articles-113.jpg

Le Règlement Général sur la Protection des Données (RGPD) – adopté par l’Union Européenne en avril 2016 - est entré en vigueur dans les Etats membres le 25 mai 2018.

Une avancée en matière de protection des données individuelles à caractère personnel (DCP), alors que le digital est de plus en plus présent dans nos vies, et les algorithmes toujours plus performants. Par son activité de mesure d’audience et d’études médias, Médiamétrie est sensibilisée à la protection des données. Le nouveau Règlement européen nécessite d’aller encore plus loin dans ce domaine. Quelles sont les actions entreprises par Médiamétrie ? Quelles sont les spécificités de la mesure d’audience en ce sens ?


3 questions à Arnaud Philippe, Directeur du Département Qualité & Sécurité, Délégué à la Protection des Données

Médiamétrie a nommé un Data Protection Officer (DPO), Arnaud Philippe, en charge de coordonner la gestion et protection des données à caractère personnel.


1. Quel est votre rôle en tant que DPO ?

Mon rôle est d’être le garant de la sécurité et du traitement compatible RGPD de l’ensemble des données personnelles traitées à Médiamétrie. Je suis également l’interlocuteur de la CNIL sur toutes les questions liées au traitement des données personnelles. A Médiamétrie, je suis le contact privilégié de toutes les directions sur ce sujet. De plus, je travaille en étroite collaboration avec le département juridique, et aussi avec la communication car la sensibilisation des collaborateurs est un élément clé de l’application du RGPD. Il s’agit d’une démarche très transversale à laquelle toute l’entreprise est associée : la DSI, la direction des panels, la direction juridique, la Direction Data Science et les Business Units. Ces dernières sont très importantes pour exprimer les attentes clients et les exigences métier.


2. Comment avez-vous abordé la mise en conformité au Règlement ?

La mise en application du RGPD à Médiamétrie a encore renforcé le cadre dans lequel Médiamétrie traite les données personnelles. Cela a représenté un catalyseur pour renforcer la pertinence des process. Le Règlement incite l’entreprise à se poser les bonnes questions sur les besoins en données, la sécurisation, l’anonymisation. Médiamétrie a une politique qualité très aboutie depuis plusieurs années, confirmée par sa certification ISO 9001 ; elle a pu ainsi adopter une démarche de process qu’elle maîtrise parfaitement.

Il y avait déjà à Médiamétrie une forte sensibilité aux DCP. Le RGPD permet de généraliser les pratiques et l’approche à l’ensemble des collaborateurs.


3. Pourquoi est-ce un processus continu ?

L’esprit est très proche de celui d’un système de management au sens ISO du terme. Sans l’exprimer directement, le RGPD se base sur des processus et développe l’esprit d’amélioration continue. Médiamétrie conçoit en permanence de nouveaux produits et services notamment liés aux évolutions technologiques ou méthodologiques, ou aux nouvelles pratiques médias. Ils nous amènent à nous interroger sur les DCP que nous allons traiter. Cela peut être lié à l’apparition de nouveaux équipements par exemple ou à la création de nouveaux algorithmes de traitement des informations. Par conséquent, nos processus doivent en permanence s’adapter pour prendre en compte ces changements tout en continuant de garantir aux individus qui participent à nos mesures d’audience le respect de leur vie privée.

A Médiamétrie, les DCP c’est sacré !

La protection des données, ce n’est pas nouveau à Médiamétrie. Sa mission est d’observer les comportements du public et d’analyser les évolutions des usages des médias. Elle recueille ainsi des DCP de panélistes, interviewés, internautes, qu’il s’agisse de leurs nom, numéro de téléphone, cookie, etc.

Médiamétrie a développé une gestion robuste de ces informations qui repose sur des éléments techniques pilotés par la Direction des Systèmes d’Information et sur des règles de traitement qui assurent une gestion protectrice des DCP qui lui sont confiées.

La protection des données est intégrée à la politique qualité appliquée à Médiamétrie, labellisée ISO 9001 depuis 1998. Dans ce cadre, des processus définissent les conditions de réalisation de l’activité, et notamment la production des études. Dès l’amont, le processus « Manager un projet » permet de garantir la réalisation d’analyses de risques avant même tout traitement de DCP. Les résultats de ces analyses permettent d’optimiser la sécurisation des traitements.

A titre d’exemple, le projet relatif à l’Audimétrie Individuelle Portée a fait l’objet d’une analyse de risques à la fois sur les aspects techniques de la mesure et sur les aspects data de celle-ci afin de garantir la totale confidentialité des données personnelles des panélistes participant.


Une démarche structurée par des process dédiés

Pour se conformer au RGPD, Médiamétrie a pris les devants ! La culture de la protection des données est ancrée dans l’entreprise. Cela fait plus d’un an que des groupes de travail ont été mis en place pour définir et mettre en œuvre les dispositions nécessaires à la mise en conformité des traitements de Médiamétrie aux exigences du RGPD.

Médiamétrie doit assurer la confidentialité et l’intégrité totale des données sur l’ensemble de la chaîne de production de résultats. Son principal objectif est de garantir aux parties prenantes dont elle traite les DCP – panélistes, interviewés, internautes - qu’elles le sont en toute sécurité et en conformité avec les impératifs légaux qui s’imposent.

Concernant les panélistes, rien de nouveau, Médiamétrie a toujours recueilli leur consentement, dans le cadre de conventions signées par les deux parties. Les panélistes sont ainsi informés de l’usage fait de leurs données et s’ils le souhaitent, peuvent à tout moment rompre la convention qui les lie à Médiamétrie. Conformément à la règlementation, ils ont la possibilité d’exercer leurs droits sur les informations que Médiamétrie a rassemblées à leur sujet. De même, les personnes interrogées par téléphone sont également invitées à donner leur accord, après information.

