement pour leurs propres cookies et pour ceux d'Awin.

Nous vérifions aussi si les éditeurs et les annonceurs respectent ces exigences et, si nous constatons qu'ils ne le font pas, nous leur demandons d'obtenir correctement le consentement pour l'utilisation des cookies.

Cependant, Awin n'impose pas la manière dont le consentement pour les cookies doit être obtenu.

Awin met à disposition un outil de consentement pour les cookies, mais nous acceptons également que les éditeurs et les annonceurs utilisent d'autres outils de consentement ou qu'ils obtiennent un consentement valide par d'autres moyens.

Nous sommes conscients que le RGPD peut être complexe, notamment pour les petits éditeurs ou annonceurs, et nous nous efforçons de réduire autant que possible les contraintes de conformité pour nos partenaires.

Une façon est de justifier notre traitement de données sur la base d'un intérêt légitime, nous n'avons donc pas besoin de demander aux éditeurs ou aux annonceurs d'obtenir un consentement pour nous. Ce n'est pas une option pour le consentement aux cookies ; si un opérateur de site web n'a pas besoin de définir le cookie pour fournir un service demandé par un individu, le consentement aux cookies ne peut pas être évité.

19 La position d'Awin en un mot

Awin est un responsable du traitement conjoint avec les annonceurs et la plupart des éditeurs.

Cela élimine le besoin de signer des accords de traitement de données.

Il offre au réseau la possibilité de développer de nouvelles technologies et de déterminer les fondements des futures mises à jour et versions technologiques.

Awin utilise l'intérêt légitime comme base juridique pour le traitement des données.

Awin n'exige pas de ses partenaires qu'ils demandent le consentement pour le RGPD.

Awin demande à tous les annonceurs et éditeurs d'obtenir un consentement valide pour les cookies, conformément aux lois sur les données en vigueur.

Les éditeurs et les annonceurs sont libres d'obtenir le consentement de la manière qu'ils jugent appropriée, cependant, Awin offre un outil de consentement facile à installer.

20. Que signifie tout cela si je suis un annonceur ou un éditeur travaillant avec Awin?

En tant qu'entreprise opérant sous le RGPD, vous avez certaines obligations en tant que responsable du traitement. De plus, lorsque vous travaillez avec Awin, vous avez certaines tâches à effectuer pour garantir que le tracking des affiliés est mis en place légalement sur votre site web. Nous avons créé une liste sur les points les plus importants à considérer:

• Vérifiez si vous devez vous inscrire auprès de votre autorité locale de protection des données.
• Mettez à jour vos conditions générales et votre politique de confidentialité si nécessaire.
• Mettez en place des accords ou des dispositions avec tous les tiers qui traitent des données avec vous.
• Assurez-vous d'avoir des informations de contact où les individus peuvent vous contacter pour des questions liées à la confidentialité.
• Assurez-vous d'avoir une base légale pour toutes les activités de traitement.
• Assurez-vous d'obtenir le consentement pour les cookies lorsque la ePrivacy l'exige et que votre système de consentement englobe toutes vos activités.

21. Où puis-je trouver plus d'informations?

Awin dispose d'un hub GDPR, que vous pouvez trouver ici.

FAQ d'Awin sur la protection des données et la sécurité

Il y a eu une augmentation constante du nombre de questions que nous recevons sur nos activités de traitement des données au cours des dernières années. Ces questions couvrent un large éventail de sujets, allant de la conformité avec le RGPD à des questions plus techniques sur la sécurité des données. Nous avons listé ci-dessous les questions les plus courantes posées par les annonceurs et les éditeurs.

Awin respecte-t-il le RGPD ?

Awin, une entreprise basée et opérant en Europe, traite quotidiennement des données personnelles, ce qui rend la conformité au RGPD essentielle à ses activités. Afin d'assurer cette conformité, Awin a effectué une évaluation d'impact sur la vie privée et a instauré plusieurs mesures de sauvegarde pour une conformité continue. Awin suit constamment les directives et décisions juridiques et s'engage à maintenir la conformité de toutes ses opérations face à toute évolution.

Avez vous un délégué à la protection des données ? Comment pouvons-nous entrer en contact avec lui ?

Oui, Awin a nommé un délégué à la protection des données. Vous pouvez contacter le DPO à global-privacy@awin.com.

What personal data do you capture, store or process in the course of tracking ?

Awin utilise des données pseudonymes, non sensibles, principalement techniques et non liées au comportement, ni aux prédictions ou évaluations de l'intérêt des consommateurs ou des personnalités.

Par exemple, un cookie de tracking collecte les données suivantes :

• Date du cookie

• Date d'expiration du cookie

• Adresse IP (tronquée)

• IP Hash
• GeoIP

• ID de l'annonceur

• ID de l'éditeur

• ID de la bannière

• ID du groupe

• ID du produit

• Référence Clic/Réseau

• Referrer

• ID de l'éditeur écrasé

• Plateforme

Awin collecte-t-il des données personnelles sensibles ?

