RGPD : ce que cela signifie pour le marketing d'affiliation en APAC

Publié: 2022-07-06

Le RGPD est un sujet brûlant depuis un certain temps et maintenant il est enfin sur nous. Mais que signifient les réglementations pour ceux d'entre nous qui ne font pas partie de l'UE ?

markus-spiske-357131-unsplash

Nous avons tous entendu parler du RGPD à ce jour et si ce n'est pas le cas, c'est la raison pour laquelle vous avez reçu tant d'e-mails concernant les mises à jour de la politique de confidentialité - dont la plupart en soi ont été inutiles, voire illégales. Mais dans le but de rester conformes, les entreprises vont au-delà des attentes pour s'assurer qu'elles ne s'attirent pas d'ennuis.

Bien que le GDPR se concentre sur les citoyens de l'UE, il peut avoir des implications considérables pour les détaillants, les affiliés et les réseaux australiens. Si vous faites des affaires dans l'UE ou si votre entreprise traite des informations personnelles d'individus dans l'UE, vous devez vous assurer que votre entreprise se conforme aux nouvelles réglementations.

Qu'est-ce que le RGPD ?

Le règlement général de l'Union européenne sur la protection des données (RGPD) contient de nouvelles exigences en matière de protection des données qui entreront en vigueur le 25 mai 2018 et impose des obligations strictes aux entreprises en matière de gouvernance, de consentement, de profilage et de portabilité des données.

Le GDPR comprend des exigences qui ressemblent à celles de l'Australian Privacy Act 1988 , ainsi que des mesures supplémentaires qui visent également à favoriser des pratiques de traitement des informations transparentes et la responsabilité des entreprises concernant le traitement des données. L'introduction de lois claires et uniformes sur la protection des données vise à renforcer la sécurité juridique des entreprises et à renforcer la confiance des consommateurs dans les services en ligne.

Le GDPR est conçu pour responsabiliser les consommateurs de l'UE et leurs droits sur la manière dont leurs données peuvent être utilisées. Pour les industries numériques telles que la nôtre et celle des détaillants en ligne, cela revêt une importance accrue car la définition de ce qui est considéré comme des données personnelles a été élargie pour inclure tout ce qui peut identifier un individu mais n'est pas nécessairement ouvertement personnellement identifiable. Ainsi, bien qu'une adresse e-mail soit évidemment une donnée personnelle, le champ d'application comprend également des identifiants pseudonymes tels qu'une adresse IP ou un identifiant de commande.

Pour traiter ces données, les entreprises devront choisir une base légale, au nombre de six.

  1. Consentement
  2. Contracter
  3. Obligation légale
  4. Intérêt vital
  5. Tâche publique
  6. Intérêt légitime

Pour certaines entreprises, cela sera évident, mais pour de nombreuses entreprises de marketing numérique, elles devront généralement choisir entre le "consentement" ou "l'intérêt légitime" .

Commission Factory utilise l'intérêt légitime comme base légale pour le traitement des données.

Le RGPD affecte-t-il mon entreprise ?

Certaines entreprises australiennes couvertes par l' Australian Privacy Act 1988 (Cth) (le Privacy Act) (appelées entités APP) peuvent devoir se conformer au RGPD si elles :

  • avoir un établissement dans l'UE (qu'ils traitent ou non des données à caractère personnel dans l'UE), ou
  • n'ont pas d'établissement dans l'UE, mais proposent des biens et des services ou surveillent le comportement des particuliers dans l'UE.

Le RGPD s'applique aux activités de traitement de données des entreprises, quelle que soit leur taille, qui sont des sous-traitants ou des responsables du traitement ayant un établissement dans l'UE. De manière générale, un responsable du traitement indique comment et pourquoi les données personnelles sont traitées et un sous-traitant agit au nom du responsable du traitement.

Lorsqu'une entreprise a un « établissement » dans l'UE, les activités de l'entreprise qui impliquent le traitement de données à caractère personnel devront être conformes au RGPD, que les données soient ou non effectivement traitées dans l'UE.

Le RGPD s'applique également aux activités de traitement de données des sous-traitants et responsables du traitement en dehors de l'UE, quelle que soit leur taille, lorsque les activités de traitement sont liées à :

  • offrir des biens ou des services à des particuliers dans l'UE (qu'un paiement soit exigé ou non)
  • surveiller le comportement des individus dans l'UE, lorsque ce comportement a lieu dans l'UE

Les entreprises australiennes susceptibles d'être couvertes par le RGPD incluent :

  • une entreprise australienne avec un bureau dans l'UE
  • une entreprise australienne dont le site Web cible les clients de l'UE, par exemple en leur permettant de commander des biens ou des services dans une langue européenne (autre que l'anglais) ou en permettant le paiement en euros
  • une entreprise australienne dont le site Web mentionne des clients ou des utilisateurs dans l'UE
  • une entreprise australienne qui suit les individus dans l'UE sur Internet et utilise des techniques de traitement de données pour profiler les individus afin d'analyser et de prédire les préférences, les comportements et les attitudes personnels.

