Comment le règlement général de l'UE sur la protection des données affectera les spécialistes du marketing américains

Nous ne sommes qu'à 12 mois de la mise en œuvre complète du règlement général de l'Union européenne sur la protection des données (RGPD UE). Yay! (Ou, peut-être pas oui.)

Si vous êtes un spécialiste du marketing et que vous créez des publicités pour des campagnes mondiales (admettez-le, chaque campagne est désormais mondiale), un manque de sensibilisation à certains changements de règles cruciaux qui vous attendent pourrait s'avérer coûteux, surtout si vous êtes engagé dans la collecte de données et ce que vous , en tant que collecteur de ces données, faire de ces données en Europe.

Le GDPR de l'UE aura un impact sur la vie de plus de 500 millions de personnes dans 28 pays et tentera de fournir aux consommateurs la protection et la confidentialité améliorées qu'ils réclament sans étouffer la capacité d'une entreprise à innover et à se commercialiser.

Quelques-uns des principes les plus importants de ces règlements (paraphrasés) sont :

• Les données personnelles ne peuvent être collectées légalement que dans des conditions strictes, dans un but légitime.
• Les personnes ou organisations qui collectent et gèrent des informations personnelles doivent les protéger contre toute utilisation abusive et doivent respecter certains droits des propriétaires de données qui sont garantis par le droit de l'UE.
• Les entreprises, les autorités publiques et les particuliers qui transfèrent de grandes quantités de données personnelles au-delà des frontières avec des règles de protection des données contradictoires doivent adhérer aux politiques internationales d'échange d'informations.
• Le transfert de données personnelles à l'étranger est interdit s'il existe une incertitude quant au niveau de protection qu'un autre pays peut offrir au consommateur.
• Les responsables du traitement seront tenus de signaler les violations de données à leur autorité de protection des données (à moins qu'il soit peu probable que cela représente un risque pour les droits et libertés des personnes concernées).
• La notification doit intervenir dans les 72 heures suivant la prise de connaissance d'une violation par les responsables de traitement, sauf circonstances exceptionnelles qui devront être justifiées.
• Les personnes concernées ont le « droit à l'oubli ».

Comme l'a déclaré Věra Jourová, commissaire chargée de la justice, des consommateurs et de l'égalité des genres, l'UE offre une formidable opportunité :

... la valeur des données personnelles des citoyens européens a le potentiel d'atteindre près de 1 000 milliards d'euros par an d'ici 2020. Renforcer les normes européennes élevées de protection des données est donc synonyme d'entreprise, et non d'un fardeau pour l'innovation.

En Europe, cela est et a été un gros problème. Il existe des sites Web avec des comptes à rebours indiquant les secondes jusqu'à ce que le RGPD entre pleinement en vigueur. Si elles ne l'ont pas déjà fait, les entreprises apportent les changements opérationnels nécessaires pour s'assurer qu'elles sont en conformité. Et, du Bureau de la Commission européenne Il n'y aura pas d'excuses (pas un vrai bureau) est venu une bibliothèque de fiches d'information en 23 langues qui expliquent en profondeur ce que le RGPD signifie pour quiconque fait quoi que ce soit sur le Web.

Règlement général sur la protection des données : impitoyable ou édenté ?

Le RGPD de l'UE aura un effet profond sur les entreprises, quelle que soit la taille d'une organisation. Facebook, Alphabet, Apple et peut-être vous-même devrez respecter les souhaits du consommateur et garantir qu'il a le contrôle ultime sur la manière dont il souhaite que ses données soient utilisées.

Si vous ne le faites pas, le Bureau du Commissaire à l'information (ICO), le bras chargé de l'application de la loi de l'UE, et/ou les régulateurs nationaux de la protection de la vie privée, alias les autorités de protection des données (DPA), auront le pouvoir d'infliger une amende à toute personne en violation du RGPD. Les amendes peuvent aller jusqu'à 4 % des ventes mondiales annuelles ou 20 millions d'euros (21,1 millions de dollars US), selon le montant le plus élevé. À ce jour, l'ICO n'a jamais prononcé de pénalité supérieure à 512 000 USD. Même pour les géants de la technologie comme Facebook ou Google, plusieurs amendes de 20 millions d'euros pourraient coûter cher. (Pas qu'ils bafoueraient les règles, bien sûr.)

