Mesure d’audience et études médias : protéger les données personnelles

Audience le mag
Médiamétrie poursuit une démarche d’amélioration continue pour piloter la sécurité et la protection des données individuelles
Image
Mesure d’audience et études médias : renforcer la sécurité et protéger les données personnelles

Temps de lecture : 6 min 26 s

Médiamétrie est LE tiers de confiance neutre et indépendant de l'écosystème médias et digital. Deux axes essentiels de cette confiance portent sur la protection des données individuelles et la sécurité des informations. Les données d’audience et d’enquête exigent la plus grande vigilance de la part de Médiamétrie. Au-delà de la mise en place de la conformité au RGPD il y a 3 ans, Médiamétrie poursuit une démarche d’amélioration continue pour piloter la sécurité et la protection des données individuelles, notamment à travers la mise en place d’une organisation et de processus partagés. Quelles sont les actions entreprises par Médiamétrie ? Quelles sont les spécificités de la mesure d’audience en ce sens ?

Une attention particulière portée aux données personnelles

Médiamétrie est le seul acteur à donner une vision consolidée et précise de la consommation média. Elle recueille pour cela des Données à Caractère Personnel (DCP) de panélistes, interviewés, internautes, qu’il s’agisse de leurs nom, numéro de téléphone, cookie, etc. Aussi, la protection de l’ensemble de ces informations et leur traitement en conformité avec la législation s’inscrivent-ils pleinement dans les valeurs de Confiance et de Transparence portées par l’entreprise.

Médiamétrie a développé une gestion robuste de ces informations qui repose sur des éléments techniques pilotés par la Direction des Systèmes d’Information et sur des règles de traitement qui assurent une gestion protectrice des DCP qui lui sont confiées.

Une démarche structurée par des process dédiés

Médiamétrie doit assurer la confidentialité et l’intégrité totale des données sur l’ensemble de la chaîne de production de résultats. Son principal objectif est de garantir aux parties prenantes dont elle traite les DCP – panélistes, interviewés, internautes, collaborateurs, clients et fournisseurs - qu’elles le sont en toute sécurité et en conformité avec les impératifs légaux qui s’imposent.

Concernant les panélistes, Médiamétrie recueille systématiquement leur consentement dans le cadre de conventions signées par les deux parties. Les panélistes sont ainsi informés de l’usage fait de leurs données et s’ils le souhaitent, peuvent à tout moment rompre la convention qui les lie à Médiamétrie. Conformément à la règlementation, ils ont la possibilité d’exercer leurs droits sur les informations que Médiamétrie a rassemblées à leur sujet. De même, les personnes interrogées par téléphone sont également invitées à donner leur accord, après information.

S’agissant des mesures utilisant des cookies ou traceurs, comme la mesure du streaming vidéo par exemple, la conformité à la règlementation passe par une action positive de l’internaute : son acceptation ou son refus du dépôt du cookie de mesure d’audience, après affichage du bandeau d’information lors de sa consultation des sites internet.

Les dispositions nécessaires pour répondre aux exigences du Règlement Général sur la Protection des Données passent par des processus dédiés, construits et mis en œuvre par des collaborateurs sensibilisés aux problématiques « privacy » et par le déploiement d’outils et techniques de protection spécifiques.

Afin d’avoir une vision globale des données traitées, une cartographie transversale des DCP permet de savoir exactement où se situent ces données à chaque étape d'un traitement. De même, un registre des activités de traitement de données recense précisément toutes les actions effectuées. Les durées de conservation des données sont définies proportionnellement aux objectifs du traitement réalisé.

Pour garantir la sécurité des données traitées, Médiamétrie applique des mesures sur les données elles-mêmes, telles que la minimisation des données, leur pseudonymisation ou leur anonymisation. Elle déploie également des mesures techniques de protection : notamment, le chiffrement des flux de DCP.

Les droits d’accès internes aux DCP sont limités. Et la sécurisation est maximale pour éviter toute divulgation de données ou intrusion de tiers non autorisés dans les systèmes d’information de Médiamétrie.

Médiamétrie réalise des « Privacy Impact Assessments » (PIA). Il s'agit pour chaque processus d'identifier les risques qui pèsent sur les DCP et d'engager les dispositions qui sont à la portée de l'entreprise. Le chiffrement, par exemple, est l'une d'elles.

Enfin, la sécurité des données doit également être garantie chez les sous-traitants de Médiamétrie qui gèrent des DCP en son nom et pour son compte. Leurs engagements en la matière sont formalisés de façon contractuelle, des plans d’assurance sécurité sont annexés au contrat et des audits spécifiques sont conduits par Médiamétrie pour s’assurer du respect des obligations.

