logo-minted

Transfert de données : la bataille ne fait-elle que commencer ?

Le 19/10/2022
par Charles Duenas (fifty-five)
  • Après des années d’incertitudes entre les Etats-Unis et l’Europe sur l’épineux sujet du transfert des données de données personnelles, l'executive order du président américain Joe Biden a enfin redonné une lueur d’espoir aux entreprises européennes, en attente d’un accord pour encadrer ces transferts espérés pour le printemps ou l’été 2023. 
  • Mais plusieurs voix s’élèvent pour remarquer les faiblesses de ce nouveau Privacy Shield, baptisé Trans-Atlantic Data Privacy Framework (TADPF), ainsi que les risques et délais sur la voie de sa signature.

Confrontées à ce flou juridique qui les dépasse, puisqu’il concerne un pan immense de l’économie utilisant des solutions américaines, les entreprises européennes peuvent se demander si cet accord verra véritablement le jour, pour combien de temps, et enfin quelle est la meilleure approche en termes de stack technique pour gérer les risques juridiques.

Énième revirement ou solution de long terme ?

La récurrence des revirements sur le sujet des transferts de données personnelles a, il est vrai, de quoi faire peur aux directions juridiques, marketing et IT sur l’espérance de vie de la prochaine mouture. Rappel des faits :

  • 2000 : conclusion d’un premier traité, le Safe Harbor

  • 2015 : invalidation du Safe Harbor par la CJUE

  • 2016 : conclusion d’un remplaçant : le Privacy Shield

  • 2018 : entrée en vigueur du RGPD, et dépôt auprès de la CJUE, par l’association NOYB, d’une plainte affirmant l’incompatibilité du Privacy Shield avec le RGPD

  • 2020 : invalidation du Privacy Shield par la CJUE, et dépôt par NOYB de plaintes contre certaines sociétés utilisant des solutions transférant des données aux États-Unis

  • 2022 : plusieurs de ces plaintes jugées comme recevables par des agences de protection des données comme la CNIL

L’expérience fait donc dire qu’il est probable que ce nouvel accord ait une durée de vie limitée, d’autant que certains des arguments sur sa capacité à satisfaire le droit européen, soulevés par NOYB qui a déclaré attaquer l’accord dès sa sortie, sont audibles. Même si le nouveau texte apporte des avancées notables pour la protection des données des citoyens européens, plusieurs changements de fond dans la politique de renseignement américaine et dans l’organisation de son pouvoir judiciaire seraient nécessaires pour aboutir à une solution véritablement pérenne.

Certains vont jusqu’à douter que cet accord verra le jour. Les positions assez tranchées de la CNIL et ses consoeurs autrichienne, danoise et italienne laissent en effet présager de nombreuses objections au sein de l’EDPB (European Data Protection Board, composé des 27 autorités nationales de protection des données des pays membres). Toutefois l’avis de ces autorités indépendantes est uniquement consultatif, et c’est bien la voix des Etats membres qui prévaudra, avec une majorité requise de 55% des Etats et 65% de la population. 

À ce niveau-là, on peut penser que le TADPF recueillera les voix nécessaires. Les enjeux économiques pour l’UE semblent trop importants, allant bien au-delà des solutions d’analytics incriminées début 2022, touchant les outils et budgets publicitaires, mais surtout les solutions de cloud américaines de façon générale. La tentation des clouds souverains, si elle a eu le vent en poupe à l’aune de plusieurs déclarations politiques, semble (malheureusement) encore trop timorée pour s’affirmer comme une alternative crédible à court-terme.

Un accord qui devrait donc bien voir le jour, et pour une durée probablement limitée… Certains observateurs parlent de 5 ans, et si le TADPF fait aussi bien que le Privacy Shield, on pourrait espérer 4 ans entre son entrée en vigueur et les premières conséquences de sa possible invalidation pour les entreprises. Une “éternité” dans le monde du marketing digital, mais pendant laquelle les marketers voudront se mettre à l’abri de nouveaux revirements. Il faut également pouvoir se prémunir des risques de mise en demeure avant l’entrée en vigueur de l’accord, puisque l’EDPB avait précédemment indiqué que l’accord de principe ne valait pas moratoire.

Quelle approche de stack pour gérer le risque juridique dans la durée ?

La question spécifique de l’outil d’analytics, puisque Google Analytics a focalisé l’attention de ce débat juridique intercontinental, accapare aujourd’hui une bonne partie des ressources techniques et du temps de cerveau disponible des DPO et CDO… Notre seule recommandation invariable pour naviguer dans les actualités des derniers mois a été d’exhorter à éviter des choix précipités, et à évaluer précisément les différentes options de l’alternative.

Google Analytics continue d’afficher des capacités solides, notamment par ses synergies actuelles avec les outils média Google - dont on peut imaginer qu’elles resteront importantes dans un monde sans cookies - ou tout simplement par l’existence d’une main d'œuvre qualifiée et abondante pour l’opérer. Pour sécuriser son usage et s’affranchir du transfert de certaines données problématiques soulevées par la CNIL, Google a apporté dans Google Analytics 4 de nouvelles fonctionnalités permettant par exemple de filtrer les adresses IP avant l’envoi de données aux États-Unis. Il convient à chaque entreprise d’analyser si ces mesures sont suffisantes ou non.

