Marketing interentreprises : une question de survie pour la PME québécoise
Conférence Confidentialité des données
1. CONFIDENTIALITÉ DES DONNÉES : COMMENT
VOUS ASSURER DE LA LÉGALITÉ DE VOS ACTIONS
MARKETING ?
mercredi 28 janvier 2015
2. L’AVOCAT & LE GESTIONNAIRE DE PRODUIT
SURVOL DE LA PRÉSENTATION
2
VIE
PRIVÉE
& LE
MARKETING
PUSH
PULL
INTRO
CADRE
DE GESTION
VIDÉO
CONCEPT
1
2
3
FUTUR
4
8:30 – 10:30
• LE 101 DE LA VIE PRIVÉE
• LE CADRE MARKETING & LÉGAL
• LES MEILLEURES PRATIQUES
10:30 – 10:45
• PAUSE
10:45 – 12:00
• LE CADRE DE GESTION
• LES CHANTIERS FUTURS
6. ABONDANCE DE SOURCES ET DE BUZZ WORDS
LES NOUVELLES & LA VIE PRIVÉE
1
Fingerprinting
https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html
FINGERPRINTING
COOKIES
CASL – LCAP
LOI C28
ADCHOICES
DATA IS BIG
APPLE
FACEBOOK
GOOGLE
6
CHOIX DE PUB
DATA BROKERS
FRIGIDAIRES & MONTRES INTELLIGENTES
EDWARD SNOWDEN
DNT
DO-NOT-TRACK
7. ABONDANCE DE SOURCES ET DE BUZZ WORDS
1
LES NOUVELLES & LA VIE PRIVÉE
http://www.theglobeandmail.com/report-on-business/industry-
news/marketing/watchdog-to-study-privacy-compliance-among-
canadian-advertisers/article22445491/
8. Au Canada ?
LES COOKIES
2
https://www.priv.gc.ca/information/guide/2011/gl_ba_1112_e.asp
Privacy and Online Behavioural Advertising
9. « DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**
LA VIE PRIVÉE DU POINT DE VUE MARKETING
1
PUSH
PULL
DÉFINITIONS & PRATIQUES
L a s t r a t é g i e “ P u l l ”
c o n s i s t e à a t t i r e r u n
c o n s o m m a t e u r
s p é c i fi q u e v e r s u n
p r o d u i t o u u n
s e r v i c e .
JE CONNAIS LE
CONSOMMATEUR
JE CONNAIS
L’INTENTION D’UN
CONSOMMATEUR
L a s t r a t é g i e " P u s h "
v i s e à p o u s s e r l e
p r o d u i t v e r s l e
c o n s o m m a t e u r
• STRATÉGIE COURRIEL,
INFOLETTRE
• ENVIRONNEMENTS
PERSONNALISÉS (WEB,
MOBILE)
• NOTIFICATION (PUSH)
• MARKETING COMPORTEMENTAL
(BEHAVIOURAL MARKETING)
• (RETARGETING) RECIBLAGE
• PUBLICITÉ CIBLÉE
• UTILISATION DES COOKIES
(TÉMOINS)
**http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
9
10. « DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**
LA VIE PRIVÉE DU POINT DE VUE MARKETING
1
PUSH
PULL
CADRE DE LA VIE PRIVÉE
LE PROGRAMME CANADIEN
D’AUTORÉGLEMENTATION
POUR LA PUBLICITÉ
COMPORTEMENTALE EN
LIGNE
LA LOI CANADIENNE
ANTI-POURRIEL
**http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
CHOIX DE PUB
10
11. CADRE JURIDIQUE CONCERNANT LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
• La Loi sur la protection des renseignements personnels et
les documents électroniques (LPRPDE) – (Fédéral ++)
• La Loi sur la protection des renseignements personnels
dans le secteur privé (Québec)
• Personal Information Protection Act (Alberta)
• Personal Information Protection Act (Colombie-
Britannique)
* * *
• La Loi canadienne anti-pourriel (LCAP)
1
11
12. Voici quelques principes clés:
1.
DÉTERMINATION DES FINS DE LA COLLECTE DE
RENSEIGNEMENTS
o Les fins auxquelles des renseignements personnels sont recueillis
doivent être déterminées par l’organisation avant la collecte ou au
moment de celle-ci.
2.
CONSENTEMENT
o Toute personne doit être informée de toute collecte, utilisation ou
communication de renseignements personnels qui la concernent et
y consentir, sauf exception prévue par la loi
3.
