Ben Mazue

Le nouveau chef de la confidentialité de Californie pourrait faire pression pour des règles sur les identifiants publicitaires basés sur les e-mails

Partager l'article

Alors que la Californie se prépare à rédiger des règles pour appliquer ses lois sur la confidentialité, le processus sera dirigé par un critique du suivi des publicités qui s’est prononcé contre les technologies d’identité basées sur le courrier électronique qui inondent actuellement le marché des technologies publicitaires en remplacement des cookies.

Ashkan Soltani dirigera l’agence chargée de faire appliquer la loi californienne mise à jour sur la confidentialité, la California Privacy Rights Act. Le régulateur se prépare à rédiger des règles pour guider cette application, et ces règles pourraient concerner les nouvelles formes de technologies d’identité que les annonceurs et les éditeurs testent actuellement.

La nomination d’Ashkan Soltani par le [California Privacy Protection Agency] annonce une attention particulière sur l’écosystème des technologies publicitaires.
Dominique Shelton Leipzig, associé du cabinet d’avocats Perkins Coie

Soltani a critiqué les identifiants basés sur les e-mails en mars alors qu’il était encore consultant indépendant en technologie de confidentialité. À l’époque, il a déclaré que les identifiants Digiday qui utilisent les e-mails comme base pour identifier les personnes en ligne sont « plus envahissants pour la vie privée que même les cookies ». Il a fait allusion à la loi californienne sur la protection de la vie privée, ajoutant que « les régulateurs ne toléreront pas » les transferts de données des éditeurs qui incluent des e-mails ou même des e-mails cryptés pour permettre le suivi lorsque les personnes s’en sont désengagées.

« La nomination d’Ashkan Soltani par le [California Privacy Protection Agency] annonce une attention particulière à l’écosystème des technologies publicitaires », a déclaré Dominique Shelton Leipzig, partenaire et coprésident de la pratique de la confidentialité et de la gestion des données des technologies publicitaires au sein du cabinet d’avocats Perkins Coie. « Il paraît que [Soltani] apportera cette perspective à l’ACPP », a-t-elle ajouté.

Soltani, 46 ans, dont les recherches sur la confidentialité des données se sont souvent concentrées sur le suivi des données liées à la publicité numérique, a refusé de commenter cette histoire. Cependant, son expertise pourrait ajouter un niveau de compréhension de l’utilisation des données pour la publicité qui est unique dans les couloirs du gouvernement. En plus d’avoir aidé à rédiger les deux lois californiennes sur la protection de la vie privée, Soltani a été conseiller principal auprès du directeur de la technologie de la Maison Blanche et technologue en chef de la Federal Trade Commission sous l’administration Obama. Plus récemment, il a contribué au lancement de Global Privacy Control, un outil de style Do Not Track basé sur un navigateur qui bloque les trackers publicitaires et a été soutenu par le procureur général de Californie comme étant conforme à la California Privacy Rights Act, qui entrera en vigueur en janvier 2023. .

Mal de tête pour les éditeurs

Les éditeurs sont parmi les principales cibles de vente pour les entreprises vendant des technologies d’identité basées sur le courrier électronique qui cherchent à faire proliférer leurs produits de suivi.

Déjà, les éditeurs numériques sont confrontés à des obstacles techniques lorsqu’il s’agit de mettre en œuvre les identifiants, mais les problèmes de confidentialité et la pression des régulateurs en Californie et ailleurs pourraient créer des obstacles supplémentaires qui pourraient empêcher les éditeurs de les utiliser. Un responsable de l’édition qui s’est exprimé sous couvert d’anonymat a récemment déclaré à Digiday : « Alors que le consentement doit devenir de plus en plus explicite – ce qui est probablement la direction dans laquelle nous allons – je pense que nous allons voir de moins en moins de gens dire « oui ». ‘ à permettre à leur adresse e-mail de modifier réellement ce qu’ils font sur le Web.