L’approche de “proxyfication” formalisée par la CNIL semble par ailleurs une option intéressante. En ajoutant un serveur agissant comme sas intermédiaire entre le navigateur des utilisateurs et les serveurs de Google Analytics, les marketers regagnent le contrôle sur la collecte de données. D’ici l’arrivée du TADPF, cette solution pourrait permettre de supprimer ou encoder plus largement les données problématiques, tout en laissant revenir à une collecte plus complète par la suite. C’est donc bien de la flexibilité qu’apporte ce type d’architecture appelée “server-side”, qui a par ailleurs des bénéfices en termes de résilience de la donnée et pour la vitesse de chargement des pages.

Il faut toutefois analyser les impacts sur les cas d’usage, jusqu’au TADPF, du retrait de Google Analytics des différentes données pointées par la CNIL, comme par exemple le retrait de certaines données média. Pour préserver certains cas d’usage, et plus généralement pour s’acheter de la sérénité d’esprit, certains annonceurs et éditeurs préféreront se tourner vers des solutions alternatives hébergées en UE, comme Piano, Piwik Pro, Matomo ou encore Adobe Analytics. Ces solutions embarquent des capacités de reporting et analyse intéressantes et sont souvent exemptées de consentement; il convient d’évaluer leur adaptation à vos besoins analytics et média, ainsi que leur apport en termes de sécurité juridique. 

Au-delà du choix d'outils analytics, un mouvement plus profond chez certains acteurs avancés est celui de la réappropriation des données first-party sur des architectures cloud propriétaires. En plus d’offrir davantage de maîtrise sur le traitement et l’activation des données, cette voie peut être de nature à rendre moins dépendant des aléas extérieurs.

à lire aussi
Fin des cookies tiers : les revenus Prebid des éditeurs français chutent d’au moins 50% sur Chrome
  • Quel est l’impact de la disparition des cookies tiers de Chrome ?
  • C’est pour répondre à cette question que Pubstack a mesuré l’évolution des revenus d'une soixantaine d'éditeurs et de 10 000 sites pour les 1% de leurs utilisateurs pour lesquels Chrome a retiré les cookies tiers en début d’année. 
Florence Bréban et Nicolas Trannoy (Alliance Digitale) : “La prochaine étape de notre groupe de travail, c’est le sujet de l’incrémentalité de l’e-retail media.”
  • Florence Bréban, cofondatrice de Datagram, et Nicolas Trannoy, directeur marketing et innovation de Lucky Cart, nous dévoilent les contours du référentiel de la mesure e-retail media mis sur pied par l'Alliance Digitale.
  • Ils nous expliquent pourquoi ce référentiel est important, quels ont été les défis à relever au moment de s’y atteler et, surtout, pourquoi ce n’est qu’un début. 
Exclu : Deutsche Telekom investit dans l'adtech Equativ
  • Deutsche Telekom investit dans l'adtech française qui pourra l'aider à optimiser les investissements publicitaires digitaux de certaines de ses filiales et les revenus CTV et segmentées d'autres.
  • Un partenariat qui permet à Equativ d'asseoir un peu plus sa crédibilité face aux géants américains de sa catégorie. 
Romain Rossignol (Doohyoulike) : "Les écrans DOOH vont profiter de la faible qualité de certains inventaires vidéo vendus sur l'Open Web"

  • Minted a rencontré le chief revenue officer du réseau publicitaire DOOH spécialisé dans l’indoor (proximité alimentaire, salles de sports et campus étudiants). 

  • L’occasion de revenir sur notre article évoquant les débuts balbutiants du programmatique DOOH et de tordre le cou à certaines idées reçues concernant un média encore mal connu des acheteurs digitaux. 

GIGO, le nouveau paradigme des agences média ?
  • Comment la démocratisation de l'IA, générative ou pas, impacte le rôle des agences médias. C'est l'objet de cette chronique tenue par Erwan Lohezic, associé chez 3qtz. Moins de valeur ajoutée dans le déploiement des campagnes mais de vraies opportunités dans la gestion de l'amont et de l'aval, assure notre expert. 
ID5 lève 20 millions de dollars pour consolider le déploiement de son ID partagé
  • Le leader mondial de l'identification à des fins de ciblage publicitaire, ID5, vient d'officialiser une levée de 20 millions de dollars auprès de S4S Venture et Transunion. 
  • Deux acteurs qui, au delà de leur argent, apporte également un pouvoir d'évangélisation du marché qui doit permettre à ID5, qui revendique être présent dans 50% des enchères publicitaires digitales, de consolider sa position.
Territoires digitaux par 366 : l’impact carbone de la publicité digitale
  • Une fois par mois, Territoires digitaux par 366 s'intéresse à une thématique structurante du marché de la publicité digitale.
  • On commence cette série par le sujet de l'impact carbone de la publicité digitale.
MTA ou MMM, par quoi passer pour mesurer la performance de vos campagnes ?

  • Qu'est-ce qui différencie le MTA du MMM ? Quand aurez-vous intérêt à un modèle d'attribution multi-touch et quand aurez-vous plutôt intérêt à vous tourner vers le marketing mix modeling ? Minted vous donne les clés pour comprendre ces deux outils de mesure très en vogue.