LIMITATION DE LA COLLECTE
o L’organisation ne peut recueillir que les renseignements personnels
nécessaires aux fins déterminées et doit procéder de façon honnête
et licite.
CADRE JURIDIQUE – 10 PRINCIPES
1
12
13. • Quand vous songez aux « Mégadonnées » (Big Data), qui commence à
voir un problème?!
• Et … les témoins (Cookies)?
• On va y revenir…
4.
LIMITATION DE L’UTILISATION, DE LA
COMMUNICATION ET DE LA CONSERVATION
o Les renseignements personnels ne doivent pas être utilisés ou
communiqués à des fins autres que celles auxquelles ils ont été
recueillis à moins que la personne concernée y consente ou que
la loi ne l’exige. On ne doit conserver les renseignements
personnels qu’aussi longtemps que nécessaire pour la réalisation
des fins déterminées.
5. TRANSPARENCE
o Une organisation doit faire en sorte que des renseignements
précis sur ses politiques et ses pratiques concernant la gestion
des renseignements personnels soient facilement accessibles à
toute personne
CADRE JURIDIQUE – 10 PRINCIPES
1
13
14. UE.
USA
CANADA
« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**
LA VIE PRIVÉE DU POINT DE VUE MARKETING
1
PUSH
PULL
LES JOUEURS
EN PLACE
1. http://youradchoices.ca/fr/
2. http://
www.youronlinechoices.com/uk/
your-ad-choices
3. http://www.iabeurope.eu/policy/
oba-and-self-regulation
4. http://www.crtc.gc.ca/fra/lcap-
casl.htm
5. http://www.w3.org/TR/tracking-
dnt/
6. http://www.edaa.eu
7. http://www.youradchoices.com
UE.
USA
CANADA
DNT
Protection of personal data
Privacy Act
14
15. **http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**
LA VIE PRIVÉE DU POINT DE VUE MARKETING – VUE GLOBALE
1
l’Alliance de la publicité numérique du Canada (DAAC)
La stratégie “Pull” consiste à attirer un
consommateur
spécifique vers un produit ou un service.
La stratégie " Push " vise
à pousser le produit vers le
consommateur
JE CONNAIS L’INTENTION D’UN
CONSOMMATEUR
JE CONNAIS LE
CONSOMMATEUR
PUSH
PULL
PUBLICITÉ
COMPORTEMENTALE
RECIBLAGE
PUBLICITÉ
CIBLÉE
TÉMOINS
(COOKIES)
STRATÉGIE
COURRIEL & SMS
ENVIRONNEMENTS
PERSONNALISÉS
NOTIFICATION
CENTRE
DE PRÉFÉRENCES
CHOIX DE PUB (AD.CHOICES)
LCAP (CASL)
MARKETING
Pratique
Plateformes
Processus
15
16. CAS D’ÉTUDE : LES MÉDIAS SOCIAUX
• La décision « Facebook »
• La décision « Google Buzz »
VUE GLOBALE
1
16
17. CHOIX DE PUB (AD CHOICE)
PUSH MARKETING
2014
COOKIES & DMP – JE CONNAIS VOTRE INTENTION !
22. HISTOIRE
LES COOKIES
2
• http://en.wikipedia.org/wiki/HTTP_cookie
• http://www.nczonline.net/blog/2009/05/05/http-cookies-explained/
• http://fr.wikipedia.org/wiki/Lou_Montulli
• http://www.opentracker.net/article/third-party-cookies-vs-first-party-cookies
• http://www.jsmadeeasy.com/javascripts/Cookies/Number%20Of%20Visits/index.htm
Un cookie (ou témoin de connexion, abrégé en témoin au Québec) est l'équivalent
d'un petit fichier texte stocké sur l'ordinateur de l'internaute. Existants depuis plus de
20 ans, ils permettent aux développeurs de sites Internet de conserver des données
utilisateur afin de faciliter leur navigation et de permettre certaines fonctionnalités.
Lou Montulli (né en 1971) est un informaticien américain.
• Il est le créateur du navigateur Lynx,
• l'inventeur de la balise blink,
• et de l'utilisation des cookies au niveau des navigateurs.
Il a écrit la spécification pour le premier browser à utiliser ce
concept. Il avait appelé à l'origine cette technique « persistent
client state object », mais le nom est devenu « magic cookie »
puis simplement «cookie ».
L’objectif crée une mémoire pour le browser -
http://curl.haxx.se/rfc/cookie_spec.html
22
23. SITE WEB
LA NOTION DE COOKIES TIERS (3rd) VS. VOTRE COOKIES (1st)
LES COOKIES
2
23
VOTRE COOKIE :
• 1st Party Cookie
• Cookie rattaché à votre nom de domaine
• Utiliser pour supporter votre expérience
usager
COOKIE TIERS :
• 3rd Party Cookie
• Cookie rattaché à des partenaires qui vous
supporte dans un service particulier :
• Publicité.