L'un des nombreux produits phares testant les limites de ces règles suit actuellement son cours en France. La DPA française, la Commission nationale de l'informatique et des libertés (CNIL), a infligé à Facebook une amende de 150 000 € (161 000 USD) indiquant que :

...le groupe Facebook n'a pas de base légale pour combiner toutes les informations dont il dispose sur les titulaires de comptes pour afficher des publicités ciblées. Elle constate également que le groupe Facebook se livre à un pistage illicite… [et] ne permet pas aux utilisateurs de comprendre clairement que leurs données personnelles sont systématiquement collectées dès qu'ils naviguent sur un site tiers comportant un plugin social.

Facebook est également poursuivi pour les mêmes infractions par les Belges, les Néerlandais, les Allemands et les Espagnols.

L'amende de 150 000 € infligée par la CNIL était l'amende maximale autorisée au moment où elle a commencé son enquête en 2014. À l'avenir, la CNIL pourra infliger des amendes pouvant aller jusqu'à 3 M € (3,31 M $ US). Le montant de ces amendes est une monnaie d'échange pour des entreprises nageant en liquide et avec des bataillons d'avocats, comme Facebook. Quoi qu'il en soit, l'impact à long terme de ce type de querelles juridiques harcelantes et la presse qu'elles génèrent obligeront sans aucun doute les acteurs de la zone UE à repenser leur approche de la collecte de données et la manière dont ils marchandisent ces données.

Mort par 1000 règlements ?

Depuis 1980, la Commission européenne (CE) cherche activement des moyens de trouver un équilibre entre la protection de la vie privée d'un utilisateur et la garantie que la myriade de services en ligne cherchant à commercialiser auprès des particuliers peut le faire de manière raisonnable.

Ces premiers efforts ont abouti à l'accord sur le traitement automatisé des données personnelles, signé à Strasbourg, en France, avec des modifications apportées en 1988, 1995 et 2003. La réglementation naissante, telle qu'elle a été esquissée il y a près de 40 ans, sonnait avec un optimisme innocent caractéristique des premiers temps. jours du Web où les gens partageaient sans broncher toutes sortes d'informations personnelles et où les pratiques comme le vol d'identité ou, même le reciblage, étaient pour la plupart inconnues.

En 2012, la CE a fait passer la réglementation à la vitesse supérieure et a codifié davantage ce que les moteurs de recherche, les sites de réseaux sociaux et les services de messagerie, notamment Facebook et Google, peuvent faire avec les données qu'ils collectent en suivant les utilisateurs jusqu'où ils peuvent aller lorsqu'ils ciblent les publicités. Les mises à jour de la confidentialité des données vont au-delà des bases du sexe, de l'âge et de l'emplacement pour inclure les éléments qui pourraient être utilisés pour identifier un individu, tels que son identité génétique, mentale, économique, culturelle ou sociale.

Aux différentes protections créées pour protéger les consommateurs européens s'ajoutent :

• Article 8 de la Convention européenne des droits de l'homme
• OCDE « Recommandations du Conseil concernant les lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données personnelles »
• Directive européenne sur la protection des données (directive 95/46/CE)
• Article 15 de la directive vie privée et communications électroniques
• Groupe de travail Article 29 sur la protection des données
• Article 30 de la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

De toute évidence, c'est un continent qui valorise sa vie privée.

Pendant ce temps, aux États-Unis…

Aux États-Unis, le manque (apparent) d'importance accordée à la vie privée des consommateurs ne pourrait pas être plus frappant, ou la déférence dont font preuve les entreprises et les spécialistes du marketing est plus flagrante. Cela ne veut pas dire que les États-Unis n'ont pas de règles de confidentialité (et il peut sembler qu'elles soient systématiquement abrogées jusqu'à l'extinction, comme l'abrogation récente des règles de confidentialité à large bande semble en attester). Il n'en reste pas moins qu'il y a des réglementations en place, c'est juste qu'elles ont tendance à favoriser les entreprises.

