Les marques et les éditeurs s’exposent involontairement à des milliards de dollars d’amendes pour violation de la confidentialité des données, avertit Jamie Barnard.
Le piège à singes de l’Inde du Sud est un dispositif ingénieux pour capturer les singes gênants. Le piège consiste en une noix de coco creuse fixée à un piquet et remplie de riz auquel on accède par un petit trou. Bien que la main ouverte du singe passe facilement par le trou, son poing serré et rempli de riz reste coincé. Le singe restera ainsi, refusant de lâcher son riz tant prisé, jusqu’à ce qu’il soit malheureusement attrapé.
L’industrie du marketing est dans une situation difficile similaire. Sous l’emprise de la portée, de l’échelle et de la personnalisation fournies par les cookies de suivi tiers et les technologies publicitaires basées sur la surveillance, et sans solution miracle pour les remplacer, les spécialistes du marketing ne veulent pas lâcher prise. Mais les préoccupations relatives à la protection de la vie privée rendent ces outils trop dangereux, et les marques qui refusent de les abandonner risquent de se faire prendre par les régulateurs.
Risque lié à la confidentialité des données
Dans le modèle actuel, les annonceurs doivent travailler avec un large éventail d’intermédiaires et de fournisseurs pour suivre, profiler et cibler les consommateurs avec un contenu pertinent et souvent personnalisé. Cela crée un marché complexe où des centaines d’entreprises partagent des données personnelles sur des millions de personnes en quelques millièmes de seconde. Malheureusement, une grande partie de la machinerie qui rend cela possible, ainsi que la collecte et l’utilisation correspondantes des données, sont en conflit avec les attentes des gens en matière de vie privée et en violation de la réglementation sur la protection des données. Le secteur de la publicité numérique doit s’adapter ou accepter les conséquences de ces manquements à la conformité.
Alors que la surveillance réglementaire s’intensifie, garder la main sur le riz semble de plus en plus risqué. Et elle s’intensifie : depuis 2018, plus de 1,7 milliard d’euros d’amendes GDPR ont été distribuées, et les activités d’application de la loi augmenteront de 40 % en 2020/21.
Après avoir déjà infligé d’énormes amendes aux entreprises de big tech et d’ad tech, les régulateurs tournent leur regard vers les annonceurs. Grindr, H&M, Marriott, Sephora et Saga ont tous reçu de lourdes amendes, et de nouvelles enquêtes sont en cours contre beaucoup d’autres, dont SkyBet.
Nous savons que d’autres suivront, car les manquements à la conformité qui ont conduit à ces amendes ne sont pas propres à ceux qui ont été sanctionnés – ils sont courants du côté de la demande et de l’offre du secteur.
Le consentement n’est pas la conformité
Les modèles de consentement constituent un sérieux angle mort pour les marques. De nombreuses organisations supposent que l’obtention du consentement des utilisateurs pour la collecte et le traitement de leurs données garantit la conformité. En réalité, le consentement n’est pas synonyme de conformité. De nombreuses marques fonctionnent dans l’illusion de la conformité, alors qu’en fait, elles laissent régulièrement échapper des données personnelles dans leur chaîne d’approvisionnement en médias et tolèrent la collecte et le partage illégaux de données par des tiers non autorisés.
Les recherches de Compliant révèlent que les marques se mettent involontairement en danger de plusieurs manières. Par exemple, notre analyse montre que sur les 91 % d’annonceurs de l’UE qui utilisent une plateforme de gestion des consentements (CMP), 88 % transmettent les données des utilisateurs à des tiers avant d’avoir reçu leur consentement. Si une plateforme de gestion du consentement correctement mise en œuvre est un outil utile pour garantir le consentement, son intégration aux technologies existantes et aux architectures d’entreprise pose clairement un problème.
Un autre risque découle du « piggybacking », lorsque des cookies et des balises non autorisés collectent des données sur les sites Web des marques sans l’autorisation de l’annonceur. Le piggybacking entraîne le partage de données non autorisées dans tout l’écosystème adtech.
D’après notre analyse, les secteurs des technologies/télécoms, du divertissement et de l’automobile sont les plus vulnérables au piggybacking en Europe. À l’extrême, le site d’un éditeur britannique a activé un nombre étonnant de 427 balises/cookies non autorisés. Avec chaque balise supplémentaire sur un site, le risque que des données personnelles non autorisées soient illégalement partagées avec des tiers augmente, tout comme la responsabilité correspondante du propriétaire du site web. Le Conseil européen de la protection des données a indiqué que les annonceurs pourraient être conjointement responsables de la collecte et de l’utilisation illicites de données par des tiers connectés.
