Protection des données personnelles : l'impact du RGPD sur les projets web

C’est dans ce cadre que le Parlement Européen et le Conseil de l’Union Européenne ont publié, le 27 avril 2016, le nouveau règlement sur la protection des données personnelles.

Mais finalement, au-delà des 99 articles que contient le texte, de quoi parle-t-on ? Quels sont les impacts du RGPD sur les projets web, et surtout, quelles démarches entreprendre ?

Qu’est-ce-que le règlement sur la protection des données (RGPD) ?

Le Règlement Général sur la Protection des Données définit le cadre dans lequel les organisations peuvent traiter les données personnelles. Selon la CNIL, « entre usages accrus du numérique et développement du e-commerce, le contexte juridique s’adapte afin de suivre les évolutions des technologies et de nos sociétés ».

Depuis le 25 mai 2018, l'ensemble des organisations traitant ou stockant des données à caractères personnelles doit être en conformité, sous peine de se voir infliger des amendes. Il s'agit d'un règlement européen (règlement UE 2016/679 du 27 avril 2016) qui se substitue à la loi Informatique et Libertés de 1978. D’application directe, le RGPD ne nécessite donc pas de transposition en droit interne ou de décret d’application.

Le champ d’application du RGPD

Son champ d’application est large puisqu’il concerne :

• Tous traitements de données à caractère personnel (DCP) d'une organisation située dans l’UE ;
• Tous traitements de données à caractère personnel, effectués par toute entreprise ou administration quelle que soit sa localisation, qui portent sur une offre de biens ou de services ou de suivi de comportement de personnes situées dans l’UE.

Cette deuxième condition implique ainsi toutes les organisations, en particulier les entreprises, quelle que soit leur taille, dans la mesure où celles-ci gèrent les données de leurs collaborateurs, mais aussi de leurs clients, notamment par le biais de leur présence en ligne sur les sites de e-commerce ou les réseaux sociaux.

Le RGPD en continuité de la Loi Informatique et Libertés

La logique même de la RGPD n’est pas nouvelle, puisque les principes relatifs aux données à caractère personnel de la loi de 1978 sont présents. Ce règlement européen intervient donc dans la continuité de la Loi française Informatique et Libertés, mais introduit néanmoins des exigences renforcées.

En effet, la loi de 1978 s’attachait essentiellement à garantir un cadre légal pour :

• La collecte loyale et licite des données ;
• L'obligation de déterminer des finalités de traitement qui devaient être explicites et légitimes ;
• La sécurité des données et le droit à l’information, à l’opposition et à l’accès pour les personnes.

Les obligations en matière de protection des données personnelles

Aujourd’hui, le RGPD s'enrichit de nouvelles notions telles que :

• La documentation et la justification de la conformité du traitement : les entreprises qui auparavant devaient rédiger des déclarations ou des demandes d’autorisation à l’autorité de contrôle locale (en France la CNIL), n’auront plus à le faire. Elles auront en revanche l’obligation de tenir un registre des traitements de données permettant d’enregistrer, tout au long de leur cycle de vie, les informations relatives à leur conformité réglementaire et aux mesures de protections mises en œuvre ;
• Le signalement des violations de données à l’autorité de contrôle sous 72 heures, et éventuellement aux personnes concernées en cas de préjudice potentiel ;
• Les concepts de Privacy by design (dès la conception des applications, ces exigences devront être intégrées) et de security by default (la sécurisation par défaut des infrastructures traitant ou collectant des données à caractère personnel) ;
• L’analyse d’impact pour les traitements critiques (évaluation des risques liés aux traitements des données à caractère personnel) ;
• La garantie de nouveaux droits des personnes concernées et le renforcement du droit à l’effacement et à l’oubli.

Finalement, si la loi Informatique et Libertés a permis de poser les bases des principes de protection des données personnelles, l’approche du règlement RGPD est profondément revue. Sa déclinaison opérationnelle se révèle également bien différente.

Quelles sont les données personnelles concernées ?

Quels sont les risques du RGPD ?

L’emballement autour du RGPD vient surtout du fait que ce dernier fait peser de nouveaux risques pour tout éditeur de site et d'application web. Les sanctions financières, qui avant n’excédaient pas les 150 000 euros, deviennent véritablement coercitives. Elles font même peser un risque important sur les entreprises. Le montant des sanctions pour non-respect du RGPD est sans précédent :

• 2 % du CA mondial ou 10 millions d’euros en cas de manquement aux obligations principales ;
• 4 % du CA mondial ou 20 millions d’euros en cas de manquement critique.

À cela s'ajoutent les montants potentiellement liés aux réclamations et aux demandes d’indemnisation en cas d’actions de groupe ou d’actions individuelles. L’autre risque à prendre en compte pour les entreprises concerne leur image. Et pour cause, dans ce nouveau contexte réglementaire, les probabilités d'atteinte à la réputation sont accrues. Il n’est pas impossible de voir émerger une nouvelle forme de cybercriminalité liée au chantage numérique, avec menaces de révélations publiques.

Les impacts du RGPD sur le marketing digital

Le marketing en ligne est l’un des premiers affectés par le règlement sur la protection des données personnelles. Le fondement même du secteur étant la collecte et le traitement des données, toutes les stratégies de communication des entreprises doivent absolument s’adapter à la nouvelle réglementation.