Sans devenir politique ou inutilement philosophique, les raisons pour lesquelles aux États-Unis chaque jour est un jour opposé, ont tout à voir avec l'argent, la Constitution et la culture américaine.

Tout est une question d'argent

L'industrie du marketing numérique vaut plus de 60 milliards de dollars américains. Ce montant devrait atteindre 80 milliards de dollars d'ici 2020. Chaque fois qu'il y a autant d'argent en jeu, vous pouvez être assuré qu'il existe des organisations qui recherchent les «intérêts» d'autres organisations.

De gros morceaux du très gros gâteau du marketing numérique ont été découpés par les principaux acteurs de l'industrie comme Google et Facebook, et plusieurs ont décidé de dépenser une partie de cet argent pour façonner la politique. Ces dépenses vont souvent aux lobbyistes d'entreprise, et ces colporteurs d'influence se sont battus au nom de leurs clients pour créer et adopter des réglementations qui placent le fardeau d'accepter ou de refuser la collecte de données personnelles sur les épaules du consommateur - plutôt que d'exiger des entreprises demander l'approbation de l'utilisateur au préalable.

Ce n'est pas aussi néfaste qu'il y paraît.

Depuis de nombreuses années, les groupes de protection des consommateurs et les nombreuses agences fédérales dont le travail consiste à protéger les droits des consommateurs demandent au Congrès une législation fédérale de base sur la protection de la vie privée. Dans la plupart des cas, le public a obtenu ce qu'il demandait. Voici quelques-unes des réglementations très médiatisées qui ont été créées :

• Computer Fraud and Abuse Act (CFAA) qui érige en crime fédéral l'accès et le partage d'informations protégées.
• La Federal Trade Commission Act (FTC Act) qui interdit les pratiques déloyales ou trompeuses et a été appliquée aux politiques de confidentialité et de sécurité des données hors ligne et en ligne.
• La loi HIPAA (Health Insurance Portability and Accountability Act) qui réglemente les informations médicales.
• La règle de protection de la vie privée en ligne des enfants (COPPA) impose certaines exigences aux opérateurs de sites Web ou de services en ligne destinés aux enfants de moins de 13 ans.

(Vous pouvez décider vous-même si ces règles sont trop faibles, adéquates ou vont trop loin.)

Dans un cas, la FTC a présenté des recommandations fondées sur des préoccupations concernant le manque de transparence concernant les pratiques de collecte de données de certaines organisations et le manque de contrôle significatif des consommateurs sur les données personnelles.

Dans son rapport sur la protection de la vie privée de 2012, la Federal Trade Commission (FTC) a reconnu que les entreprises ne devraient pas être obligées de donner le choix avant de collecter et d'utiliser les données des consommateurs pour des pratiques compatibles avec le contexte d'une transaction ou la relation de l'entreprise avec le consommateur. Parce que les usages des données sont généralement conformes aux attentes raisonnables des consommateurs. Ils ont également conclu qu'en obligeant les entreprises à demander à chaque utilisateur son consentement pour collecter des données, ces coûts seraient répercutés sur le consommateur. En outre, combien de temps l'un d'entre nous supporterait-il les demandes d'adhésion avant de réclamer qu'elles s'arrêtent ?

"Nous le peuple…"

Le premier amendement de la Constitution garantit la liberté d'expression ; vous connaissez la liberté d'expression. Nulle part dans les réglementations américaines sur la confidentialité en ligne, il n'y a de règles permettant à une personne de supprimer ou de supprimer des informations sur elle-même en ligne. Oui, des procédures sont en place pour que cela se produise; aucun d'entre eux n'est obligatoire en vertu de la loi. Cette lacune apparente est compréhensible lorsqu'on la considère à travers le prisme de la constitutionnalité.

