Le retail media (ou publicité retail) désigne une forme de publicité numérique de produits et de services au sein des plateformes de vente au détail en ligne tels que les sites de e-commerce et marketplaces.
Les plateformes en ligne comme Amazon offrent des espaces publicitaires sur leurs plateformes où les marques peuvent promouvoir leurs produits et services auprès des consommateurs.
Pourquoi le retail media implique-il le traitement de données personnelles ?
Les publicités fournies par les plateformes de retail media sont personnalisées en fonction du profil des consommateurs. À cet égard, ces plateformes collectent des volumes de données personnelles considérables, relatifs aux comportements d’achat et préférences des consommateurs (Par exemple : historique d’achat, recherches effectuées, produits consultés, évaluations, commentaires, etc.) afin de proposer des publicités personnalisées.
Quels sont les enjeux du retail media en matière de données personnelles ?
1/ Collecte et utilisation des données
Les plateformes de retail media ont l’obligation de recueillir un consentement explicite des utilisateurs avant de collecter et d’utiliser leurs données personnelles à des fins publicitaires. En effet, les données personnelles sont traitées afin de proposer des publicités personnalisées aux utilisateurs. Le traitement de ces données nécessite de se fonder sur la base légale du consentement de l’utilisateur, ce dernier pouvant accepter ou refuser librement que ses données soient collectées et traitées aux fins de la publicité personnalisée.
2/ Personnalisation des publicités
La personnalisation des publicités dépend étroitement des données collectées. A cet effet, les plateformes doivent pondérer un équilibre entre la personnalisation des publicités et le respect de la vie privée des consommateurs. Elles doivent créer un lien de confiance avec les consommateurs à travers leur obligation de transparence et d’information. Cette obligation doit permettre aux utilisateurs de gérer leurs préférences en matière de publicité, de détenir des informations sur la collecte, l’utilisation, et le partage de leurs données personnelles avec d’éventuels tiers et de pouvoir faire valoir leurs droits. Pour informer de manière éclairée les personnes, il est essentiel pour la plateforme d’intégrer des informations relatives aux modalités de retail media au sein de la politique de confidentialité, sous le formulaire de recueil du consentement ou de tout autre document.
Les plateformes devront aussi prendre en compte une forme de « legal design », avec pour objectif de rendre le droit accessible et en produisant une information juridique intelligible pour l’utilisateur final.
3/ Droit des personnes : Les obligations des plateformes
Les plateformes ont aussi l’obligation de répondre aux demandes d’exercice des droits des personnes (effacement, accès, opposition, rectification etc.) et permettre à ces personnes d’exercer leur droit de retrait du consentement. Afin de faire valoir l’ensemble de ces droits, les plateformes doivent mettre en place des dispositifs spécifiques.
4/ Analyse d’impact sur la protection des données (AIPD/PIA)
Le retail média est généralement implémenté sur des plateformes e-commerce particulièrement fréquentées, dont le trafic est important (par exemple sur Amazon). En ce sens, une analyse d’impact sur la protection des données (AIPD/PIA) devra être envisagée à chaque fois qu’elle est obligatoire puisque le retail média représente des traitements de données personnelles importants : (importance de la quantité d’utilisateurs visés, de la variété et du nombre de données collectées et traitées, régularité de la collecte et traitement massif de données personnelles).
5/Déduction d’habitudes de vies des personnes concernées
Une AIPD/PIA peut être d’autant plus nécessaire à mettre en œuvre dès lors que certaines publicités pourraient induire la déduction d’habitudes de vies des personnes concernées, y compris des données sensibles telles que la religion, l’appartenance sexuelle ou l’appartenance politique, etc. Par exemple, des publicités qui proposent à l’achat des textes religieux, des livres de partis politiques, peuvent mener à la déduction de données sensibles.
Retail Media : Le responsable de traitement et AIPD
Le responsable de traitement pourra utiliser les critères proposés par le CEPD au sein de ses lignes directrices relatives aux AIPD, afin de déterminer si une opération de traitement nécessite une analyse d’impact (par exemple : le traitement de données est-il à grande échelle ? Y-a-il un traitement de données sensibles ? Des données peuvent-elles concerner des personnes vulnérables ? Y-a-il des prises de décisions automatisées avec effet juridique etc.).
Dans la mesure où l’AIPD est nécessaire, le responsable de traitement pourra s’appuyer sur les critères d’acceptabilité d’une AIPD également fournis par le CEPD : le responsable de traitement devra alors établir une description systématique du traitement, une évaluation de la nécessité et proportionnalité, les risques pour les droits et libertés des personnes concernées sont gérés, que les parties intéressées sont impliquées.