• Analytiques
• Optimisation
3rd
1st
24. 1st Party vs 3rd Party – Chez moi ou chez le partenaire
LES COOKIES
2
http://blog.isocket.com/2013/09/the-difference-between-first-and-third-party-data/
http://www.aboutads.info/resource/download/OBA%20Self-Reg%20Implementation%20Guide%20-%20First%20Party%20Responsibilities.pdf
http://www.aboutads.info/resource/download/OBA%20Self-Reg%20Implementation%20Guide%20-%20Third%20Party%20Responsibilities.pdf
http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
24
25. 1st Party vs 3rd Party – Chez moi ou chez le partenaire
LES COOKIES
2
http://blog.isocket.com/2013/09/the-difference-between-first-and-third-party-data/
http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
25
37. VOTRE EMPLACEMENT (LOCALISATION) AGIT COMME COOKIE
MOBILE2
https://www.youtube.com/watch?v=XqG1EoKXBk0&list=PLj1MyDu3jckoGogq9dv-WzHjM8yP66pem
37
38. • La décision Apple
• La décision PositiveSingles.ca
• Le cadre juridique européen concernant les
témoins / « cookies » (consentement exprès)
VOTRE EMPLACEMENT (LOCATION) AGIT COMME COOKIE
MOBILE
2
38
42. • La loi canadienne anti-pourriel, ou « LCAP », est entrée en
vigueur le 1er juillet 2014
• C’est la loi anti-pourriel la plus rigoureuse du monde
• Les infractions peuvent entraîner des amendes allant
jusqu’à
10 millions $
LOI CANADIENNE ANTI-POURRIEL
42
CASL - LCAP
2
43. • Les dispositions anti-pourriels s’appliquent à tout message
lorsqu’un système informatique situé « au Canada est utilisé
pour envoyer ou récupérer le message électronique » (art. 12(1))
• L’exception anti-pourriel Règlement IC 3(f): «si la personne qui
l'envoie, le fait envoyer ou en permet l'envoi a des motifs
raisonnables de croire qu'il sera récupéré situé dans un État
étranger mentionné à l'annexe et qu'il sera conforme à une loi
de cet État régissant les comportements essentiellement
similaires à ceux interdits par l'article 6 de la Loi »
43
43
CASL - LCAP
PORTÉE TERRITORIALE
2
44. • Adresses IP et réseaux sociaux ?
• REIR:
– « Des intervenants ont également soulevé la
préoccupation selon laquelle certains ont compris que
les adresses électroniques dans la LCAP comprenaient
les adresses de protocole Internet (IP). Pour autant
que les adresses IP ne soient pas liées à une personne
ou à un compte identifiable, les adresses IP ne sont
pas des adresses électroniques aux fins de la LCAP.
Par conséquent, les bannières publicitaires sur les
sites Web ne relèvent pas de la LCAP. »
44
44
CASL - LCAP
QUELS SYSTÈMES DE MESSAGERIE SONT VISÉS ?
3
45. QUELS SYSTÈMES DE MESSAGERIE SONT VISÉS?
Exemptions pour :
• Systèmes de messagerie fermés : Règlement IC art. 3(d) « envoyé
et reçu par l'entremise d'un service de messagerie électronique,
si les renseignements et le mécanisme d'exclusion requis en
application du paragraphe 6(2) de la Loi sont publiés de façon à
être visibles et facilement accessibles sur l'interface utilisateur au
moyen de laquelle le message sera récupéré et que la personne à
qui le message est envoyé a consenti expressément ou
tacitement à le recevoir »
• Portails de commerce électronique : Règlement IC art. 3(e) «
envoyé à un compte sécuritaire et confidentiel à accès restreint,
auquel les messages ne peuvent être envoyés que par la
personne qui a fourni le compte à la personne qui reçoit le
message »
45
CASL - LCAP
2
46. QUELS SONT LES PRINCIPES DE BASE ?
• La LCAP énonce une interdiction générale de
transmettre un message électronique commercial
( MEC ) à une adresse électronique, sauf si :
1. Le destinataire consent à le recevoir; et
2. Le message comporte certains renseignements
réglementaires qui identifient l’expéditeur; et
3. Le message comporte un mécanisme d’exclusion
• Il y a bien entendu des exemptions dont nous
parlerons bientôt
46
CASL - LCAP
2
47. QU’EST-CE QU’UN MEC ?
Trois critères sont nécessaires pour constituer un
MEC :
1.