En tant que tel, contester les règles de confidentialité actuelles revient finalement à contester le premier amendement. C'est une bataille juridique que personne n'a eu les moyens d'entreprendre. Il s'agit également d'une généralisation géante, mais d'un condensé précis de l'impact de la constitution sur la création de règles de confidentialité.

Culture américaine : pas un oxymore

"Les affaires de l'Amérique sont des affaires." Ainsi disait Calvin Coolidge en 1925.

Malgré le fait que cette phrase nous soit parvenue à tort et que, prise dans son contexte, la remarque de Coolidge ait été plus une mise en accusation contre l'accumulation de richesses qu'un éloge de celle-ci, elle résume néanmoins beaucoup de choses sur la culture américaine.

En tant que nation, les Américains se méfient moins des grandes entreprises que les citoyens des autres pays. De plus, la plupart des Américains sont des capitalistes du marché libre, des individualistes robustes, des magnats en herbe, des entrepreneurs en série, etc. Dans un pays plein de gens désireux de créer «la prochaine grande chose», il n'est pas surprenant que la vie privée soit moins importante pas aussi haut sur leur liste de priorités.

Les Européens ont une attente plus élevée en matière de vie privée que les Américains. C'est peut-être parce que les Européens ont vécu des temps tumultueux, ou parce qu'ils ont vécu près les uns des autres pendant des siècles. Ou peut-être est-ce aussi simple que la prédisposition culturelle européenne envers la vie privée.

Qu'est-ce qui est le plus précieux : votre vie privée ou vos données ?

Personne n'aime se sentir surveillé, encore moins traqué. Mais, au niveau de l'utilisateur, c'est ce qui se passe ; et nous le savons, nous l'acceptons (en quelque sorte), et la plupart d'entre nous comprennent que ce n'est pas toujours bénéfique. Deux statistiques en parlent peut-être mieux qu'autre chose :

• 54 % des utilisateurs d'applications ont décidé de ne pas installer d'application pour téléphone portable lorsqu'ils ont découvert la quantité d'informations personnelles qu'ils auraient besoin de partager pour l'utiliser.
• 30 % des utilisateurs d'applications ont désinstallé une application qui était déjà sur leur téléphone portable parce qu'ils ont appris qu'elle collectait des informations personnelles qu'ils ne souhaitaient pas partager.

Lorsque le prix sera correct, nous ouvrirons nos appareils au plus offrant. Et, évidemment, pour certains, le soumissionnaire n'a pas besoin d'aller plus haut que 8 $.

Dans l'UE, la réponse à la question des données contre la vie privée est claire : la vie privée. Des "cookies" aux drones, la Commission européenne a pris à cœur le sentiment continental et a fait de la vie privée des consommateurs sa priorité. Avec le déploiement complet de ces plans de protection des consommateurs d'ici la fin de l'année, l'UE a affirmé qu'elle protégeait les informations personnelles des personnes et qu'il incombe désormais à une entreprise de veiller à la protection de la vie privée de ses clients.

De quel côté êtes-vous?

Le compte à rebours pour une réglementation accrue de la protection de la vie privée en Europe tourne plus fort. Et à chaque seconde qui passe, les spécialistes du marketing sont plus près d'avoir à se demander comment ils vont maintenir leur capacité à personnaliser leurs campagnes publicitaires tout en préservant la vie privée de ceux qu'ils ciblent et leur « droit à l'oubli ».

En cette ère de personnalisation accrue de la publicité, votre agence, ou votre marque, devra s'assurer que vos tactiques de collecte de données restent dans les nouvelles lignes légales ou feront face à des sanctions sévères de l'UE. Une façon de mesurer si votre publicité franchit la ligne légale est le système de classification de la publicité. Pour en savoir plus sur ce système, cliquez ici.

Associez toujours toutes vos annonces à des pages de destination post-clic personnalisées pour réduire votre coût par acquisition de client. Commencez à créer vos pages post-clic dédiées en vous inscrivant dès aujourd'hui à une démo Instapage Enterprise.