Un troisième risque provient des revendeurs de données qui collectent, organisent et vendent des données aux annonceurs et aux éditeurs. Étant donné qu’un grand nombre d’entreprises transmettent des données avant que le consentement ne soit obtenu, il est fort probable que les revendeurs de données rattachés aux sites des éditeurs et/ou des annonceurs fassent de même. Notre étude indique que les mêmes secteurs autorisent systématiquement les balises de revendeurs dans leurs flux de données (automobile, divertissement et technologie/télécoms), avec plus de balises de revendeurs que les autres secteurs.
Protéger les consommateurs
Dans le contexte des médias numériques et du commerce électronique, il peut être facile d’oublier pourquoi la vie privée est si importante. Si éviter les amendes et l’atteinte à la marque est une priorité absolue, la protection de la vie privée est avant tout une question de protection des personnes.
Plus nous numérisons nos vies, plus nous partageons de données sur nous-mêmes ; plus nous partageons de données, plus elles peuvent être utilisées contre nous, et plus nous devenons vulnérables aux abus. Plus nous sommes exposés, plus nous dépendons de la législation sur la protection de la vie privée et de l’éthique des données pour nous protéger de dommages réels – extorsion, persécution, discrimination, vol d’identité, etc.
Ainsi, lorsque nous examinons les risques pour la vie privée dans les médias numériques, nous devons toujours tenir compte des conséquences involontaires de la collecte de données.
Trois façons d’améliorer la conformité
Bien que le respect de la vie privée dans les médias numériques soit un défi permanent pour les annonceurs et les éditeurs, il existe des mesures positives que les entreprises peuvent prendre immédiatement :
- Intégrer un contrôle permanent de la conformité. Tirez parti d’outils automatisés qui surveillent, mesurent et évaluent en permanence les risques dans l’ensemble de votre chaîne d’approvisionnement en médias. Cela vous permet de réagir rapidement aux risques et d’informer vos priorités stratégiques en cours.
- Comprendre votre chaîne d’approvisionnement en médias. Le reporting des risques en temps réel exige une transparence totale de votre chaîne d’approvisionnement en médias – qui a accès aux données, à quoi elles servent, avec qui elles sont partagées et ce qu’elles en font. Utilisez ces informations pour prendre des mesures décisives afin de renforcer la discipline et de réduire les risques de conformité.
- Expérimentez un portefeuille de solutions respectueuses de la vie privée.. Il est temps de laisser tomber le riz dans la noix de coco et de se contenter des alternatives disponibles telles que les identifiants de données de première partie, les identifiants fournis par les éditeurs, la publicité contextuelle, les salles blanches, etc.
Les entreprises qui recherchent des solutions qui servent les intérêts et les attentes de leurs consommateurs sont moins susceptibles de miser sur le mauvais cheval à long terme. Et l’instauration de la discipline, de la transparence et de la résilience dans leur écosystème médiatique accélérera la prise de décision, réduira le temps nécessaire pour innover et, paradoxalement, encouragera la prise de risque. Les entreprises qui investissent dans une conformité permanente et automatisée en matière de protection de la vie privée seront bientôt les plus performantes.
Les premiers marketeurs à lâcher prise, seront les premiers à découvrir et à s’adapter aux nouveaux modèles. Les retardataires auront encore le poing dans la noix de coco lorsque le chasseur reviendra. La course est lancée.
Jamie Barnard est le PDG de la société de technologie de marketing numérique Compliant.
Voir aussi :
À quoi ressemblera une version britannique du GDPR ? – La nouvelle version britannique du GDPR doit être axée sur un engagement à réduire les coûts et les problèmes de conformité pour les petites entreprises, affirment les experts commerciaux.
Pourquoi s’embêter avec les ransomwares ? L’essor des attaques d’extorsion à faible coût. Andy Zollo, vice-président régional EMEA d’Imperva, évoque la menace croissante que représentent les attaques d’extorsion sans ransomware pour les entreprises.
Guide de l’âge de l’information sur les données et la confidentialité La réglementation en matière de données et de vie privée devient de plus en plus compliquée, l’UE s’apprêtant à infliger aux entreprises des amendes pouvant atteindre 20 millions d’euros en cas d’utilisation abusive des informations personnelles. Voici des stratégies et des outils qui vous permettront de rester en conformité.