S’agissant des mesures utilisant des cookies, comme la mesure du streaming vidéo par exemple, la conformité au Règlement passe par une action positive de l’internaute : son acceptation ou son refus du dépôt du cookie de mesure d’audience, après affichage du bandeau d’information lors de sa consultation des sites internet.

Les dispositions nécessaires pour répondre aux exigences du Règlement passent par des processus dédiés, construits et mis en œuvre par des collaborateurs sensibilisés aux problématiques « privacy » et par le déploiement d’outils et techniques de protection spécifiques.

Afin d’avoir une vision globale des données traitées, une cartographie transversale des DCP a été réalisée. Cette cartographie permet de savoir exactement où se situent les DCP à chaque étape d'un traitement. De même, un registre des activités de traitement de données a été mis en place, permettant de recenser précisément toutes les actions effectuées.

La démarche RGPD incite Médiamétrie à challenger ses pratiques, notamment celles concernant la durée de conservation des données. Une analyse d’impact a permis d’harmoniser les durées de conservation métiers de l’entreprise.

Pour garantir la sécurité des données traitées, Médiamétrie applique des mesures sur les données elles-mêmes telles que la pseudonymisation ou l’anonymisation. Elle déploie également de nouvelles mesures de protection : notamment, le chiffrement des flux de DCP.

Les droits d’accès internes aux DCP sont limités. Et la sécurisation est maximale pour éviter toute divulgation de données ou intrusion de tiers non autorisés dans les systèmes d’information de Médiamétrie.

Se conformer au RGPD impose de mettre à plat les processus pour réaliser des « Privacy Impact Assessments » (PIA). Il s'agit pour chaque processus d'identifier les risques qui pèsent sur les DCP et d'engager les dispositions qui sont à la portée de l'entreprise. Le chiffrement, par exemple, est l'une d'elles. Plusieurs PIA sont en cours ou déjà réalisés pour des projets comme l’Audimétrie Individuelle Portée, le Datalake, le projet One Next (mesure d’audience de la presse), la mesure d’audience TV 4 Écrans.

Le développement de l’activité Data Business de Médiamétrie, qui consiste à qualifier, valider ou enrichir des bases de données externes à l'aide de données d’audience recueillies par Médiamétrie, est également concerné par des actions spécifiques. Le produit de vérification de données - Data Checking – a fait l’objet d’un PIA.

Enfin, la sécurité des données doit également être garantie chez les sous-traitants de Médiamétrie qui gèrent des DCP en son nom et pour son compte. Ceux-ci sont invités à signer un avenant au contrat existant qui garantit à Médiamétrie – et donc à ses clients - leur engagement à respecter les obligations imposées par le RGPD. Par exemple, un sous-traitant en charge de l’envoi d’emailing aux panélistes et interviewés doit pouvoir présenter des mesures techniques et organisationnelles garantissant la sécurité des DCP, comme le chiffrement de ces données. Des audits sont d'ores et déjà planifiés chez les sous-traitants les plus stratégiques au sens du RGPD.


Le RGPD : tous les collaborateurs sont concernés

La sensibilisation des collaborateurs est centrale pour la mise en conformité de Médiamétrie aux exigences du RGPD.

Si le Data Protection Officer (voir encadré) coordonne les actions de conformité menées par l’ensemble de l’entreprise, tous les services (études, recueil d’information, marketing, informatique, comptabilité...) sont concernés, et la vigilance de chacun est requise concernant les données personnelles.

Certains collaborateurs sont plus particulièrement exposés à ces questions, notamment du fait de leur accès à de nombreuses DCP ou en raison de leur contact direct avec les panélistes et interviewés. Ils bénéficient d’une formation dédiée à leurs problématiques métiers.

Cependant, au quotidien, le RGPD est l'affaire de tous. L'information et la formation des collaborateurs sont donc essentielles. La sensibilisation s’effectue systématiquement auprès de tout nouvel arrivant. Une semaine autour des DCP a été organisée dans l’entreprise début 2018. Des ateliers et newsletters internes sont régulièrement consacrés au sujet et destinés à toutes et tous.


Protéger les données : une approche dans la durée

Quoi qu’il en soit, les travaux continuent après le 25 mai 2018. Les processus d'une entreprise évoluent au fil du temps.

Médiamétrie a mis en place un mode de conception « Security et Privacy by design » pour que chaque nouveau traitement intègre les exigences de conformité au RGPD. Le principe : se poser, dès l'amont, les bonnes questions pour que les processus et outils opérationnels déployés pour un nouveau traitement garantissent la confidentialité, l’intégrité, la disponibilité et la traçabilité de toutes les informations.

Enfin, Médiamétrie reste particulièrement attentive aux travaux législatifs qui auront un impact sur l’ensemble des acteurs du marché. Le règlement e-Privacy en cours de discussion en est un exemple : il vise à poser de nouvelles règles pour la gestion des datas issues de la navigation des internautes et apporter des garanties supplémentaires au citoyen européen concernant le respect de sa vie privée. Il amène le marché des médias à se poser de nouvelles questions sur son modèle économique et son développement numérique. En tant qu’acteur de cet éco-système, Médiamétrie formule des propositions et échange avec ses homologues, partenaires et clients. L’objectif est de travailler sur les leviers de l’indépendance numérique européenne et les facteurs de croissance pour le marché.

Laure OSMANIAN MOLINERO



Plus d’informations ?

Laure OSMANIAN MOLINERO
Mail : laureosmanianmolinero@outlook.com