Tableau de comparaison

RGPD UE Loi australienne sur la protection de la vie privée
À qui cela s'applique-t-il ? Activités de traitement des données des entreprises, quelle que soit leur taille, qui sont des sous-traitants ou des responsables du traitement La plupart des agences gouvernementales australiennes, toutes les organisations du secteur privé et à but non lucratif avec un chiffre d'affaires annuel de plus de 3 millions de dollars, tous les prestataires de services de santé privés et certaines petites entreprises.
A quoi s'applique-t-il ? Données personnelles – toute information relative à une personne physique identifiée ou identifiable : Art 4(1) Informations personnelles (IP) - informations ou une opinion sur une personne identifiée ou une personne raisonnablement identifiable : s 6(1)
Lien juridictionnel S'applique aux processeurs de données ou aux contrôleurs :
  • avec un établissement dans l'UE, ou
  • en dehors de l'UE, qui offrent des biens ou des services à des particuliers dans l'UE ou surveillent le comportement de particuliers dans l'UE : Art 3
 S'applique aux entreprises :
  • constituée en Australie, ou
  • qui "exploitent une entreprise" en Australie et perçoivent des PI d'Australie ou détiennent des PI en Australie : s 5B
Responsabilité et gouvernance Les contrôleurs doivent généralement :
  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour démontrer la conformité au RGPD et intégrer la confidentialité par défaut et par conception : Arts 5, 24, 25
  • entreprendre des analyses d'impact obligatoires sur la protection des données : Art 35
  • nommer des délégués à la protection des données : Art 37
 Les entités APP doivent prendre des mesures raisonnables pour mettre en œuvre des pratiques, des procédures et des systèmes pour assurer la conformité avec les APP et pour permettre les plaintes : APP 1.2

Les entreprises sont censées nommer des rôles et des responsabilités clés pour la gestion de la confidentialité et mener des évaluations d'impact sur la vie privée pour de nombreux projets nouveaux et mis à jour
Consentement Le consentement doit être :
  • librement donné, spécifique et informé, et
  • une indication non ambiguë de la volonté de la personne concernée qui, par une déclaration ou par une action affirmative claire, vaut accord au traitement : Art 4(11)
 Éléments clé:
  • la personne est suffisamment informée avant de donner son consentement et a la capacité de comprendre et de communiquer son consentement
  • le consentement est donné volontairement
  • le consentement est à jour et spécifique : APP GL de l'OAIC
Notifications de violation de données DBN obligatoires par les responsables du traitement et les sous-traitants (des exceptions s'appliquent) : Arts 33-34 A partir du 22 février 2018, déclaration obligatoire des infractions susceptibles d'entraîner un risque réel de préjudice grave
Droits individuels Les droits individuels comprennent :
  • droit à l'effacement : Art 17
  • droit à la portabilité des données : Art 20
  • droit d'opposition : Art 21
 Aucun équivalent à ces droits.
Cependant, l'entreprise doit prendre des mesures raisonnables pour détruire ou anonymiser les PI qui ne sont plus nécessaires à une fin autorisée : APP 11.2. Lorsque l'accès est donné aux PI d'un individu, il doit généralement être donné de la manière demandée : APP 12.5
Transferts à l'étranger Les données personnelles peuvent être transférées en dehors de l'UE dans des circonstances limitées, notamment :
  • aux pays qui assurent un niveau « adéquat » de protection des données
  • où s'appliquent des "clauses standard de protection des données" ou des "règles d'entreprise contraignantes"
  • codes de conduite approuvés ou certification en place : Chp V
 Avant de divulguer des PI à l'étranger, une entreprise doit prendre des mesures raisonnables pour s'assurer que le destinataire n'enfreint pas les APP en ce qui concerne les informations : APP 8 (des exceptions s'appliquent). L'entité est responsable d'une violation des APP par le destinataire étranger en relation avec les informations : s 16C (des exceptions s'appliquent)
Les sanctions Amendes administratives jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu) : Art 83 Pouvoirs de travailler avec des entités pour faciliter la conformité et les meilleures pratiques, et pouvoirs d'enquête et d'exécution : parties IV et V

Comment cela affectera-t-il l'industrie de l'affiliation ?

Nous ne prévoyons pas que cette mise à jour du RGPD affectera négativement les spécialistes du marketing affiliés ou les détaillants en ligne et constitue en grande partie une initiative visant à formuler et à réglementer des lois sur la protection des données qui existent déjà depuis plusieurs années.

Pour Commission Factory et nos affiliés, la nature des données personnelles traitées est non sensible et largement technique et contrairement à d'autres canaux qui utilisent des données personnelles pour créer des profils et des comportements de consommateurs à cibler via des publicités.

En déclarant notre base juridique de collecte de données comme "Intérêt légitime" , nous essayons de minimiser les charges de conformité pour nos éditeurs et nous n'avons pas besoin de demander aux éditeurs d'obtenir un consentement de données pour nous.