Non, Awin ne recueille pas de données sensibles lors de la gestion ou du tracking de ses relations avec les annonceurs, les éditeurs et les fournisseurs. Cependant, Awin peut être amené à collecter des données sensibles concernant ses employés, si la loi l'exige.

Quel est le flux de données que Awin tracke ?

Où stockez-vous physiquement ces données ?

Au sein de l'UE/Royaume-Uni.

Pour héberger l'application et les données, utilisez-vous les services d'un hébergeur ou d'un fournisseur cloud ?

Oui, Equinix (Londres/Slough) qui sont nos centres de données co-localisés. Fournisseurs de cloud : AWS

(Irlande et Francfort, Allemagne) et Azure (Amsterdam).

Combien de temps conservez-vous les données ? Avez-vous des processus en place pour supprimer automatiquement les données ?

Awin garde les informations en accord avec sa politique de rétention. À moins qu'il ne soit spécifié autrement dans cette politique (et que la loi le permette), les données personnelles sont effacées après 36 mois. Nous avons instauré des procédures de suppression automatique pour assurer que les données soient effacées à la fin de la période de rétention applicable.

Êtes-vous certifié ISO 27001 ?

En février 2022, nous avons avec succès franchi l'audit de la phase 2 de la certification ISO 27001 pour les systèmes et services en question, mené par des auditeurs indépendants du BSI. En mars, nous avons obtenu la certification ISO 27001. Des audits de surveillance annuels et des audits de re-certification seront effectués.

Décrivez le processus de surveillance, de révision et d'audit réguliers du service fourni par vos fournisseurs tiers.

La gestion des risques des fournisseurs comprend la diligence raisonnable lors de leur intégration et des évaluations régulières par la suite.

Séparez-vous les données des clients ?

Nous séparons logiquement les données. Les ACL sont utilisées dans l'interface utilisateur Awin pour garantir que les données sont logiquement séparées et qu'elles ne peuvent pas être accessibles ou corrompues par d'autres clients.

Effectuez-vous des tests de pénétration ?

Oui, des tests de pénétration sont effectués par une tierce partie de confiance sur une base annuelle. Nous avons également un programme "Bug Bounty" en place.

Avez-vous mis en place des contrôles pour restreindre et surveiller l'installation de logiciels non autorisés sur vos systèmes ?

Tous les logiciels doivent être intégrés via le processus de révision de la sécurité de l'information du fournisseur.

Les utilisateurs se voient fournir une bibliothèque dans le Microsoft store d'applications autorisées. Tout autre logiciel est installé par l'IT interne après approbation.

Utilisez-vous des organisations tierces en tant que sous-traitants des données personnelles ?

Oui, Awin utilise un certain nombre de sous-traitants ; une liste complète des sous-traitants peut être partagée sur demande.

Ces prestataires de services ont subi des contrôles de confidentialité et de sécurité de l'information et un accord de traitement des données est en place si nécessaire.

Transférez-vous des données en dehors de l'UE ?

Awin effectue des transferts hors de l'UE uniquement lorsqu'il existe des garanties appropriées pour le faire.

Veuillez décrire les mesures techniques et organisationnelles que vous avez mises en place pour protéger les données.

Les mesures techniques et organisationnelles (TOMs) d'Awin comprennent :

• Pseudonymiser et anonymiser les données autant que possible (la truncation des adresses IP a été mise en place, les adresses e-mail sont hachées lorsqu'elles sont utilisées, les informations d'identification du client sont pseudonymisées)
• Mesures de sécurité physique (protection de carte, accès invité restreint)
• L'application des droits d'accès fondés sur les identifiants, où les autorisations sont attribuées en fonction du besoin. L'autorisation d'accéder aux données est donnée lorsqu'il existe une raison professionnelle justifiant l'accès de cette personne.
• Un programme de formation obligatoire pour les employés sur la protection des données et la sécurité des données.

Mise à jour des politiques concernant la sécurité des données, y compris le Plan de Continuité des Activités d'Awin, la Politique de Signalement des Incidents, la Politique de Gestion de l'Information, etc.

Testez-vous/évaluez-vous/mettez-vous régulièrement à jour les TOMs ?

Oui, les TOMs sont revus chaque année et dans le cas improbable d'une violation de sécurité ou de données.

Cryptez-vous, anonymisez-vous ou pseudonymisez-vous les données personnelles pour garantir qu'elles ne peuvent pas être lues par des parties non intentionnelles ?