Les avocats qui conseillent les éditeurs numériques, les annonceurs et les entreprises de technologie publicitaire affirment qu’il n’y a pas de controverse quant à savoir si les e-mails sont des informations identifiables par rapport aux lois californiennes sur la confidentialité. En effet, les identifiants basés sur les e-mails, même lorsque les e-mails sont hachés pour permettre le cryptage à des fins de confidentialité, sont considérés comme des informations personnelles en vertu à la fois de la California Consumer Privacy Act et de la CPRA qui les subsumeront. Selon les lois, le transfert d’un e-mail à un tiers serait interdit si les personnes ont choisi de ne pas partager ou vendre leurs informations à des fins telles que la publicité ciblée.

Je pense que nous allons voir de moins en moins de gens dire « oui » à autoriser leur adresse e-mail à modifier ce qu’ils font sur le Web.
directeur de l’édition

Mais le diable est dans les détails lorsqu’il s’agit de déterminer si l’utilisation d’un identifiant basé sur le courrier électronique constitue un partage de données ou une vente de données aux yeux des responsables de l’application à d’autres fins.

Parce qu’elles utilisent des e-mails pour reconnaître les personnes qui ont demandé à ne pas partager leurs données, certaines technologies publicitaires nécessitent une adresse e-mail pour activer les préférences de confidentialité des personnes. À l’heure actuelle, par exemple, les éditeurs partagent des e-mails et des identifiants basés sur des e-mails dans des environnements de données dits de salle blanche, qui sont configurés pour garantir la sécurité des données et la confidentialité des utilisateurs pour les accords publicitaires du marché privé entre certains éditeurs et annonceurs. Pourtant, les exigences de la Californie ne sont pas tout à fait claires en ce qui concerne la manière dont les éditeurs peuvent utiliser les e-mails dans ces paramètres de salle blanche pour empêcher le ciblage des personnes qui se sont désengagées, a déclaré Alysa Hutnik, associée et présidente de la pratique de confidentialité et de sécurité du cabinet d’avocats Kelley Drye. et Warren.

De nouvelles règles à venir ?

« J’ai vu des entreprises travailler sur le plan opérationnel, ‘Comment supprimons-nous [email used as identifiers] du futur [data] ventes », a déclaré Hutnik, ajoutant que les technologies utilisées par les entreprises pour gérer les choix de confidentialité des personnes devront prendre en charge une variété de méthodes de suivi, y compris les identifiants basés sur les e-mails, et pas seulement les cookies.

Il reste à voir si l’agence d’État dirigée par Soltani élaborera des règles concernant spécifiquement les traqueurs d’identité basés sur le courrier électronique. Cependant, dans le cadre de son processus d’élaboration de règles, l’agence sollicite actuellement des commentaires pour aider à éclairer les réglementations, en demandant aux parties prenantes de l’industrie de donner leur avis sur des questions telles que la définition de la loi pour « identifiant unique ».

En vertu de la CCPA et de la CPRA, les informations personnelles incluent déjà les e-mails, et les identifiants uniques constituent un sous-ensemble d’informations personnelles conformément aux deux lois. Bien que la définition actuelle d’un « identifiant unique » en vertu des deux lois ne fasse pas spécifiquement référence aux e-mails ou aux e-mails hachés, une définition mise à jour ou une nouvelle règle pourrait traiter plus directement de l’utilisation de ces pseudonymes persistants dans les technologies d’identité.

« Ce sera vraiment intéressant, ce processus d’élaboration de règles », a déclaré Hutnik. L’application de règles « a un effet sur la nature et la manière dont les identifiants sont utilisés, qui peuvent être partagés ou non ».

Correction : cette histoire indiquait à l’origine à tort que la définition actuelle d’un identifiant unique en vertu de la CCPA et de la CPRA n’inclut pas les adresses e-mail.

Les derniers articles