SlideShare ist ein Scribd-Unternehmen logo

Cookies & do not track b. docquir

Als PPTX, PDF herunterladen
B
benjamindocquir
1 von 30
BDMA – LEGAL DAY 19/06/2013 Benjamin Docquir Cookies & Do-Not-Track « Where do we stand ? Where do we go ? » Partner @ SimontBraun (www.simontbraun.eu)
PLAN 1. COOKIES = LA PARTIE VISIBLE DE L’ICEBERG … 2. RÉGLEMENTATION INADAPTÉE ? 3. D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
COOKIES = LA PARTIE VISIBLE DE L’ICEBERG …
1.COOKIES ? 1. Une forme de « ciblage » parmi d’autres 2. Un moyen technique susceptible de plusieurs utilisations possibles 3. Une pluralité d’intervenants
RÉGLEMENTATION INADAPTÉE ?
2. UNE RÉGLEMENTATION INADAPTÉE ? 1. Réglementation « technique » 2. Réglementation générale « vie privée »
2.1. Principes généraux « data protection» 1. Annonceur / Agence / Régie / « Ad networks » / Editeur de service / Autres prestataires spécialisés / … 2. Le responsable du traitement : « détermine les finalités et les moyens » ; le sous-traitant « traite pour le compte du responsable » • Avis 1/2010 du 16.02.2010 du Groupe 29 (WP 169) • La ratio legis est la protection des individus, et le texte légal permet dès lors de conclure à la responsabilité conjointe dans de nombreux cas où chacune des parties exploite au moins une partie des données pour un intérêt propre • Cf. exemple n 14 dans l’avis 1/2010 : éditeur du site et ad network provider sont des responsables conjoints, en fonction des conditions de leur collaboration (e.g. « re-directing the user to the ad network provider webpage »)
2.1. Principes généraux « data protection» Toute relation avec un sous-traitant est encadrée par l’article 16 de la loi 1. • • • 2. Choix du sous-traitant Contrat écrit stipulant les obligations et responsabilités Mesures de sécurité et de confidentialité Clauses de garantie dans les contrats avec les différents prestataires ? (ad networks, plateformes de services ou de contenus, list brokers, etc.)
2.1. Principes généraux « data protection» 1. Les finalités doivent être « explicites » : une référence vague à « des fins de marketing direct » ne paraît donc pas suffire (de plus, la notion de marketing direct n’est pas définie de façon univoque dans un texte) 2. À long terme, la transparence lors de la collecte est payante (cf. la problématique de la réutilisation des données à des fins autres, et l’appréciation selon les « attentes raisonnables » du consommateur) … mais pas toujours possible
2.1. Principes généraux « data protection» 1. La commission belge de la protection de la vie privée tend à imposer une exigence générale de consentement comme fondement unique ou quasi unique dans certains cas : • • • Usage de certains moyens (courriel, sms, fax, etc.) • • Face à des mineurs Usage de données sensibles Incompatibilité avec la finalité initiale (p. ex. list renting/selling non annoncé au départ, ou fusion ou restructuration d’entreprises) En cas de marketing viral 2. Contra legem ? • Discussion ouverte sur le statut de cet organisme « invincible »… et de possibles futures sanctions !
2.2. Règlementation « technique » 1. Cookies et logiciels espions • informations obligatoires et obligation de consentement préalable (art. 129 de la loi du 13 juin 2005 sur les communications électroniques) • • • • Pas de distinctions entre 1st party et 3d party cookies, entre permanents et temporaires, etc. Deux exceptions: Transit technique Service demandé par l’utilisateur 2. Adresses IP • Un statut toujours incertain au regard de la loi vie privée (voy. aussi considérant 52 de la directive 2009/136) 3. Vers un « domicile virtuel » inviolable ? • • BVerfG, 27 février 2008 Champ d’application de la directive 2002/58 (données de trafic et de localisation, puces RFID, « lien » entre l’information transmise et l’utilisateur qui la reçoit) 4. Irréaliste au regard des évolutions récentes du « law enforcement » ?