Les données collectées lors du tracking sont pseudonymes (les adresses IP sont tronquées, les adresses e-mail utilisées pour le suivi multi-appareils sont hachées par défaut). Toutes les données en transit sont cryptées lorsqu'elles traversent des réseaux publics (utilisant le cryptage TLS ou IPSec selon les normes industrielles actuelles). Les appareils amovibles, les ordinateurs portables et les appareils mobiles ont le cryptage de disque complet activé.

Veuillez décrire la sécurité physique de vos bâtiments.

L'accès à tous les sites (bureaux et centre de données) est contrôlé par un accès par carte clé. Les invités ne sont pas autorisés à accéder à ces sites sans être accompagnés par un membre du personnel. L'accès aux emplacements du Centre de Données est limité au personnel pré-approuvé au sein des équipes informatiques. Tous les accès à ces emplacements sont enregistrés et disposent de contrôles de sécurité physique de pointe.

Avez-vous une protection pare-feu intégrée dans vos systèmes ?

Tous les services internes d'Awin sont connectés à Internet par des pare-feu, qui protègent les services contre les attaques externes, en interne, d'autres pare-feu permettent de segmenter et de protéger davantage nos services. Notre équipe d'opérations effectue des analyses de vulnérabilité sur nos systèmes externes chaque semaine.

Quelles mesures avez-vous mises en place pour limiter l'accès aux données ?

Dans le cadre de notre préparation au RGPD, nous avons révisé notre politique de contrôle d'accès et avons renforcé des engagements tels que :

• Nous suivons les dispositions de contrôle d'accès pour limiter l'accès aux installations d'Awin, aux applications d'affaires, aux systèmes d'information, aux réseaux et aux appareils informatiques.
• Avant d'obtenir des privilèges d'accès, toutes les personnes qui ont accès aux systèmes informatiques, aux systèmes d'information, aux applications, aux réseaux et aux appareils informatiques doivent être autorisées.
• Le principe du moindre privilège doit être suivi.
• La séparation des tâches devrait être envisagée.
• L'accès aux infrastructures d'Awin doit être rigoureusement réglementé, et accordé uniquement au personnel authentifié et autorisé, grâce à l'application de mesures de sécurité physique adéquates.
• Les droits d'accès ne peuvent pas être accordés collectivement ou partagés au sein d'un groupe.
• En général, l'accès aux systèmes d'information contenant des informations personnelles ou confidentielles doit nécessiter une authentification à deux étapes.

Avez-vous mis en place des notifications en cas de violation de sécurité ?

Nous gérons et signalons les violations conformément à notre plan de réponse aux incidents. Lorsqu'il y a une violation de données personnelles (ou une divulgation illégale d'informations confidentielles), nous informons les parties touchées et/ou l'autorité compétente, conformément à nos obligations légales.

Comment assurez-vous que l'autorité de protection des données serait informée dans les 72 heures en cas de violation de données ?

Toute violation doit être signalée immédiatement au DPO d'Awin. C'est un élément essentiel pour respecter le délai de 72 heures et est donc souligné dans toutes les formations, les matériaux d'information et les politiques pour les employés. Une fois que l'information a atteint le DPO, le DPO se chargera de la notification à l'autorité de protection des données, comme requis.

Comment garantissez-vous les droits des individus ?

Awin a mis en place des processus pour garantir le respect des droits des individus tels qu'énoncés dans le RGPD. Toutes les demandes doivent être adressées à global-privacy@awin.com où la demande sera traitée conformément au processus pertinent.

Tout votre personnel impliqué dans le traitement des données clients a-t-il reçu une formation sur la protection des données et la sécurité de l'information ?

Oui, nous proposons à la fois une formation obligatoire sur la confidentialité et la sécurité de l'information lors de l'intégration des employés. De plus, nous mettons en place des formations de recyclage annuelles. Notez que notre formation se termine par un test, pour garantir une connaissance suffisante.

Merci de fournir un lien vers votre politique de confidentialité.

https://www.awin.com//fr/politique-de-confidentialite

Pourriez-vous nous donner un exemple de comment mentionner Awin dans nos politiques de confidentialité ?

Vous pouvez utiliser n'importe quel libellé de notre politique pour vos divulgations.

Pouvons-nous signer un accord de traitement des données en tant qu'annonceur ?

Oui, cela fait déjà automatiquement partie de votre accord annonceur de marketing d'affiliation avec Awin.

Pouvons-nous signer un accord de traitement des données en tant qu'éditeur ?

Ce n'est pas nécessaire car toutes les dispositions pertinentes sont déjà incluses dans les conditions de l'éditeur, en annexes à ces conditions. Veuillez les consulter.

À qui puis-je m'adresser pour d'autres questions ?

Nos gestionnaires de compte seront en mesure de répondre aux questions générales concernant la protection des données. Si vous souhaitez parler directement à notre DPO, vous pouvez envoyer un courriel à global-privacy@awin.com.