Message électronique (un message envoyé par
courriel, texto, messagerie instantanée, etc.)
….. envoyé à une ……
2. Adresse électronique (une adresse courriel ou un
texto, mais pas une adresse IP d’un site web ou d’une
page Facebook)
….. et qui est ……
3. Commercial (tout ce qui « a pour but … d’encourager
la participation à une activité commerciale »,
notamment qui comporte une offre d’achat, de vente,
de troc ou de louage d’un produit, bien, service, offre
une possibilité d’affaires, d’investissement ou de jeu,
annonce ou fait la promotion de ces activités)
CASL - LCAP
2
48. EXCLUSIONS – CERTAINS MECS PEUVENT ÊTRE ENVOYÉS SANS CONSENTEMENT
• Entre des personnes qui ont des liens personnels ou familiaux
• Messages envoyés à une personne qui exerce des activités commerciales
et qui constituent uniquement une demande — notamment une demande
de renseignements — portant sur ces activités
• En réponse à une demande, à une demande de renseignements ou à une
plainte, ou autre sollicitation du correspondant
• En réponse à des questions juridiques, notamment pour informer que
nous allons faire prévaloir un de nos droits
• Message envoyé par des employés ou représentants de ABC Inc à des
employés ou représentants de ABC Inc. qui concerne les activités de ABC
Inc. (intra-entreprise)
• Par un employé de ABC Inc à un employé ou représentant d’une autre
entreprise, si ces entreprises ont une relation et si le message concerne
les activités de l’entreprise destinataire (« B2B »)
48
CASL - LCAP
2
49. NOTE AU SUJET DES RECOMMANDATIONS:
• Vous n’avez pas besoin d’obtenir le consentement à l’envoi
du premier MEC que vous envoyez à une personne si cette
personne vous a été recommandée par une personne qui a
une relation commerciale ou un lien familial avec cette
personne
• Exemple :
Votre ami Jim vous dit qu’il a un client, Tom, qui cherche
des nouveaux téléphones XYZ. Vous n’avez pas besoin du
consentement de Tom pour lui envoyer un courriel en ces
termes : « Bonjour Tom, je m’appelle Bob. Je suis un ami
de Jim. Je vous écris parce que Jim m’a dit que vous
cherchiez des nouveaux téléphones XYZ et que je devrais
vous appeler ».
49
CASL - LCAP
2
50. CONSENTEMENT TACITE
Si vous avez le consentement tacite, vous pouvez envoyer un
MEC
Le consentement est tacite lorsque :
– Vous avez des relations d’affaires en cours – c.-à-d. qu’au cours
des deux ans précédant la date d’envoi du MEC, le destinataire a
eu une relation d’affaires avec l’expéditeur (achat ou louage de
produit, de service, les parties avaient un contrat écrit, etc.), ou
encore, l’expéditeur a reçu une demande de renseignements
relative aux affaires de la part du destinataire au cours des six
mois précédant la date d’envoi du message;
– Le destinataire a publié bien en vue son adresse électronique
(cartes d’affaires, sites web de sa compagnie, publications de
l’industrie, etc.);
– Le destinataire a communiqué son adresse électronique à
l’expéditeur (lui a fourni sa carte d’affaires) si le message a un
lien avec l’exercice des attributions de la personne;
50
CASL - LCAP
2
51. CONSENTEMENT EXPRÈS
• Le consentement exprès est obligatoire, sauf si la loi
prévoit une situation de consentement tacite ou si le MEC
fait l’objet d’une exemption
• La preuve du consentement incombe à l’expéditeur
• Si nous demandons effectivement le consentement exprès
d’un destinataire, nous devons indiquer le but pour lequel
nous sollicitons son consentement (« Nous avons besoin de
votre consentement pour vous envoyer ces courriels
publicitaires »)
51
CASL - LCAP
2
53. Et qu’en est-il des renseignements réglementaires? et des
mécanismes d’exclusion ?
• Il faut préparer une note de bas de page standard qui
figurera sur tous les courriels et comprendra les
renseignements réglementaires identifiant la personne qui
sollicite le consentement (identification, coordonnées)
• On doit inclure un mécanisme d’exclusion sans frais. On
doit offrir deux méthodes pouvant «s’exécuter facilement»
• Si un destinataire ne souhaite pas recevoir vos courriels, il
faut y donner suite dans les 10 jours suivant sa demande.
