[Interview] "Le RGPD est une bonne nouvelle car il va harmoniser les législations", Cédric Vandervynckt, executive vice-président de Criteo EMEA

L’Usine Digitale : Comment une entreprise comme Criteo aborde-t-elle la mise en place du RGPD ?

Cédric Vandervynckt : Pour nous, c’est une clarification bienvenue. Par exemple, ce texte distingue très clairement les différences entre données personnelles sensibles telles que l’âge, le genre, la religion etc. exigeant un opt-in, et les données personnelles non sensibles telles que les données pseudonymiques que nous utilisons et exigeant un consentement non-ambigü... L’autre atout de ce texte est qu’il va harmoniser les règles applicables partout en Europe. Pour une entreprise internationale comme la nôtre, nous n’aurons plus besoin de nous baser sur 28 textes différents pour nous assurer de la conformité avant de lancer un nouveau produit. C’est très appréciable.

Ceci rappelé, Le RGPD n’est pas une révolution mais plutôt une évolution de la directive en place depuis 1995. Nous nous appliquons certaines des règles que contient le RGPD depuis plusieurs années : nous proposons depuis longtemps sur nos bannières une icône "i" sur laquelle cliquer pour permettre au consommateur de savoir comment fonctionnent nos services et éventuellement faire un opt-out. La transparence et le contrôle sont nécessaires. De même, depuis 2013, nous avons un data privacy officer qui intervient dès la conception du produit. Il mesure les effets sur les datas de tout nouveau produit que nous élaborons et en assure la conformité afin que nous soyons bien "Privacy by Design".

Ne craignez-vous pas un assèchement des données disponibles, puisque l’internaute devra accepter de façon non ambiguë qu’on utilise ses données, qui sont nécessaires à votre activité ?

Les algorithmes de Criteo utilisent des données techniques ou des données pseudonymiques, qui l’une et l’autre ne demandent pas d’opt-in, à la différence des données sensibles. Cela va nous simplifier la vie avant tout au sein de l’Europe. Les mêmes règles s’appliqueront aussi bien pour les acteurs européens que pour les acteurs globaux internationaux. C’est une harmonisation des règles de la concurrence.

Dans le monde de la publicité en ligne, on convient généralement que les données dites de "3rd party", c’est-à-dire celles qui viennent de tiers, vont être plus rares. Vous en avez besoin non, puisque vous n’utilisez pas des données propres, mais les données de vos clients ?

Criteo ne traîte que de la data qu’il obtient de ses partenaires. Nous sommes co-responsables de ce traitement. Par ailleurs, nous proposons actuellement des produits qui utilisent les données CRM de nos clients. C’est dire que nous ne sommes pas dépendants des données de 3rd party.

Pour les données que nous utilisons aujourd’hui, le RGPD indique qu’il faut obtenir un consentement non ambigü. Nous y travaillons en offrant la transparence nécessaire sur ce que nous faisons de ces données, comment nous les traitons, à quelle fin. Et nous donnons la possibilité du opt-out à tous moments.

Concrètement, comment allez-vous recueillir le consentement ?

Une bannière s’affiche dès la première page de la connexion, rappelant à l’internaute qu’on recueille ses données et dans quel but. Il peut accepter ou refuser. S’il ne réagit pas, la bannière s’affiche sur la deuxième page. S’il continue de naviguer ensuite, on peut considérer qu’il accepte que ses données soient utilisées.

Ce point du RGPD est discuté et semble assez flou. La question est posée et tout le monde ne semble pas d’accord pour considérer que cette démarche soit le recueil d’un consentement non ambigü...

Certaines CNIL européennes ont clairement indiqué que cette méthode était conforme. Nous nous conformons à leurs recommandations.

Vous semblez beaucoup plus inquiet par la mise en place d’e-privacy. Pourquoi ?

Par rapport au RGPD , le projet de règlement e-privacy est réservé au monde de la publicité et de la communication numérique. Dans l’état actuel, un internaute accepterait une fois pour toutes quant à l’utilisation de ces cookies. La contrainte serait en quelque sorte inscrite dans le navigateur internet, soit il accepterait pour tout, soit il refuserait en bloc. Nous souhaitons que le consentement continue d’être recueilli site par site en donnant à chaque fois la possibilité de revenir sur ce consentement.

Le problème posé par la façon de voir du règlement "e-privacy" est qu’il s’inscrit dans le contexte européen. De puissantes entreprises américaines interviennent sur ce marché et elles possèdent des données de "first party", obtenues grâce au log-in.
Ce nouveau règlement créerait un déséquilibre entre ces acteurs globaux et les européens au détriment de ces derniers. Ce serait un comble qu’une réglementation européenne ait pour résultat de désavantager les entreprises locales !