Pour gérer vos consentements :

[Tribune] CEPD: les nouvelles règles de la publicité ciblée sur les réseaux sociaux

Publié par Fiona Gentilleau le - mis à jour à

Le CEPD dévoile les lignes directrices sur le ciblage des usagers des réseaux sociaux. Allouer les rôles et responsabilités du fournisseur et des entreprises, la transparence ou encore le consentement de l'utilisateur en font partie expliquent Sandra Tubert et Alexandra Antalis dans cette tribune.

Le Comité Européen de la Protection de Données (CEPD) a adopté, le 2 septembre, des lignes directrices sur le ciblage des usagers des réseaux sociaux. Elles clarifient les rôles et responsabilités des fournisseurs de réseaux sociaux et des entreprises utilisant leurs services de ciblage publicitaire. Dans ses lignes directrices, le CEPD détaille avec précision l'ensemble des implications juridiques de différents scénarios observés selon les techniques de ciblage publicitaire les plus courantes (lookalike, geo-targeting, re-targeting, etc). Dans chacun des scénarios, le CEPD arrive à la conclusion que les fournisseurs de réseaux sociaux et les entreprises sont responsables conjoints de traitement et ce même si les entreprises n'ont pas nécessairement accès aux données utilisées à des fins de ciblage publicitaire. Ceci signifie que tant le réseau social que l'entreprise ayant recours à ces services pour réaliser des campagnes de publicité ciblée sont responsables de la conformité de ces pratiques au RGPD.

Ces lignes directrices fournissent par ailleurs des précisions sur l'application des principales exigences du RGPD et notamment sur les points suivants :

  • La conclusion d'un accord conforme à l'article 26 du RGPD entre l'entreprise et le fournisseur de réseau social est nécessaire. Cet accord devra clairement allouer les rôles et responsabilités de chacun dans le traitement,
  • Deux bases légales sont envisageables : le consentement et l'intérêt légitime. Néanmoins, pour le ciblage publicitaire impliquant des données déduites par le réseau social, du profilage ou un suivi plus intrusif (par exemple le suivi sur différents sites internet, appareils ou services) ou bien encore des cookies et autres technologies de traçage, le consentement de l'utilisateur doit obligatoirement être obtenu,
  • La simple utilisation du mot "publicité" dans la politique de confidentialité ne suffit pas à informer les utilisateurs que leur comportement est analysé à des fins de publicité ciblée. Il est important d'être transparent quant au type de traitements réalisés et ce que cela implique en pratique pour les utilisateurs. Il convient également d'informer les utilisateurs du fait qu'un profil les concernant est réalisé sur la base de leur comportement en ligne sur le réseau social et sur le site d'entreprises tierces et des données utilisées,
  • Il est nécessaire d'analyser si des données dites sensibles (opinions politiques, religieuses, orientation sexuelle, etc) sont traitées et sous quelles conditions ces données peuvent être légitimement traitées. Le CEPD dégage également des critères d'appréciation concernant la possibilité de se baser sur l'exception prévue dans le RGPD selon laquelle les données ont été manifestement rendues publiques par la personne concernée. Au titre de ces critères figurent les paramètres par défaut du réseau social, sa nature, l'accessibilité de la page, le fait que l'utilisateur ait fourni la donnée sensible lui-même ou qu'elle ait été déduite, etc.
  • L'auteur :

    Sandra Tubert, co-dirige le département IT/Data de BCTG Avocats.

    La rédaction vous recommande

  • Réglementation européenne des données : plus de transparence
  • Facebook va déployer dans le monde entier les règles du RGPD
  • Data, vers l'émergence de rétribution individuelle ?
  • Lagardère Publicité joue les réseaux sociaux
  • L'UDA prend position sur la publicité contextualisée