Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Dans un souci de transparence, vous trouverez ici les démarches entreprises par Kwanko pour se conformer à ce nouveau règlement.

Registre des traitements

Kwanko a monté un groupe de stakeholders afin de réaliser un audit de l’ensemble des Données à Caractères Personnels (DCP) traitées dans le cadre de son activité.

La cartographie est constituée d’un fichier avec pour chaque DCP, les renseignements suivants:

  • Qui? Qui sont le Responsable de Traitement (RT) et le Sous-Traitant (ST)?
  • Où? Où est stockée la donnée?
  • Pourquoi? Quelle est la ou quelles sont les finalités de traitement?
  • Quelle base légale? Quelle est la base légale de traitement?
  • Quand? Jusqu’à quand est conservée la donnée?

A titre d’exemple, la cartographie a passé en revue les aspects suivants : le tracking par cookie, le tracking d’évènements (vente, lead…), notre technologie de PartnerTag, notre outil de déduplication de bases d’emails ainsi que toutes nos offres de génération de leads.

A chaque fois la détermination du rôle de Kwanko ainsi que l’évaluation des bases juridiques sur lesquelles repose le traitement, a fait l’objet d’une attention particulière.

Cette cartographie a permis la rédaction de notre Registre des traitements.

Sensibilisation et Formation

Kwanko a construit des modules de formation via son un outil interne afin de sensibiliser l’ensemble de ses collaborateurs au RGPD.

Ces modules interactifs peuvent être complétés dans le temps lorsque cela sera nécessaire.

Par ailleurs Kwanko a revu ses procédures internes afin de s’assurer de la confidentialité avec laquelle sont traitées l’ensemble des DCP en son sein.

Enfin, Kwanko a revu son règlement intérieur.

Relations partenaires

Kwanko a revu ses Conditions Générales d’Utilisation affiliés et ses Conditions Générales de Vente annonceurs au regard du RGPD.

Kwanko a rédigé un Avenant à la Protection des Données (APD) à destination de ses annonceurs, notamment afin de les sensibiliser à leur rôle de Responsable de Traitement.

Kwanko a également rendu public pour ces partenaires les documents suivants : Registre des traitements, Inventaire des cookies, Politique de sécurité, Politique de confidentialité, Conditions Générales d’Utilisation pour l’email marketing.

Nomination du DPO

Nous avons nommé un DPO, contactable à l’adresse suivante: gdpr@kwanko.com

Implication au sein de notre industrie

Kwanko est actif au sein de son syndicat professionnel en France (CPA) où nous avons travaillé en étroite collaboration avec nos pairs. Nous avons publié le résultat de nos travaux que vous pouvez trouver ici.

Règlement E-Privacy

Kwanko reste dans l’attente de la version définitive du règlement ePrivacy (notamment sur tout ce qui concerne les données de navigation).

Kwanko a l’ambition de créer un lien de confiance sur le long terme avec ses clients. Le nouveau Règlement Général sur la Protection des Données est une opportunité que Kwanko a saisie pour faire preuve 1/ de totale transparence auprès de ces clients, 2/ d’aide proactive pour accompagner ses clients dans ce nouveau cadre juridique.

D’abord, n’oublions pas que l’objectif du RGPD est d’offrir une meilleure expérience et davantage de confiance aux utilisateurs qui sont vos clients, et qui vous permettre vous, comme nous d’exercer notre activité. Davantage de confiance des utilisateurs dans l’écosystème de la publicité digitale ne peut être que bénéfique à tous.

Dans le cadre du RGPD, la position que Kwanko a choisi vis-à-vis de ces clients, est celle de Sous-Traitant (ST), laissant le rôle de Responsable de Traitement (RT) au client, afin de lui laisser l’entière liberté de définir les moyens et finalités de traitement que Kwanko réalise pour son compte.

A date de juillet 2018, dernière mise-à-jour de cette publication, nous ne nous prononçons pas encore sur l’impact de la future directive e-Privacy. Nous suivons les avancées sur le texte, mais attendons les versions définitives (qui pourront différer selon les pays de l’UE) .

Impact du RGPD sur les différents types de campagnes

Pour les campagnes de type CPM ou CPC, le RGPD n’a pas d’impact particulier aucune Donnée à Caractère Personnel (DCP) étant en jeu. C’est davantage l’e-Privacy, et les règles de consentement sur l’utilisation des cookies, qui impactera ce type de campagne.

Pour les campagnes de type CPL, le rôle de Kwanko, en tant que sous-traitant et en fonction des moyens et des finalités définis par le client, est de collecter, stocker, transmettre et/ou traquer un lead pour le client.

