Valorisation des données : quelles sont les règles à respecter en matière de réconciliation ?

Les nouvelles techniques du Digital Marketing se basent aujourd’hui sur l’analyse et l’enrichissement des données collectées par les annonceurs et leurs partenaires auprès des consommateurs, dans un contexte multicanal, voire d’omnicanal.

A l’heure de la multiplication des canaux de collecte des données, la question de la réglementation en matière de traitement de données est d’une importance capitale pour les annonceurs qu’il est dangereux de négliger. La réconciliation des données issues de différentes sources au sein d’une seule et même plateforme – souvent gérée par un prestataire externe – apporte également son lot de problématiques réglementaires, engendrant un véritable casse-tête juridique pour l’annonceur et ses partenaires.

Pour s’assurer que les méthodes utilisées respectent bien la législation en vigueur, les annonceurs, qui sont les propriétaires des données collectées, doivent dans un premier temps vérifier la conformité de la collecte et du traitement de chaque source individuelle de données avec la loi communément appelée « Informatique & Libertés », indiquant que « les données sont collectées et traitées de manière loyale et licite pour des finalités déterminées, explicites et légitimes » (Loi N° 78-17 du 6 janvier 1978 relatives à l’informatique, aux fichiers et aux libertés, Art.6). 

Dans le cadre des données issues des bases CRM, l’obligation consiste à communiquer sur les informations collectées (Art.32), ainsi qu’à respecter les règles édictées par la CNIL. Les données ainsi collectées peuvent donc être traitées sans risque juridique, que ce soit par l’annonceur ou son partenaire. En ce qui concerne les données relatives aux cookies (données issues des campagnes média, de navigation sur le site de l’annonceur, etc.), les annonceurs doivent préalablement obtenir l’accord de l’internaute avant de pouvoir utiliser les données collectées, notamment si elles sont à caractère « personnel » (Texte introduit par l’Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, Art.32 II).

L’accord préalable de l’internaute est donc requis, mais l’usage veut que de simples bannières sur un site web, annonçant la collecte et l’utilisation des données (y compris personnelles), suffisent à remplir l’obligation d’informer tandis que la poursuite de la navigation de l’internaute sur ce même site web sera considérée comme un accord tacite de sa part.

C’est la raison pour laquelle les bannières et pop-up d’informations relatifs à la collecte des cookies fleurissent sur le web. Il incombe néanmoins à l’annonceur de s’organiser avec les différents intervenants (sites éditeurs, régies publicitaires, diffuseurs, etc.) pour déterminer lequel est chargé de fournir l’information et sous quel format. Dans ce cadre, la CNIL recommande l’insertion d’un lien sur chaque message publicitaire, renvoyant vers un message d’information complet à l’attention de l’internaute. Ces recommandations ne sont toutefois pas toujours suivies à la lettre, alors que l’annonceur reste responsable de la collecte des cookies sur son site, y compris via ses partenaires.

La réconciliation des données est définie par la CNIL comme une « interconnexion de bases de données », également soumise à la loi informatique & libertés (Loi n° 78-17 du 6 janvier 1978, Art. 2), indiquant que « l’existence et les modalités de ces mises en relation doivent être portées à la connaissance des personnes concernées » (Ordonnance n° 2011-1012, Art.32). Si l’on considère que la réglementation relative à la collecte et au traitement des informations est bien respectée dans chacune des bases de données interconnectées, la réconciliation de ces données entre elles est tout à fait légale. La loi oblige cependant l’annonceur à anticiper cette utilisation combinée des données (Ordonnance n° 2011-1012, Art.32 et 32 II) ; en effet, les informations relatives au traitement de chacune des sources de données fournies à l’utilisateur en amont doivent mentionner la future interconnexion pour être parfaitement conformes.

En outre, dans le cas où les finalités des traitements de données viendraient à différer, la possibilité d’interconnecter ces données est sujette à autorisation de la CNIL. Ces autorisations sont toutefois faciles à obtenir si la finalité se justifie dans le cadre de campagnes marketing. 

La réglementation en matière de réconciliation de données est donc relativement simple tant que les principes fondamentaux de la loi informatique & libertés et la conformité avec l’ensemble des règles applicables au regard de la CNIL sont respectées au préalable. L’annonceur est ainsi en mesure d’utiliser les données collectées comme bon lui semble, y compris par le biais d’un prestataire externe, lequel interviendra comme sous-traitant au regard de la loi informatique & libertés, son intervention étant sans incidence juridique au regard de ce texte.