Pour les affiliés qui n'opèrent pas, ne commercialisent pas ou ne collectent pas d'informations dans l'UE ou ses résidents, il n'est pas possible d'exiger le consentement. Les résidents de l'UE accédant à un site Web en dehors de l'UE ne sont pas sous votre contrôle. Le simple fait de pouvoir accéder à votre site depuis l'UE ne suffit pas pour établir qu'il fait des affaires dans l'UE et le niveau d'engagement est un facteur.

Assurez-vous d'avoir des coordonnées où les personnes peuvent vous contacter pour des questions liées à la confidentialité. Les contrôleurs et les sous-traitants doivent, dans certaines circonstances, nommer un délégué à la protection des données pour surveiller et conseiller sur la conformité au RGPD et aux politiques et procédures internes de confidentialité. Il a été décrit comme un rôle de « champion de la confidentialité » qui inclut le rôle d'un conseiller commercial sur l'utilisation responsable et innovante des données personnelles. C'était déjà une exigence en vertu des lois australiennes sur la protection de la vie privée et devrait être mise en œuvre malgré tout.

Commission Factory est-il un contrôleur ou un sous-traitant ?

Commission Factory tout comme notre partenaire Awin et après conseil juridique nous avons choisi comme co-responsable du traitement des données avec les Annonceurs et les Editeurs. Cela ne veut pas dire que cette position est la même avec tous les réseaux d'affiliation car certains ont opté pour la position de sous-traitant et chaque entreprise qui traite des données doit décider quel rôle elle joue dans le traitement de ces données.

Commission Factory est un contrôleur car nous avons décidé du modèle économique et décidons conjointement avec nos affiliés des données à traiter pour livrer la campagne de marketing d'affiliation de l'annonceur.

L'itinéraire que vous empruntez peut être déterminé en demandant "Comment" et "Pourquoi" . Si vous, en tant qu'entreprise de marketing numérique, décidez "Pourquoi les données doivent être traitées" et "Comment elles doivent être traitées pour atteindre l'objectif visé" , ou potentiellement les deux, alors vous tombez sous la définition d'un "Contrôleur".

Un sous-traitant ne détermine pas le comment et le pourquoi et peut prendre des décisions limitées sur la manière de traiter les données aux fins déterminées par le responsable du traitement.

Dans le modèle de marketing d'affiliation, l'annonceur tombera toujours sous le statut de contrôleur. En effet, ils sont les seuls à pouvoir décider « pourquoi » traiter les données et prendre des décisions telles que « Participons au marketing d'affiliation et payons les ventes parrainées en échange d'une commission » .

La raison de ne pas choisir l'itinéraire d'un processeur découle des impossibilités pratiques qui y sont associées. Par exemple, si Commission Factory ou nos affiliés essayaient de travailler dans les limites d'un rôle de processeur de données, nous aurions besoin d'obtenir à chaque fois l'approbation préalable de tout nouveau traitement de données par chaque annonceur respectif. Nous aurions également besoin d'instructions écrites de la part des annonceurs chaque fois qu'ils souhaitent utiliser des correctifs de bogues, des mises à jour, des mises à niveau ou des fonctionnalités supplémentaires de nos produits ou services. Ce serait fastidieux.

Étant donné que Commission Factory est un réseau d'affiliation pureplay, nous utilisons des données personnelles limitées pour suivre les références aux sites Web des annonceurs, les transactions qui en découlent et nos rapports, mais nous ne réutilisons jamais ces données pour créer des profils d'utilisateurs comportementaux ou à d'autres fins de marketing. Nous ne collectons pas non plus d'autres données pour :

  1. Construire des profils d'utilisateurs comportementaux
  2. Reciblage comportemental
  3. Commercialisation à toute autre fin

En évitant ce type de traitement, nous pouvons compter sur un intérêt légitime pour justifier le traitement et éviter les exigences de consentement des données des éditeurs ou des annonceurs pour suivre légalement les transactions.

Et maintenant?

Bien que le RGPD soit principalement une directive de l'UE et une loi sur la protection des données, il est toujours prudent de s'assurer que vous êtes couvert et de demander conseil sur vos obligations.

Compte tenu de certaines similitudes avec la loi sur la protection des renseignements personnels et le RGPD, les entreprises australiennes peuvent déjà avoir mis en place certaines des mesures requises par le RGPD. Malgré cela, il est essentiel de vous assurer d'évaluer toutes vos pratiques et structures de gouvernance à la lumière de la réglementation GDPR et de demander des conseils juridiques si nécessaire pour assurer une stricte conformité.

De notre point de vue en tant que réseau, nous déploierons des outils de consentement facultatifs et ajouterons le consentement des cookies à tous nos sites Web pour la brièveté des données, mais les éditeurs sont libres d'obtenir le consentement de la manière qu'ils jugent appropriée.

Certains modèles de rémunération des affiliés, tels que les éditeurs de cashback et de récompenses, peuvent ne pas nécessiter de consentement aux cookies pour les cookies d'affiliation, car les cookies d'affiliation sont nécessaires au fonctionnement d'un type de service basé sur le cashback ou les récompenses.