Plus de détail sur les leviers marketing au CPL:

Pour les campagnes d’emailing

  • Sélection des affiliés propriétaires de bases d’emails
    • En France, nous travaillons uniquement avec des emailers qui ont adhéré à la dernière version en date de la “Charte de qualité emailing” du CPA (le syndicat des professionnels du marketing à la performance).
    • Pour les emailers internationaux, nous avons collecté leur engagement de conformité aux lois en vigueur dans leurs pays via un document d’auto-certification.
    • Notre politique et recommandations quant au consentement :
      • L’emailer s’engage à obtenir le consentement de l’utilisateur à la réception d’offres commerciales de manière libre, spécifique, éclairé et univoque, ainsi que d’apporter la preuve du consentement (lien de la page de collecte, ainsi que la date, l’horaire, et l’adresse IP concernée).
      • Le consentement d’un utilisateur à la réception d’offres commerciales envoyés par l’Emailer pour son propre compte ou pour le compte d’annonceur est considéré comme un “opt-in prospection” ou “opt-in partenaire”.
  • Les bonnes pratiques que nous vérifions lors de l’envoi d’une campagne d’emailing
    • L’email doit toujours mentionner la raison social de l’emailer ainsi que, de préférence, un email ou une adresse de contact de l’emailer.
    • Un email doit toujours avoir une possibilité de réponse. Les expéditeurs de types noreply@ et similaires, ne sont pas autorisés.
    • Un utilisateur doit toujours avoir la possibilité de se désinscrire facilement.
    • Le design de l’email ne doit pas induire en erreur sur le message, ni sur l’identité de son promoteur.
  • Si la landing page (LP) est hébergée par Kwanko
    Lorsque la LP est hébergée par Kwanko, Kwanko réalise les opérations de collecte, de stockage et de transfert du lead à l’annonceur. Le transfert du lead à l’annonceur est réalisé par API ou serveur FTP, dans un cadre sécurisé.
    Kwanko est sous-traitant, et le client est responsable de traitement du lead. C’est l’annonceur qui défini la phrase de collecte du consentement qui sera présente sur la LP.
  • Si la landing page est hébergée par le client
    Lorsque la LP est hébergée par le client, le rôle de Kwanko est simplement de tracker les leads collectés par LP qui viennent de son réseau. Kwanko réalise simplement l’opération de collecte et de stockage, pour une finalité légale, d’un identifiant unique de vente (argann).
  • Cas de la déduplication
    La finalité d’une opération de déduplication est d’exclure les clients actuelles d’opérations d’acquisition ou de maîtriser la pression publicitaire en demandant une déduplication inter-affiliés avec la BDD de l’annonceur.
    Pour cela le client transfère sa liste d’emails à exclure, dit “blackliste”. Le transfert de la blackliste du client à Kwanko se fait par serveur SFTP sécurisé. Ensuite la déduplication est réalisée directement chez Kwanko (via un outil dédié) afin que l’emailer récupère sa base dédupliquée sans jamais avoir eu possession de la blackliste du client.

Pour les campagnes de co-registration et emulation

Dans les campagnes de co-registration ou d’émulation, les leads sont collectés par l’affilié, pour le compte du client. La collecte du consentement est donc de la responsabilité de l’affilié.
Le rôle de Kwanko, en tant que sous-traitant, est d’organiser le transfert du lead de l’affilié au client dans un environnement sécurisé. Par ailleurs, Kwanko collecte et stock le lead comme preuve unique de vente du lead.
Le transfert de l’affilié au client est réalisé soit par API/Webservice soit par SFTP.

Pour les campagnes de clic-lead

La règle à respecter dans le cas des campagnes dit de clic-lead est la suivante :

  • Dans le kit mail, le consentement à participer à l’opération doit spécifiquement être séparé du consentement à recevoir une newsletter (ou emails promotionnels de partenaires commerciaux), offrant ainsi le choix à l’utilisateur entre :
    • Choix 1 : participer à l’opération et recevoir la newsletter (ou emails promotionnels des partenaires commerciaux) du l’annonceur
    • Choix 2 : simplement participer à l’opération

Pour les campagnes de type CPA, le rôle de Kwanko est de traquer les évènements, afin de réconcilier une action à une publicité diffusée sur son réseau d’affilié. Ces moyens de tracking peuvent faire intervenir différentes types de données à caractère personnel comme un email, ou une adresse IP. Par ailleurs Kwanko se doit de conserver un identifiant unique de vente (argann) qui a une valeur légale. Cet identifiant peut être une Donnée à Caractère Personnel (DCP); Kwanko n’en fait aucun autre traitement que la collecte et le stockage dans la finalité de respecter ses obligations contractuels, légales et fiscales.