53
2
56. DÉFENSE PAR DILIGENCE RAISONNABLE
• Une personne ne peut être reconnue coupable
d’une infraction si elle peut prouver qu’elle a fait
l’exercice d’une diligence raisonnable pour
prévenir de commettre l’infraction
• Former une équipe
• Se renseigner au sujet de la loi
• Effectuer l’évaluation des écarts
• Effectuer une analyse des risques
• Développer un plan d’action
• Modifier ses pratiques et procédures
• Élaborer et mettre en œuvre son plan d’action
• Documentation
56
CASL - LCAP
2
58. CASL - LCAP
QUESTIONS INTERACTIVES
3
Quelles sont les pénalités imposées pour violation en vertu de la LCAP?
http://www.crtc.gc.ca/fra/com500/faq500.htm
1. Pour un particulier, 1 million de dollars et pour une entreprise, 10 millions de
dollars;
2. Pour un particulier, 2 millions de dollars et pour une entreprise,
20 millions de dollars;
3. Pour un particulier, 500 000 de dollars et pour une entreprise, 1 million de
dollars;
58
60. CASL - LCAP
QUESTIONS INTERACTIVES
3
VRAI
http://www.crtc.gc.ca/fra/com500/faq500.htm
Il y a trois exigences générales à remplir pour pouvoir envoyer un MEC à une
adresse électronique. Vous devez :
1. Avoir obtenu un consentement
2. Fournir des renseignements d'identification et
3. Fournir un mécanisme d'exclusion.
60
61. LES CENTRES DE PRÉFÉRENCES – (OPT-IN & OPT-OUT)
LCAP
2
61
62. LES CENTRES DE PRÉFÉRENCES – (OPT-IN & OPT-OUT)
LCAP
2
62
63. CADRE DE GESTION: LES 3Ps
2014
LA PRATIQUE – LE PROCESSUS – LES PLATEFORMES
65. • Avons-nous une équipe et un plan pour la
pratique de la vie privée ?
• Avons-nous regroupé les intérêts d’affaires,
légaux et techniques ?
• Qui sont les spécialistes techniques, légaux
et opérationnels ?
• Avons-nous un plan de communication ?
• Avons-nous un plan de formation ?
• C’est qui le responsable de la confidentialité ?
(Chief Privacy Officer)
UN CADRE DE GESTION
LES 3 Ps3
65
66. UN CADRE DE GESTION
LES 3 Ps3
• Comment suivons-nous, implantons-nous & gérons-
nous les éléments de la vie privée ?
• Comment allons-nous supporter nos clients et
usagers ?
• Qui est responsable de ces opérations ?
66
67. UN CADRE DE GESTION
LES 3 Ps3
• Quelles sont les plateformes à utiliser et à
mettre en place?
• Interface utilisateur (UI) et Système de gestion
(back end & front end)?
67
69. CAS D’ÉTUDE : LES MÉGADONNÉES / « BIG DATA »
• Rapport US FTC sur les mégadonnées
• Application des cinq principes de
protection des renseignements personnels
• Un défi à la logique même du cadre légal
existant en matière de protection des
renseignements personnels
• Autres modèles / options?
69
4
71. **http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/
« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**
LA VIE PRIVÉE DU POINT DE VUE MARKETING – VUE GLOBALE
4
l’Alliance de la publicité numérique du Canada (DAAC)
La stratégie “Pull” consiste à attirer un
consommateur
spécifique vers un produit ou un service.
La stratégie " Push " vise
à pousser le produit vers le
consommateur
JE CONNAIS L’INTENTION D’UN
CONSOMMATEUR
JE CONNAIS LE
CONSOMMATEUR
PUSH
PULL
PUBLICITÉ
COMPORTEMENTALE
RECIBLAGE
PUBLICITÉ
CIBLÉE
TÉMOINS
(COOKIES)
STRATÉGIE
COURRIEL & SMS
ENVIRONNEMENTS
PERSONNALISÉS
NOTIFICATION
CENTRE
DE PRÉFÉRENCES
CHOIX DE PUB (AD.CHOICES)
LCAP (CASL)
MARKETING
Pratique
Plateformes
Processus
71
72. CONFIDENTIALITÉ DES DONNÉES : COMMENT VOUS
ASSURER DE LA LÉGALITÉ DE VOS ACTIONS MARKETING ?
VOS COMMENTAIRES & QUESTIONS
72
Charles Morgan
Mohamed Kahlain
cmorgan@mccarthy.ca
mohamed.kahlain@tc.tc
Tél. : (514) 397-4230
Tél. : (514) 392-9953
@mkahlain