Pour gérer vos consentements :

DMP et combinaison de données

Publié par Céline Avignon Avocate et directrice du département publicité et marketing électronique, cabinet Alain Bensoussan le - mis à jour à

Les entreprises doivent veiller à se mettre en conformité avec les textes relatifs à la protection des données lorsqu'elles développent l'agrégation des données au sein d'une DMP.

L es nouvelles technologies ont permis aux entreprises de collecter toujours plus de données. Toutefois, pendant très longtemps, les données clients étaient exploitées par l'entreprise non pas de manière globale mais par origine. Ainsi , le responsable du site web connaissait ses clients par les données issues de l'activité web, le service client s à travers son outil de gestion des réclamations, le service en charge de la gestion du programme de fidélité par son application back - office. L'exploitation " par silo " ne permettait pas d'avoir une vision unique et 360 du client.

L e principal attrait de la data management platform ( DMP ) est d'agréger toutes les données du client quelle que soit la source en mettant un terme à la vision parcellaire du client pour permettre à l'entreprise d'envoyer le bon message sur le bon canal au bon moment. Pour afficher ce message tant convoité qui touche la cible, la DMP agrège différents types de données et opère notamment des opérations de matching de cookies. Parmi les catégories de données figurent notamment les données CRM (achat), les données comportementales, les données déclaratives, les données sociales, les données sociodémographiques, les données contextuelles, les données de géolocalisation. Par ailleurs, la DMP peut intégrer des données de second ou third party. Sur la base de l'ensemble de ces données, elle va établir des profils ou " look alike " qui vont permettre à l'entreprise de s'adresser à des clients qu'elle ne connaît pas mais qui ont un comportement similaire à celui de certains clients qu'elle a analysé s . Dès lors, tout projet de DMP pose la question de ­ l'exploitation des données et de sa conformité à la loi informatique et libertés. En effet, si souvent les données peuvent être pseudonymisées ou s'il est utilisé une ID pour identifier un même client, il n'en demeure pas moins que les données des DMP demeurent indirectement nominatives. À cet égard, les DMP posent notamment la question du fondement légal des traitements d'agrégation et de combinaison de l'ensemble des données de clients qu'elles rendent ­ possibles ainsi que de l'information de ceux-ci. En effet, au regard de la loi informatique et libertés et , demain , du règlement européen sur la protection des données, un ­ traitement doit disposer d'un fondement légal.

E n effet, par principe, tout traitement de données à caractère personnel doit reposer sur le consentement de la personne sauf exception. En tout état de cause, dans la mesure où les autorités de protection considèrent que l'intérêt poursuivi par un ­ responsable consistant à améliorer son ciblage, bien que légitime, n'est pas d'une impérieuse nécessité comme peut, par exemple, l'être la lutte contre la fraude, les atteintes portées aux intérêts, droits et libertés des personnes devront être d'un niveau très faible. C'est la raison pour laquelle les entreprises auront tout intérêt , pour limiter l'impact des ­ traitements effectués via leur DMP , de mettre en place des moyens renforcés pour octroyer un maximum de ­ pouvoirs aux personnes sur leurs données. À cet effet, il est recommandé aux entreprises de mettre en place une véritable politique d'empowerment visant à donner aux clients du pouvoir et du contrôle sur leurs données, et permettant de se dispenser d'un recueil de consentement.

La rédaction vous recommande