Art. 129 « Le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que : 1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992; 2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément aux dispositions visées au point 1°.
Art. 129 L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet. Le consentement au sens de l'alinéa 1er ou l'application de l'alinéa 2, n'exemptent pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par le présent article. Le responsable du traitement donne gratuitement la possibilité aux abonnés ou utilisateurs finals de retirer le consentement de manière simple. »
Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d'un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. Le présent paragraphe n'empêche pas le stockage technique nécessaire à l'acheminement d'une communication, sans préjudice du principe de confidentialité. 2. Le paragraphe 1 n'affecte pas l'enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu'il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d'une transaction commerciale ou de toute autre communication commerciale.
Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 3. Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Directive 2002/58 (modifiée en 2009) Considérants (24) L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné.
Directive 2002/58 (modifiée en 2009) Considérants (25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L'information relative à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes.
2.2. Réglementation « technique » Guidance du « Groupe 29 » : 1. Avis 2/2010 du 22.06.2010 (WP 171) « online behavioral advertising » 2. Avis 16/2011 du 8 décembre 2011 (WP188) « EASA/IAB Best Practice Recommendation » 3. Avis 4/2012 du 7 juin 2012 (WP194) « cookie consent »
2.2. Réglementation « technique » 1.Responsables: éditeur, ad network, annonceur, browser (…) 2.Navigateurs doivent bloquer par défaut les cookies (au moins les 3d party cookies) 3.Consentement pour le futur OK par le biais d’une info globale, mais pour une durée limitée et avec retrait du consentement toujours possible 4.Fournir des infos claires, explicites, régulières 5.Pas de « blanc-seing » pour www.youronlinechoices.eu (EASA/IAB), car : ≠ info préalable ≠ opt-in
2.2. Réglementation « technique » 1. TYPES DE COOKIES SUSCEPTIBLES D’ÊTRE EXEMPTÉS DE L’OPT-IN : • Cookies de session d’origine alimentés par l’utilisateur • Cookies d’authentification • Cookies de sécurité centrés sur l’utilisateur • Cookies de session créé par un lecteur multimédia (player) • Load balancing • Cookies de personnalisation de l’interface utilisateur • Cookies de social sharing
2.2. Réglementation « technique » 1. SAUF SI … • • Persistent après la session • Cookies tiers • 2. Autres finalités (…) EN TOUT CAS PAS: • Cookies de modules sociaux de pistage • Publicités de tiers • (Analytique d’origine)
2.2. Réglementation « technique »
2.2. Réglementation « technique »
2.2. Réglementation « technique »
2.2. Réglementation « technique »
Règles inadaptées ? 1.Caractère international 2.Multiplicité d’acteurs… tous responsables ? 3.Très faible niveau d’enforcement 4.Efficacité discutable au regard de la protection de la vie privée…
D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
3. DO-NOT-TRACK & OTHER SETTINGS 1. IAB / EASA Best Practice, avril 2011 (www.youronlinechoices.eu) • Notification p. ex. sous la forme d’une icône « standard » autour des publicités comportementales • Modalités conviviales pour exprimer le choix / le refus • Pas de segmentation sur les enfants • Segmentation sur des données sensibles moyennant un consentement explicite préalable
3. DO-NOT-TRACK & OTHER SETTINGS 2. W3C do-not-track standard setting http://www.w3.org/2011/track-privacy/papers/ http://www.w3.org/2011/tracking-protection/ http://donottrack.us/ http://www.businessinsider.com/do-not-track-online-act-might-go-tocongress-2013-4 https://www.eff.org/issues/do-not-track
QUESTIONS ? Merci pour votre attention Benjamin Docquir benjamin.docquir@simontbraun.eu