Pour les campagnes de retargeting, Kwanko utilise son PartnerTag qui permet à son réseau d’affiliés d’accéder au contenu des pages visitées par l’utilisateur afin de le retargeter. Kwanko n’a jamais accès à ces informations, donc a fortiori de collecte ni ne stocke aucune de ces informations (les données vont directement du navigateur de l’utilisateur aux affiliés).
Nous sommes en attente de la version finale du futur règlement e-Privacy, qui encadrent les techniques de retargeting par cookie en rendant obligatoire la récolte du consentement, afin de mesurer les impacts potentiels sur ce type de campagne.

En tant qu’affilié au réseau Kwanko, nous vous considérons avant tout comme des partenaires. Voici pourquoi nous pensons qu’ensemble, le RGPD peut devenir davantage une opportunité qu’un inconvénient.

D’abord n’oublions pas que l’objectif principal du RGPD est d’offrir une meilleure expérience utilisateur et davantage de confiance aux utilisateurs qui, au final, nous permettent vous, comme nous, d’exercer notre activité. Nous pensons que si, au bout du compte, les utilisateurs ont davantage confiance dans les éditeurs et les annonceurs sur l’Internet, cela sera bénéfique pour notre activité.

En étant davantage précis et transparent, nous irons ensemble vers la conformité.

3 exemples concrets :

  1. Le RGPD nécessite une base légale pour le traitement. En d’autres termes, vous avez besoin d’une raison légale pour utiliser les données d’un utilisateur, comme le consentement ou l’intérêt légitime. S’assurer d’avoir une base légale permettra d’avoir des utilisateurs/visiteurs plus engagés. Tout effort de transparence, en terme d’information facilement accessible, que vous apporterez à vos utilisateurs se traduira par de la confiance, et on espère, au final par de la performance.
  2. Le RGPD comporte des règles spécifiques permettant à vos utilisateurs de spécifier exactement ce qu’ils veulent recevoir de votre part. Cela est tout à fait logique d’un point de vue commercial. Ne pas envoyer de messages à des contacts qui ne veulent pas en recevoir, et s’assurer que ceux qui acceptent, choisissent le type de message à recevoir, entraînera moins de désinscriptions et une meilleure déliverabilité.
  3. Le RGPD exige une transparence accrue autour de la collecte et du traitement des données. Dans le langage juridique, c’est le «droit d’accès», de «portabilité» et le “droit d’être oublié”. Ce qui signifie que vos contacts peuvent demander une copie de leurs données dans un format commun, et/ou demander à être supprimés de votre base de données. De nouveau, le lien entre transparence, confiance, engagement de vos utilisateurs/visiteurs et performance est ici clair.
Impact RGPD Ce que cela implique Ce que Kwanko fait à ce propos
Définition des rôles Les affiliés sont Responsables de Traitement des données collectées et transmises à Kwanko ou ses annonceurs. Cela signifie que les affiliés sont responsables de la base légale du traitement de chaque DCP transmises à Kwanko, qu’elle qu’en soit la forme (Argsite, Email, Téléphone…). Kwanko est le Sous-Traitant de ces DCP en tant que fournisseur de moyens techniques. Kwanko a revu ses Conditions Générales d’Utilisation et apporte son aide aux affiliés, notamment à travers ce tableau explicatif.
Consentement Les affiliés, en tant que Responsable de Traitement, ont le devoir de recueillir le consentement des utilisateurs, pour chaque finalité suivi et selon les règles définies par le RGPD. Kwanko a revu ses Conditions Générales d’Utilisation et apporte son aide aux affiliés, notamment à travers ce tableau explicatif.
 Minimisation Conjointement, l’affilié et Kwanko, s’engagent à ne collecter, stocker et traiter uniquement les DCP nécessaires à la finalité poursuivie, et à conserver les DCP uniquement la durée minimum nécessaire à la finalité poursuivie. Kwanko a passé en revue l’ensemble des ses DCP à l’occasion de la cartographie et a déterminé pour chacune la durée maximum de conservation.
Droit des utilisateurs Conjointement, l’affilié et Kwanko, s’engagent à offrir le droit d’accès, de portabilité et d’être oublié aux utilisateurs qui en feraient la demande. Aussi, à faciliter la réalisation de cette demande. Kwanko va simplifier le processus de demande de d’accès, modification et suppression de données sur un utilisateur.
 Sécurité Conjointement, l’affilié et Kwanko, s’engagent à offrir un cadre sécurisé à l’ensemble de la collecte, transmission et stockage des DCP traitées.

Exemple : la pseudonymisation en hash MD5 favorise la sécurité de transfert d’une DCP, (comme par exemple un email).

Kwanko va mettre en place des procédures internes ainsi que sensibiliser ses salariés à ce propos.

Kwanko rédige sa Politique de Sécurité.

Pour avoir accès, modifier, supprimer ou porter des données à caractères personnel que l’on pourrait avoir sur vous, merci de faire la demande via le formulaire ci-dessous :

Top