Skip to content
Voir tous les articles

Union européenne Montrer ses muscles sur les données sensibles

Par Verrion Wright Stratégie et développement de contenu

4 minute de lecture

Depuis la création de la Règlement général sur la protection des donnéesLes tribunaux de l'UE ont continué de progresser dans l'établissement de normes révolutionnaires en matière de confidentialité des données. Le 1er août 2022, la Cour de justice de l'UE (CJUE) a publié une décision importante relative à la législation lituanienne anticorruption. Cette décision impose des règles plus strictes concernant le terme « confidentialité ». « données sensibles », ce qui aura une fois de plus un impact direct sur l’industrie de la publicité, les plateformes en ligne et l’utilisation du ciblage pour la personnalisation.

Examinons les implications de cette décision et l’impact plus large qu’elle aura sur l’écosystème de la confidentialité des données.

Article 9 : Les catégories particulières de données sensibles

Le RGPD définit le cadre juridique régissant la collecte, la gestion et le partage des données au sein de l'UE, ainsi que pour les entreprises qui traitent des données européennes. L'article 9 détaille l'interdiction générale de traitement de catégories particulières de données personnelles, qui peuvent être des données pouvant être interprétées au sens large ou des informations sensibles pouvant être déduites de la collecte. Ces catégories comprennent les données révélant les préférences politiques, l'origine ethnique, les affiliations religieuses, l'orientation sexuelle ou le mode de vie sexuel, les données génétiques et les données biométriques identifiant une personne de manière unique.

Cette nouvelle décision pourrait avoir un impact considérable sur ce qui constitue des « catégories spéciales » de données et sur la manière dont elles sont utilisées en lien avec la publicité en ligne, les applications de rencontres, les préférences alimentaires, les loisirs, le style de vie et les données de localisation liées à des lieux tels que les cliniques et les églises.

Les données peuvent-elles être déduites ?

Dans l'affaire lituanienne, la CJUE a examiné si les données révélant indirectement l'orientation sexuelle d'une personne devaient relever de la protection de la vie privée. Une partie de cette affaire portait sur la question de savoir si la publication du nom du conjoint relevait des catégories spéciales de données visées à l'article 9. En conséquence, les tribunaux ont établi dans leur arrêt que les données personnelles pouvant révéler indirectement l'orientation sexuelle d'une personne sont considérées comme des catégories spéciales de données au sens du RGPD.

Dans un récent article de TechCrunch, le Dr Lukasz Olejnik, chercheur et conseiller en confidentialité, a déclaré à TechCrunch que cette décision constituait « l'interprétation la plus importante et la plus claire du RGPD à ce jour ». Par conséquent, il est désormais clair que les données inférées sont officiellement considérées comme des données personnelles.

En réponse à cette décision, le Dr Gabriela Zanfir-Fortuna, vice-présidente de la protection de la vie privée au niveau mondial au Future of Privacy Forum, déclare : « Cela soulève également d’énormes complexités et difficultés pratiques pour cataloguer les données et créer différentes pistes de conformité. »

Lorsque ces corrélations avec l’identité deviennent si étroitement liées aux données sensibles, les organisations doivent prendre du recul et évaluer comment les identifiants pourraient potentiellement constituer un risque pour la vie privée.

Suivi et personnalisation des publicités

Ce jugement fera probablement évoluer l'écosystème de la publicité numérique en matière de données comportementales collectées sur les individus. Avant ce verdict, la plupart des entreprises consolidaient ces informations pour établir un profil ; les données déduites n'étaient pas considérées comme des données personnelles.

L'impact est vaste, car la plupart des organisations utilisent une forme ou une autre de suivi publicitaire. Les entreprises effectuent plusieurs déductions, puis personnalisent le ciblage publicitaire à partir de ces ensembles de données. Ces ensembles de données ne sont pas concernés par l'article 9 et le RGPD ; seules les données fournies directement par un individu sont concernées.

Parmi les exemples d'inférences possibles, on peut citer l'utilisation du fait qu'une personne ait aimé la page de la BBC pour inférer ses opinions politiques progressistes, l'association d'un abonnement à une salle de sport pour promouvoir des produits de santé et de bien-être, ou l'achat d'un berceau ou d'une poussette, qui présentera une personne comme un futur parent. De même, si une personne évalue des téléphones T-Mobile sur YouTube, elle sera probablement ciblée par des publicités pour des accessoires T-Mobile, comme des coques, des écouteurs, des protections d'écran, etc.

Il est clair que les inférences peuvent être simplement construites par corrélation, ce qui ajoute à la complexité de la découverte des données, de la classification et de la stratégie globale de confidentialité.

Plutôt que de refuser la publicité ciblée, qui est le modèle de facto depuis des années, l'arrêt de la CJUE exigera probablement un consentement explicite pour les recommandations personnalisées, compte tenu des implications de ce type de données. Les organisations doivent démontrer qu'un consentement explicite a été demandé, afin que les données comportementales ne soient pas utilisées dans des traitements sensibles sous peine d'amendes insurmontables.

Comment les entreprises peuvent évoluer avec l'article 9

Toutes les industries traitant de grandes quantités de données doivent s'y intéresser. Cet arrêt impose des exigences strictes quant à la base juridique du traitement des données, au consentement explicite et à la collecte d'informations sur l'inventaire des données afin de trouver des données personnelles connexes et corrélées.

Par où commencer ? Avec BigID, les organisations peuvent :

  • Automatiquement trouver, classer et inventaire informations personnelles basées sur la relation, le contexte et les capacités ML
  • Identifier les personnes concernées dont le consentement n'est pas valide, à jour ou cohérent avec la finalité d'utilisation et la politique de confidentialité associée
  • Se conformer aux exigences réglementaires, notamment politiques, classificateurs, et les flux de travail pour l'article 9 du RGPD
  • Identifier et réduire les risques associés au traitement des données en fonction du niveau de risque et de l'activité
  • Créer facilement rapports réglementaires se conformer aux exigences en matière de protection de la vie privée

Il est essentiel que les professionnels de la confidentialité et des risques accordent une attention particulière à cette législation de l'UE et se tiennent au courant des mises à jour de la confidentialité qui peuvent garantir que votre entreprise maintient une programme de confidentialité cohérent et répond aux exigences des nouveaux exigences de conformité. Obtenez un Démonstration 1:1 pour voir BigID en action.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.

Contenu