Empfohlen

Coffre-fort numérique : nouveau décret
Coffre-fort numérique : nouveau décretCoffre-fort numérique : nouveau décret
Coffre-fort numérique : nouveau décretSociété Tripalio
 
La législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataLa législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataForum des archivistes de l'arc lémanique
 
Cookies.eu
Cookies.euCookies.eu
Cookies.eumarcgallardo
 
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)Marc Gouden
 
Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...aclorrain
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Charte du droit à l'oubli numérique
Charte du droit à l'oubli numériqueCharte du droit à l'oubli numérique
Charte du droit à l'oubli numériquenathanseronet
 

Empfohlen

Coffre-fort numérique : nouveau décret
Coffre-fort numérique : nouveau décretCoffre-fort numérique : nouveau décret
Coffre-fort numérique : nouveau décretSociété Tripalio
 
La législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataLa législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataForum des archivistes de l'arc lémanique
 
Cookies.eu
Cookies.euCookies.eu
Cookies.eumarcgallardo
 
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)
Assurance Vie en LPS: Point sur la réglementation belge (novembre 2014)Marc Gouden
 
Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...aclorrain
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Charte du droit à l'oubli numérique
Charte du droit à l'oubli numériqueCharte du droit à l'oubli numérique
Charte du droit à l'oubli numériquenathanseronet
 
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-PyrénéesMarc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-PyrénéesCRIJ Occitanie - site Toulouse
 
Word media - Présentation agence - 2011
Word media - Présentation agence - 2011Word media - Présentation agence - 2011
Word media - Présentation agence - 2011WordMedia
 
Trabajo frances
Trabajo francesTrabajo frances
Trabajo francespacitina
 
Modulo i. iniciacion a la informatica
Modulo i. iniciacion a la informaticaModulo i. iniciacion a la informatica
Modulo i. iniciacion a la informaticaPunto Vuela Guadalinfo Sanlucar la Mayor
 
Tintín maría álvarez
Tintín maría álvarezTintín maría álvarez
Tintín maría álvarezpacitina
 
Viviendo para Dar
Viviendo para DarViviendo para Dar
Viviendo para DarRodolfo A. Martinez Ochoa
 
Profilflyer Oeko-Institut
Profilflyer Oeko-InstitutProfilflyer Oeko-Institut
Profilflyer Oeko-InstitutOeko-Institut
 
Elfracaso
ElfracasoElfracaso
ElfracasoHospital Materno Infantil Matilde Hidalgo de Procel
 
Perspectives des migrations internationales
Perspectives des migrations internationalesPerspectives des migrations internationales
Perspectives des migrations internationalesIntegraLocal
 
La fermentation alcoolique alan y dano
La fermentation alcoolique alan y danoLa fermentation alcoolique alan y dano
La fermentation alcoolique alan y danojeanpyXD
 
Grecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basicoGrecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basicoSan Sebastián University
 
Sanidad No.1
Sanidad No.1Sanidad No.1
Sanidad No.1Rodolfo A. Martinez Ochoa
 
Campamento crsa detalle
Campamento crsa detalleCampamento crsa detalle
Campamento crsa detalleUSET
 
Capacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrioCapacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrioUSET
 
Margaret_Atwood_Interview
Margaret_Atwood_InterviewMargaret_Atwood_Interview
Margaret_Atwood_InterviewElisabeth Dietz
 
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009onepoint x weave
 
Estadística
EstadísticaEstadística
Estadísticanorbea04
 
Jamer Ernesto
Jamer ErnestoJamer Ernesto
Jamer Ernestoernesto pacheco
 
Gloria Ambas
Gloria AmbasGloria Ambas
Gloria Ambasmgag
 
Herraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digitalHerraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digitalGuadalinfo Almensilla
 
Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert BDMA1
 
Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...GOTIC CI
 

Weitere ähnliche Inhalte

Andere mochten auch

Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-PyrénéesMarc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-PyrénéesCRIJ Occitanie - site Toulouse
 
Word media - Présentation agence - 2011
Word media - Présentation agence - 2011Word media - Présentation agence - 2011
Word media - Présentation agence - 2011WordMedia
 
Trabajo frances
Trabajo francesTrabajo frances
Trabajo francespacitina
 
Tintín maría álvarez
Tintín maría álvarezTintín maría álvarez
Tintín maría álvarezpacitina
 
Profilflyer Oeko-Institut
Profilflyer Oeko-InstitutProfilflyer Oeko-Institut
Profilflyer Oeko-InstitutOeko-Institut
 
Perspectives des migrations internationales
Perspectives des migrations internationalesPerspectives des migrations internationales
Perspectives des migrations internationalesIntegraLocal
 
La fermentation alcoolique alan y dano
La fermentation alcoolique alan y danoLa fermentation alcoolique alan y dano
La fermentation alcoolique alan y danojeanpyXD
 
Grecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basicoGrecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basicoSan Sebastián University
 
Campamento crsa detalle
Campamento crsa detalleCampamento crsa detalle
Campamento crsa detalleUSET
 
Capacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrioCapacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrioUSET
 
Margaret_Atwood_Interview
Margaret_Atwood_InterviewMargaret_Atwood_Interview
Margaret_Atwood_InterviewElisabeth Dietz
 
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009onepoint x weave
 
Estadística
EstadísticaEstadística
Estadísticanorbea04
 
Gloria Ambas
Gloria AmbasGloria Ambas
Gloria Ambasmgag
 
Herraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digitalHerraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digitalGuadalinfo Almensilla
 

Andere mochten auch (20)

Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-PyrénéesMarc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
Marc de roeck : Présentation index documentaire du CRIJ Toulouse Midi-Pyrénées
 
Word media - Présentation agence - 2011
Word media - Présentation agence - 2011Word media - Présentation agence - 2011
Word media - Présentation agence - 2011
 
Trabajo frances
Trabajo francesTrabajo frances
Trabajo frances
 
Modulo i. iniciacion a la informatica
Modulo i. iniciacion a la informaticaModulo i. iniciacion a la informatica
Modulo i. iniciacion a la informatica
 
Tintín maría álvarez
Tintín maría álvarezTintín maría álvarez
Tintín maría álvarez
 
Viviendo para Dar
Viviendo para DarViviendo para Dar
Viviendo para Dar
 
Profilflyer Oeko-Institut
Profilflyer Oeko-InstitutProfilflyer Oeko-Institut
Profilflyer Oeko-Institut
 
Elfracaso
ElfracasoElfracaso
Elfracaso
 
Perspectives des migrations internationales
Perspectives des migrations internationalesPerspectives des migrations internationales
Perspectives des migrations internationales
 
La fermentation alcoolique alan y dano
La fermentation alcoolique alan y danoLa fermentation alcoolique alan y dano
La fermentation alcoolique alan y dano
 
Grecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basicoGrecia clase 1 periodo arcaico, séptimo basico
Grecia clase 1 periodo arcaico, séptimo basico
 
Sanidad No.1
Sanidad No.1Sanidad No.1
Sanidad No.1
 
Campamento crsa detalle
Campamento crsa detalleCampamento crsa detalle
Campamento crsa detalle
 
Capacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrioCapacitación de líderes de hombres jóvenes de barrio
Capacitación de líderes de hombres jóvenes de barrio
 
Margaret_Atwood_Interview
Margaret_Atwood_InterviewMargaret_Atwood_Interview
Margaret_Atwood_Interview
 
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
Didier Rousseau L'EXPANSION "Des PME en perte de crédit" novembre 2009
 
Estadística
EstadísticaEstadística
Estadística
 
Jamer Ernesto
Jamer ErnestoJamer Ernesto
Jamer Ernesto
 
Gloria Ambas
Gloria AmbasGloria Ambas
Gloria Ambas
 
Herraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digitalHerraminetas 2.0 en educación digital
Herraminetas 2.0 en educación digital
 

Ähnlich wie Cookies & do not track b. docquir

Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert BDMA1
 
Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...GOTIC CI
 
Consultation du CCBE sur le cloud computing
Consultation du CCBE sur le cloud computingConsultation du CCBE sur le cloud computing
Consultation du CCBE sur le cloud computingJLMB
 
Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Infopole1
 
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...SEARCH Y - Philippe Yonnet Evénements
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourrieljfderico
 
Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Made In Morocco
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
e-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquese-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquesCYB@RDECHE
 
Le recours à un tiers archiveur, un contrat sur mesure [2011]
Le recours à un tiers archiveur, un contrat sur mesure [2011]Le recours à un tiers archiveur, un contrat sur mesure [2011]
Le recours à un tiers archiveur, un contrat sur mesure [2011]François Coppens
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionLes données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionAllaeddine Makhlouk
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17Pierre MASSOT
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 

Ähnlich wie Cookies & do not track b. docquir (20)

Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert
 
Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...Les mécanismes de protection et de garantie des Droits des usagers des servic...
Les mécanismes de protection et de garantie des Droits des usagers des servic...
 
Consultation du CCBE sur le cloud computing
Consultation du CCBE sur le cloud computingConsultation du CCBE sur le cloud computing
Consultation du CCBE sur le cloud computing
 
Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !
 
