Qu'est ce que la Consent Management Platform ?

De wikidatamarketing
Sauter à la navigation Sauter à la recherche


Résumé

Les Consent Management Platforms ont été développées pour permettre à l’Internaute de contrôler l’accès à ses données personnelles et leurs traitements.

Une CMP permet d’informer l’Utilisateur et lui donne les moyens de comprendre que ses données personnelles peuvent être traitées et d’exprimer - le cas échéant de modifier - ses choix quant aux traitements et finalités de traitement poursuivies par le site sur lequel il se trouve mais aussi par les partenaires de ce site.

Il s’agit ici du recueil, de la validité et de la traçabilité du choix de l’internaute et plus précisément de la maîtrise du consentement. Par essence, la CMP se doit d’être intégrée et paramétrée correctement.
Alors seulement, la donnée personnelle pourra être traitée selon la base légale choisie via un signal valide et servir les objectifs des marques tels que - activation digitale, enrichissement, bundle, data licencing, initiation de nouveaux services adaptés aux usages.

Définition

Une CMP est une plateforme technologique dédiée ou intégrée qui permet en particulier :

  • d’informer l’Utilisateur sur le traitement possible de toutes ou parties de ses données personnelles
  • d’informer l’Utilisateur sur les destinataires de ses données personnelles et les finalités poursuivies par ces derniers
  • de recueillir les choix ou modifications de choix de l’Utilisateur relativement aux traitements de ses données personnelles
  • le cas échéant, de stocker la preuve du consentement exprimé par l’Utilisateur afin de répondre aux obligations légales imposées par le RGPD
  • de transmettre les choix de l’Utilisateur aux destinataires de ses données personnelles

La partie visible et interactive apparaît généralement sous la forme d’une pop-up ou d’un bandeau lorsque l’utilisateur surfe sur un site.

La CMP a pour but de permettre à l’internaute de comprendre l’utilisation qui est faite de ses données personnelles, et ainsi d’en accepter | configurer | modifier | refuser les traitements proposés par les sites qu’il visite.

Techniquement, une CMP est une cousine du TMS (Tag Management System), et peut d’ailleurs en être issue. L’un de ses fondamentaux est le conditionnement de l’affichage de tags en fonction de règles prédéfinies par le gestionnaire du site.

Le principe

Les CMPs ont été créées afin que les éditeurs de sites Internet puissent répondre à certaines exigences du RGPD. Néanmoins, rien n’oblige légalement à en utiliser une.

La mise en place d’une CMP n’est pas synonyme de conformité au Règlement Général de Protection des Données, mais constitue un des outils la facilitant.

Le RGPD, entré en application le 25 Mai 2018, précise les conditions sous lesquelles un acteur peut traiter les données personnelles d’Utilisateurs, et impose un cadre intégrant la responsabilité des entreprises à informer précisément et clairement des traitements qu’ils vont opérer sur la donnée personnelle, mais pas que :

  • des droits des Utilisateurs quant aux traitements,
  • de la façon dont les données personnelles sont collectées,
  • du type de donnée personnelle collectée puis traitée,
  • des destinataires des données,
  • de leur sécurisation mais aussi de leurs transferts parfois vers des zones géographiques n’appliquant pas les mêmes normes de protection.

Enfin, il impose de choisir, mettre en place et informer l’Utilisateur de la base légale de traitement des données personnelles.


L’une d’entre elles se trouve être le consentement.
Le consentement est une base légale de traitement déjà imposée par la directive « vie privée et communication » (eprivacy) de 2002/58/CE modifiée par l'adoption de la directive 2009/136/CE, modifiée par l'ordonnance n°2011-1012 du 24 août 2011, et renforcée par la délibération n° 2013-378 du 5 décembre 2013 « portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978 ».
Le RGPD apporte par son article 4 la définition du consentement. Les éléments de cette définition ainsi que les guidelines du G29 ont permis la création des CMPs, et impliquent qu’elles soient paramétrées correctement : un mauvais choix d’option peut conduire à un consentement non conforme et priver les Responsables de traitements de base légale valide : en d’autres termes l’activité de traitement pourra être considérée comme illicite par les Autorités de Protection des Données.


Lors de la mise en application du RGPD, l’adoption des CMPs restait faible bien que déjà existantes et opérantes avant le 25 Mai 2018. Le développement d’un standard d’autorégulation opéré par l’IAB Europe - le Transparency and Consent Framework - a rendu plus simple la démocratisation de cet outil, puis son déploiement grâce à la collaboration de nombreux représentants des acteurs de l’écosystème digital et programmatique.

Perspectives

Le taux d’adoption des CMPs en France croit. Le taux de pénétration est ainsi passé de 39% en octobre 2018 à 64% en Février 2019.

Les CMPs évoluent à mesure que l’écosystème digital évolue. De nouveaux besoins, de nouvelles exigences apparaissent et les outils répondent en proposant sans cesse aux Éditeurs de sites des possibilités plus accrues de maîtriser leurs actions et leurs communications avec leurs Utilisateurs.

Auteur

Cette définition vous a été apportée par Benoît Oberlé, CEO Sirdata, membre du Turing Club

Notes et Références

  1. Le Privacy Center : Eldorado de la relation Client
  2. Que doit contenir une CMP et comment la paramétrer : analyse de décision de la CNIL du 30 octobre 2018
  3. IAB Europe
  4. Transparency and Consent Framework
  5. Interview de Mathias Moulin (CNIL) - Journal du Net par Nicolas Jaimes Décembre 2018 : "chaque opérateur de données doit s’assurer de la légitimité du consentement et de sa traçabilité. Le contrat est à ce titre insuffisant. C’est à l’acteur qui va retraiter les données de s’assurer que ce travail a été fait correctement en amont par le partenaire qui lui transmet ces données »
  6. EurLex - Résumés des législations Européennes : protection des données dans le secteur des communication électroniques
  7. Légifrance - Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
  8. Légifrance - Délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978
  9. CNIL - Règlement Européen Protection des données Chapitre 1
  10. CNIL - Groupe de travail «Article 29» Lignes directrices sur le consentement au sens du règlement 2016/679
  11. IAB France - Baromètre sur l'adoption des CMP Février 2019
  12. ICO Recommandation (en)

Quelques mots clés autour de ce sujet : Engagement, Consentement, sécurisation des transferts, TCF, CMP, GDPR, Traitement