RGPD : Les premières mesures prises sur nos services de data marketing (interview #2 du DPO de Squadata)
En octobre 2017, j’avais interviewé Eric Phrakhonkham, le Data Protection Officer (DPO) de Squadata. Lire l’article sur la démarche de mise en conformité RGPD.
Depuis, Eric a bien avancé et pris des mesures concrètes pour mettre les services et solutions de data marketing de Squadata en conformité avec le RGPD. L’activité historique de la société, l’email retargeting a été passée au crible. Certains cas d’usages de EasyDMP, la Data Management Plateform de Squadata ont également été audités et validés. Suite de l’interview :
Qu’as-tu mis en place en priorité depuis l’article publié sur le blog en octobre 2017 ?
Eric Phrakonkham : Comme je le disais la dernière fois, le sujet du RGPD est vaste et on voit mal par quel bout l’aborder. Il me semblait essentiel que chaque activité, chaque document, chaque employé trouve sa place et puisse contribuer efficacement au RGPD.
Ma première tâche a été d’organiser une structure documentaire à la fois intuitive et rigoureuse destinée à partager entre équipes techniques et métier les documents de référence utiles, l’avancement du projet de mise en conformité, la documentation de notre SMSI (Gestion de la sécurité).
Je me suis attaché dans un deuxième temps à documenter nos chartes, politiques et mesures de sécurité afin de pouvoir les proposer comme réponse face aux exigences de nos traitements et analyses d’impact sur la vie privée.
Nous sommes inter-dépendants de nos partenaires éditeurs qui collectent des données personnelles. Concernant le consentement utilisateur, leur fournissons-nous des éléments pour faciliter leur mise en conformité ?
EP : La question du consentement est prioritaire afin de pouvoir justifier que les traitements sont licites.
Ceci nécessite une information de l’utilisateur et un recueil de son consentement. Pour ce faire, nous sommes en train de mettre à jour notre politique de confidentialité et notre politique de cookies afin que nos partenaires puissent les référencer. Nous avons aussi une obligation de conseil afin de les accompagner.
Concernant les algorithmes de ciblage probabiliste tels que le Lookalike, que dit la RGPD ? Les données produites par la société sont-elles d’ordre personnel ?
EP : Concernant le profilage à des fins de ciblage où le look-alike serait utilisé, le RGPD dit que la personne concernée doit donner son consentement explicite et a le droit de s’y opposer à tout moment.
Un groupement d’entreprises utilise notre solution EasyDMP pour partager de la donnée utilisateur entre eux. Est-ce que la data second-party est acceptée par RGPD ?
EP : Pour savoir si ces données de partenaires (appelées data 2nd-party) utilisées à des fins d’enrichissement ou profilage sont autorisées, il faut se poser la question de la licéité du traitement et du contrôle par l’utilisateur de l’usage de ses données personnelles.
A-t-il reçu une information sur les finalités des traitements, catégories de destinataires et a-t-il donné son consentement ? A-t-il reçu l’information sur les modalités d’exercice de ses droits ?
Les responsables de traitement pour leur part doivent garantir la sécurisation de ces données et interdire leur usage à des fins autres que celles pour lesquelles elles ont été collectées.
Pourra-t-on encore acheter et utiliser de la data third-party après le 28 mai 2018 ?
EP : Oui, on pourra si les traitements sont licites et si les preuves de consentement sont bien disponibles pour tous les responsables de traitement.
Le vendeur doit pouvoir présenter à l’acheteur de manière régulière et à première demande les preuves de consentement.
Vendeur et acheteur devront chacun présenter des garanties suffisantes en termes de protection des données personnelles et contractualiser leurs obligations respectives.
A PROPOS DU DPO DE SQUADATA :
Eric Phrakhonkham est le Délégué à Protections des Données (DPD) ou Data Protection Officer (DPO) de Squadata depuis Juin 2017. Il exerce également le poste de Chef de Projet et Assurance Qualité en Ad Vérification chez Squadata depuis 2016.