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...
SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Pri...
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel
 
Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnelles
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaS
 
e-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquese-Commerce - Aspects juridiques
e-Commerce - Aspects juridiques
 
Binder1
Binder1Binder1
Binder1
 
Le recours à un tiers archiveur, un contrat sur mesure [2011]
Le recours à un tiers archiveur, un contrat sur mesure [2011]Le recours à un tiers archiveur, un contrat sur mesure [2011]
Le recours à un tiers archiveur, un contrat sur mesure [2011]
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionLes données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protection
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 

Cookies & do not track b. docquir

  • 1. BDMA – LEGAL DAY 19/06/2013 Benjamin Docquir Cookies & Do-Not-Track « Where do we stand ? Where do we go ? » Partner @ SimontBraun (www.simontbraun.eu)
  • 2. PLAN 1. COOKIES = LA PARTIE VISIBLE DE L’ICEBERG … 2. RÉGLEMENTATION INADAPTÉE ? 3. D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
  • 3. COOKIES = LA PARTIE VISIBLE DE L’ICEBERG …
  • 4. 1.COOKIES ? 1. Une forme de « ciblage » parmi d’autres 2. Un moyen technique susceptible de plusieurs utilisations possibles 3. Une pluralité d’intervenants
  • 6. 2. UNE RÉGLEMENTATION INADAPTÉE ? 1. Réglementation « technique » 2. Réglementation générale « vie privée »
  • 7. 2.1. Principes généraux « data protection» 1. Annonceur / Agence / Régie / « Ad networks » / Editeur de service / Autres prestataires spécialisés / … 2. Le responsable du traitement : « détermine les finalités et les moyens » ; le sous-traitant « traite pour le compte du responsable » • Avis 1/2010 du 16.02.2010 du Groupe 29 (WP 169) • La ratio legis est la protection des individus, et le texte légal permet dès lors de conclure à la responsabilité conjointe dans de nombreux cas où chacune des parties exploite au moins une partie des données pour un intérêt propre • Cf. exemple n 14 dans l’avis 1/2010 : éditeur du site et ad network provider sont des responsables conjoints, en fonction des conditions de leur collaboration (e.g. « re-directing the user to the ad network provider webpage »)
  • 8. 2.1. Principes généraux « data protection» Toute relation avec un sous-traitant est encadrée par l’article 16 de la loi 1. • • • 2. Choix du sous-traitant Contrat écrit stipulant les obligations et responsabilités Mesures de sécurité et de confidentialité Clauses de garantie dans les contrats avec les différents prestataires ? (ad networks, plateformes de services ou de contenus, list brokers, etc.)
  • 9. 2.1. Principes généraux « data protection» 1. Les finalités doivent être « explicites » : une référence vague à « des fins de marketing direct » ne paraît donc pas suffire (de plus, la notion de marketing direct n’est pas définie de façon univoque dans un texte) 2. À long terme, la transparence lors de la collecte est payante (cf. la problématique de la réutilisation des données à des fins autres, et l’appréciation selon les « attentes raisonnables » du consommateur) … mais pas toujours possible
  • 10. 2.1. Principes généraux « data protection» 1. La commission belge de la protection de la vie privée tend à imposer une exigence générale de consentement comme fondement unique ou quasi unique dans certains cas : • • • Usage de certains moyens (courriel, sms, fax, etc.) • • Face à des mineurs Usage de données sensibles Incompatibilité avec la finalité initiale (p. ex. list renting/selling non annoncé au départ, ou fusion ou restructuration d’entreprises) En cas de marketing viral 2. Contra legem ? • Discussion ouverte sur le statut de cet organisme « invincible »… et de possibles futures sanctions !
  • 11. 2.2. Règlementation « technique » 1. Cookies et logiciels espions • informations obligatoires et obligation de consentement préalable (art. 129 de la loi du 13 juin 2005 sur les communications électroniques) • • • • Pas de distinctions entre 1st party et 3d party cookies, entre permanents et temporaires, etc. Deux exceptions: Transit technique Service demandé par l’utilisateur 2. Adresses IP • Un statut toujours incertain au regard de la loi vie privée (voy. aussi considérant 52 de la directive 2009/136) 3. Vers un « domicile virtuel » inviolable ? • • BVerfG, 27 février 2008 Champ d’application de la directive 2002/58 (données de trafic et de localisation, puces RFID, « lien » entre l’information transmise et l’utilisateur qui la reçoit) 4. Irréaliste au regard des évolutions récentes du « law enforcement » ?