La sensibilisation des collaborateurs est centrale pour la conformité de Médiamétrie aux exigences légales et règlementaires. Arnaud Philippe, Directeur du Département Qualité & Sécurité, Délégué à la Protection des Données de Médiamétrie, coordonne les actions de conformité menées par l’ensemble de l’entreprise : « Mon rôle est d’être le garant de la sécurité et du traitement compatible RGPD de l’ensemble des données personnelles traitées à Médiamétrie. Je suis également l’interlocuteur de la CNIL sur toutes questions liées au traitement des données personnelles. A Médiamétrie, je suis le contact privilégié de toutes les directions sur ce sujet. »

Tous les services (études, recueil d’information, marketing, informatique, comptabilité...) sont concernés, et la vigilance de chacun est requise concernant les données personnelles. Les collaborateurs particulièrement exposés à ces questions, notamment du fait de leur accès à de nombreuses DCP ou en raison de leur contact direct avec les panélistes et interviewés, bénéficient d’une formation dédiée à leurs problématiques métiers.

Cependant, au quotidien, la Privacy est l'affaire de tous. L'information et la formation des collaborateurs sont donc essentielles. « Je travaille en étroite collaboration avec le département juridique d’une part, et aussi avec la communication et la Direction des Ressources Humaines car la sensibilisation des collaborateurs est un élément clé de l’application du RGPD. Il s’agit d’une démarche très transversale à laquelle toute l’entreprise est associée : la DSI, la direction des panels, la direction juridique, et les entités marketing et commerciales. Ces dernières sont très importantes pour exprimer les attentes clients et les exigences métier », précise Arnaud Philippe.

Security and privacy by design

Médiamétrie a initié la mise en place d’une organisation et de processus partagés permettant de piloter un haut niveau de sécurité. Les objectifs portent sur l’accroissement de la maturité et du niveau de sécurité à Médiamétrie et chez ses partenaires et le respect du RGPD.

Frédéric Bertin, Responsable de la Sécurité des Systèmes d’Information de Médiamétrie, indique : « La pierre angulaire de cette démarche est le privacy by design, une approche qui consiste à embarquer les sujets de sécurité et privacy dès la conception des projets et solutions. »

Le principe consiste à s’assurer que les processus et outils opérationnels déployés pour un nouveau traitement garantissent la confidentialité, l’intégrité, la disponibilité et la traçabilité de toutes les informations.

Dès l’amont, les Chefs de Projet appliquent les principes du « Security & Privacy By Design » dans le cadre du déploiement des méthodes de conception Agile à l’échelle de l’entreprise. Au travers des analyses de risques réalisées avant même l’application de tout process sur les DCP, Médiamétrie cherche à optimiser la sécurisation des traitements. L’objectif est de garantir la continuité et la reprise d’activité en cas d’incident.

A titre d’exemple, le projet relatif à l’Audimétrie Individuelle Portée a fait l’objet d’une analyse de risques à la fois sur les aspects techniques de la mesure et sur les aspects data de celle-ci afin de garantir la totale confidentialité des données personnelles des panélistes participant.

La certification pour le renforcement de la sécurité et la protection des données

La protection des données est intégrée à la politique qualité mise en œuvre à Médiamétrie, labellisée ISO 9001 depuis 1998. Dans ce cadre, des processus définissent les conditions de réalisation de l’activité, et notamment la production des études. Pour aller plus loin, Médiamétrie a entamé une démarche de certification ISO 27001 – portant sur un système de management de la sécurité de l’information - et ISO 27701, son prolongement sur la protection des données.

Frédéric Bertin précise : « Le principe porte sur la construction de processus et d’une organisation sur lesquels s’appuyer pour piloter l’ensemble de la sécurité de Médiamétrie, dans une démarche d’amélioration continue. »

Compte tenu de l’enjeu, le périmètre défini pour la certification est la gestion des panels.

La certification ISO 27001 requiert la construction d’un système de management de la sécurité de l’information (SMSI). Un tel système est tout d’abord défini par des processus et procédures pour la gestion du risque et l’amélioration de la sécurité, puis mis en œuvre, contrôlé et évalué par rapport aux objectifs définis et enfin, il fait l’objet d’actions correctives ou d’amélioration. Des méthodologies d’analyses des risques sont appliquées.

La certification ISO 27701 est une extension de la 27001 qui porte sur un système de management et de protection de la vie privée. Elle décrit les mesures de sécurité à mettre en place pour le traitement des données à caractère personnel (DCP).

Cette démarche de pilotage de la sécurité au sein d’un système unique est un projet d’entreprise que Médiamétrie prévoit d’aboutir en 2023 avec l’obtention de la certification.

Protéger les données : une approche dans la durée

Enfin, Médiamétrie reste particulièrement attentive aux travaux législatifs qui auront un impact sur l’ensemble des acteurs du marché. Le règlement e-Privacy en cours de discussion en est un exemple : il vise à poser de nouvelles règles pour la gestion des datas issues de la navigation des internautes et apporter des garanties supplémentaires au citoyen européen concernant le respect de sa vie privée. Il amène le marché des médias à se poser de nouvelles questions sur son modèle économique et son développement. En tant qu’acteur de cet éco-système, Médiamétrie formule des propositions et échange avec ses homologues, partenaires et clients. L’objectif est de travailler sur les leviers de l’indépendance numérique européenne et les facteurs de croissance pour le marché.

Laure Osmanian Molinero

En complément
Résultats & Repères
Innovations
Nous connaître
Expertises
Solutions
×
Dictionnaire
Les mots
des médias
Nouvelle
édition
+500
définitions
A
B
C
D
E
F
G
H
I