Le RGPD étant le « coup entendu » dans le monde entier », l'industrie numérique, les régulateurs et les tribunaux ont développé et réajusté la manière dont nous devons penser à cet ensemble révolutionnaire de lois. Grâce à cette expérience, j'ai eu quelques analogies avec l'an 2 : avant l'événement, ce fut une période de stress et d'anxiété extrêmes sur la façon dont les différents acteurs de l'écosystème ont mis en place leurs propres considérations architecturales et, à cause de cela, le système allait vers le bas. Comme Y2K, les systèmes ne sont pas encore tombés en panne, bien que toute l'expérience ait apporté beaucoup de lumière et de sensibilisation contextuelle à travers l'industrie. À l'échelle d'un service public mondial, cela a fourni une visibilité significative de certaines des considérations et des besoins plus larges de l'industrie en matière de normalisation. 

C'est peut-être ce que pensent les régulateurs européens lorsque les réglementations continuent de s'imposer. De plus, ces normes continuent d'évoluer dans l'interprétation continue des « données personnelles » et les façons dont elles peuvent et ne peuvent pas être utilisées (comme le récent rapport européen sur la protection des données Décision du superviseur relative à Schrems). Il n'est pas étonnant que tant d'entreprises soient dans un état constant de flux et de confusion.  

Pour ajouter une chose à la liste, le passage du temps a lentement déplacé les nouvelles réglementations ePrivacy en arrière-plan. Mais parce que de nouvelles réglementations auraient probablement un impact si important sur l'utilisation des le Big Data et la combinaison de données, cela nécessite une plus grande sensibilisation, d'autant plus que les législateurs ont accru leur investissement dans sa mise à jour.

Tout comme le RGPD a remplacé les lois rédigées en 1995 (l'année où un téléphone à clapet - le Motorola StarTac - a été introduit), le règlement ePrivacy remplacera la directive ePrivacy, qui remonte à 2002 (la première année où le BlackBerry de RIM a intégré un téléphone mobile). Il entrera en vigueur simultanément dans toute l'UE et sera appliqué de la même manière dans tous les États membres de l'UE. Le GDPR est entré en force, mais la réglementation ePrivacy semble s'être glissée discrètement, tandis que l'industrie se concentrait sur la résolution d'autres problèmes urgents liés aux données.

Fondamentalement, la directive actuelle (2002/58/CE (directive ePrivacy)) se concentre sur les services de communication électronique - en particulier, la technologie des cookies. Compte tenu de l'évolution d'autres identifiants de suivi comme les pixels, métadonnées, et d'autres technologies de suivi, nous prévoyons que la loi à venir s'appliquera à tous les services électroniques liés à son utilisation ou à son traitement, à l'utilisation des informations de l'équipement terminal (c'est-à-dire aux cookies et autres technologies modernes) et aux communications de marketing direct destinées aux utilisateurs finaux. Une fois diffusée, une application aussi vaste est susceptible de créer une autre vague d'évaluation de la façon de recadrer, ce qui est la dernière chose dont toute entreprise confrontée au climat d'incertitude actuel a besoin pour recruter des clients et renforcer la confiance des clients. 

In développer une stratégie Pour répondre à ces nouvelles réglementations, les entreprises doivent placer la minimisation des données au premier plan. En termes simples, plus vous stockez de données utilisateur, plus vous risquez de créer des dépenses commerciales plus importantes et d'augmenter les opérations de surveillance réglementaire. Pour que vos données restent conformes, rendez-les gérables. Chaque entreprise doit évaluer comment elle collecte les données des utilisateurs aujourd'hui et les raisons pour lesquelles elle les collecte. Ensuite, l'entreprise doit identifier les données les plus cruciales pour atteindre ces objectifs. C'est le uniquement données que l'entreprise devrait continuer à collecter et à stocker. 