  • 12. Art. 129 « Le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que : 1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992; 2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément aux dispositions visées au point 1°.
  • 13. Art. 129 L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet. Le consentement au sens de l'alinéa 1er ou l'application de l'alinéa 2, n'exemptent pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par le présent article. Le responsable du traitement donne gratuitement la possibilité aux abonnés ou utilisateurs finals de retirer le consentement de manière simple. »
  • 14. Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d'un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. Le présent paragraphe n'empêche pas le stockage technique nécessaire à l'acheminement d'une communication, sans préjudice du principe de confidentialité. 2. Le paragraphe 1 n'affecte pas l'enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu'il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d'une transaction commerciale ou de toute autre communication commerciale.
  • 15. Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 3. Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
  • 16. Directive 2002/58 (modifiée en 2009) Considérants (24) L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné.
  • 17. Directive 2002/58 (modifiée en 2009) Considérants (25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L'information relative à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes.
  • 18. 2.2. Réglementation « technique » Guidance du « Groupe 29 » : 1. Avis 2/2010 du 22.06.2010 (WP 171) « online behavioral advertising » 2. Avis 16/2011 du 8 décembre 2011 (WP188) « EASA/IAB Best Practice Recommendation » 3. Avis 4/2012 du 7 juin 2012 (WP194) « cookie consent »
  • 19. 2.2. Réglementation « technique » 1.Responsables: éditeur, ad network, annonceur, browser (…) 2.Navigateurs doivent bloquer par défaut les cookies (au moins les 3d party cookies) 3.Consentement pour le futur OK par le biais d’une info globale, mais pour une durée limitée et avec retrait du consentement toujours possible 4.Fournir des infos claires, explicites, régulières 5.Pas de « blanc-seing » pour www.youronlinechoices.eu (EASA/IAB), car : ≠ info préalable ≠ opt-in
  • 20. 2.2. Réglementation « technique » 1. TYPES DE COOKIES SUSCEPTIBLES D’ÊTRE EXEMPTÉS DE L’OPT-IN : • Cookies de session d’origine alimentés par l’utilisateur • Cookies d’authentification • Cookies de sécurité centrés sur l’utilisateur • Cookies de session créé par un lecteur multimédia (player) • Load balancing • Cookies de personnalisation de l’interface utilisateur • Cookies de social sharing
  • 21. 2.2. Réglementation « technique » 1. SAUF SI … • • Persistent après la session • Cookies tiers • 2. Autres finalités (…) EN TOUT CAS PAS: • Cookies de modules sociaux de pistage • Publicités de tiers • (Analytique d’origine)
  • 22. 2.2. Réglementation « technique »
  • 23. 2.2. Réglementation « technique »
  • 24. 2.2. Réglementation « technique »
  • 25. 2.2. Réglementation « technique »
  • 26. Règles inadaptées ? 1.Caractère international 2.Multiplicité d’acteurs… tous responsables ? 3.Très faible niveau d’enforcement 4.Efficacité discutable au regard de la protection de la vie privée…
  • 27. D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
  • 28. 3. DO-NOT-TRACK & OTHER SETTINGS 1. IAB / EASA Best Practice, avril 2011 (www.youronlinechoices.eu) • Notification p. ex. sous la forme d’une icône « standard » autour des publicités comportementales • Modalités conviviales pour exprimer le choix / le refus • Pas de segmentation sur les enfants • Segmentation sur des données sensibles moyennant un consentement explicite préalable
  • 29. 3. DO-NOT-TRACK & OTHER SETTINGS 2. W3C do-not-track standard setting http://www.w3.org/2011/track-privacy/papers/ http://www.w3.org/2011/tracking-protection/ http://donottrack.us/ http://www.businessinsider.com/do-not-track-online-act-might-go-tocongress-2013-4 https://www.eff.org/issues/do-not-track
  • 30. QUESTIONS ? Merci pour votre attention Benjamin Docquir benjamin.docquir@simontbraun.eu