L'un des principes de base guidant GDPR et ePrivacy est que si une entreprise possède des données utilisateur, elle doit conserver ces données en toute sécurité. La sécurité des données et la minimisation des données sont deux objectifs visant à faire respecter ces principes. Et la loi elle-même ne dit pas spécifiquement aux entreprises how ils se conforment, en ce que les lois créent de multiples tests et processus d'équilibrage où une entreprise peut être considérée comme une prise de décision intentionnelle. Mais votre entreprise, et la priorité accordée par la législation à la minimisation des données comme l'un des principes fondamentaux du modus operandi, ainsi que le principe de sécurité des données déjà souligné, peuvent faciliter la mise en conformité d'une organisation, sans parler de la réduction des craintes d'être pénalisé par de lourdes amendes pouvant atteindre 20 millions de livres ou 4 % du chiffre d'affaires annuel mondial. Minimiser et maintenir l'intégrité des données utilisateur n'est pas seulement bon pour les utilisateurs, c'est pratique pour les préoccupations de l'entreprise. 

Ces changements réglementaires surviennent en même temps que l'industrie de la publicité numérique est obligée de réévaluer le marketing, l'industrie adtech/martech et la notion numérique d'identité. Et pour de nombreuses parties prenantes, les finalités de ces deux objectifs peuvent sembler avoir des moyens contradictoires. Il peut sembler que pour résoudre l'identité, avoir autant de données sur vos utilisateurs ou consommateurs réduit vos risques de ciblage et de mesure inexacts. La perspective de minimiser les données peut sembler remettre en cause les stratégies identitaires. Mais ce n'est pas nécessaire - la clé de la minimisation des données est d'identifier les données dont vous savez qu'elles feront le travail. 

Maintenant, si vous pensez : « Je ne collecte pas moi-même les données des utilisateurs, donc tout cela est le problème de quelqu'un d'autre », ne soyez pas si pressé. Les intermédiaires tout au long de la chaîne d'approvisionnement publicitaire doivent être en alerte. Certains intermédiaires se sont relâchés lorsqu'ils ont réalisé que le RGPD était largement dirigé à chaque extrémité de la chaîne, et qu'il n'avait aucun mordant pour faire appliquer la loi au milieu. Nous ne savons pas encore si le règlement ePrivacy sera un règlement pour les fournisseurs qui doivent traiter les données des utilisateurs. Mais compte tenu de la position actuelle du projet sur les données des cookies - selon laquelle les fournisseurs de services dominants doivent fournir une option équivalente d'accès sans cookies (c'est-à-dire qu'ils ne peuvent pas avoir de murs de cookies) - les tendances européennes suggèrent que les futures interprétations de l'utilisation et de l'utilité continueront de se restreindre. Et avec l'abandon rapide des cookies tiers, la dépendance croissante de l'industrie à l'égard des données de première partie - les données nécessaires aux fonctions commerciales essentielles - devient beaucoup plus personnelle et risquée à traiter. 

La minimisation des données est également payante pour une entreprise, car elle réévalue périodiquement la conformité. Il simplifie les processus tels que les DPIA (évaluations d'impact sur la protection des données) et la gouvernance, ainsi que les ressources nécessaires à la sécurité des données. La minimisation des données réduit finalement les coûts, donne aux entreprises plus de liberté dans la façon dont elles allouent les ressources et aide à préserver la réputation de l'entreprise et la bonne volonté des utilisateurs. et de partenaires d'affaires. 

Alors que le règlement ePrivacy se rapproche de l'approbation, l'industrie ne peut pas avoir une autre année 2018, avec toute son incertitude et son anxiété. Les quatre dernières années nous ont montré à quel point les régulateurs de l'UE prennent au sérieux la protection de la vie privée. Les leaders de l'industrie savent que nous devons le prendre au au aussi sérieusement. Nous commençons par nous concentrer sur les données dont nous avons vraiment besoin. Les entreprises ne peuvent pas disposer d'un « fonds pour les jours de pluie » pour les données – en fin de compte, cela augmente le risque commercial plutôt que de le diminuer.