Les modifications associées aux formulaires

Autre élément qui change fondamentalement, et qui se veut essentiel dans la poursuite des actions marketing : les modifications associées au traitement des formulaires et aux modifications explicites des champs. Désormais, 4 éléments doivent être modifiés directement sur le formulaire :

• Un consentement éclairé par finalité. Si vous en avez plusieurs, il convient de toutes les indiquer. Par exemple : « Je souhaite recevoir l’e-book », ou encore « Je donne mon accord pour que mes données soient communiquées à des tiers afin de recevoir des publicités ciblées » ;
  
• Un opt-in obligatoire. Par défaut, la case doit être vide. On bannit donc complètement l’opt-out, contraire aux bonnes pratiques du RGPD;
• Le principe de la minimisation. Collecter et conserver le numéro de téléphone d’un internaute, pour l’invitation à un webinaire par exemple, n'apparaît pas nécessaire dans le cas où elle se fait mail ;
• L'absence de champ libre non obligatoire. Réduisez le plus possible les champs libres, puisque vous ne pouvez pas contrôler les informations qui y seront traitées et insérées par l’utilisateur.
  

Dans l’exemple ci-dessus, vous donnez votre autorisation pour recevoir les newsletters et actualités, les prochaines invitations au webinaire, ainsi que les offres commerciales de l’entreprise.

Les modifications associées à l'emailing

L'envoi de campagnes d'emails commerciaux est aussi soumis au respect de la réglementation de la CNIL. Ses directives sont claires :

• Recueillez le consentement de la liste de tous vos contacts existants et enregistrez la preuve et la traçabilité de ce dernier ;
• Pensez à insérer obligatoirement des opt-in, avec un refus par défaut si la case n’est pas cochée.
• Veillez au respect des délais de conservation des données et instaurez des relances à échéances fréquentes pour conserver ou non la donnée. Attention : l'absence de refus vaut comme un refus de consentement ;
• Pensez enfin à intégrer dans vos e-mails des liens de désinscriptions.

Les modifications associées au CGU / à la politique de confidentialité

La politique de confidentialité et les Conditions générales d’utilisation ont pour but d’assurer une information concise, transparente et compréhensible aux internautes. Quelques grandes pratiques sont à connaître :

• Informez exhaustivement sur l’ensemble des cookies collectés sur votre site ;
• Soyez assez explicite pour être compréhensible. Vous avez le devoir de simplifier l’expression de vos CGU pour les rendre parfaitement intelligibles ;
• Créez l’accès à un lien de demande de portabilité ou de transférabilité de l’ensemble des données et de gestion du consentement des données qui sont stockées dans votre applicatif digital.

À titre d’exemple, la FNAC et Linkedin informent de l’ensemble des cookies activés, la durée de conservation, la ou les finalités, ainsi que la portabilité des données recueillies :

La fin du profilage

Dans l’article 4 du RGPD, le profilage se définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Il s’agit donc d’une technique très utilisée dans le marketing pour analyser les comportements d’un internaute sur la toile, à partir de son historique d’achat ou de son activité sur les médias sociaux.

Désormais, non seulement ce dernier doit être informé de l’existence d’un profilage les concernant, mais il a aussi le droit de s’y opposer. Ainsi, depuis la médiatisation exceptionnelle du RGPD, les organisations se préparent à recevoir un nombre important de lettres d’opposition.

La capacité de tracking et de publicité

Si vous utilisez un outil d’analyse à des fins publicitaires, il faut toujours le préciser. Par le biais du bandeau Cookies, vous devez proposer une option pour la désactivation du tracking analytique. Il convient enfin de déterminer la durée maximale de rétention des données personnelles à 13 mois maximum, conformément au RGPD.

Google Analytics, incompatible selon la CNIL ?

Google Analytics est un outil de mesure et d'analyse d'audience. Dans sa dernière répression de l'utilisation des cookies, la CNIL a constaté que son utilisation par un site français est incompatible avec l'article 44 du RGPD de l'UE, au motif que les transferts de données Google Analytics vers les États-Unis « ne suffisent pas à exclure l'accessibilité de ces données aux services de renseignement américains ».

En effet, malgré la fonction pseudonymisation offerte par l’outil, les données recueillies par certains sites français d’envergure pourraient facilement être recombinées pour identifier individuellement les internautes. Les mesures de protection instaurées par Google Analytics ne sont donc pas suffisantes au regard du règlement.

Notez que cette décision de la CNIL, rendant l'utilisation de Google Analytics illégale, intervient moins d'un mois après que l'Autorité autrichienne de protection des données personnelles ait déterminé que l'usage de Google Analytics contrevenait au RGPD de l'UE. Ainsi, chaque site Web français peut être contrôlé par la CNIL et écoper d’une sanction s’il ne supprime pas l’usage de Google Analytics. Pour en savoir plus, nous conseillons de lire l’article suivant : « Vers la fin de Google Analytics en Europe ».

La CNIL conseille environ une vingtaine d’outils (voir la liste), dispensés du recueil de consentement, qui répondent au RGPD. Deux groupes sont à distinguer :

• Les solutions analytics généralistes qui délivrent un panel complet d’analyses ;
• Les solutions analytics spécialisées (expérience utilisateur, contenus, attribution, personnalisation).

Selon les indicateurs de performance choisis et vos habitudes d’analyse, vous trouverez certainement la solution la plus adaptée à vos besoins. Il est important de vérifier dès aujourd’hui votre conformité, pour envisager une potentielle migration avec un outil Analytics conforme au RGPD. Mais quelles solutions choisir ? Nous vous conseillons de lire également, notre article : « Quelles alternatives à Google Analytics ».

Le RGPD : un sujet complexe mais impératif à traiter

Le RGPD est un règlement encore jeune. Données à caractère personnel, finalité, traitement, risques sur les droits et libertés des personnes, etc. Les notions manipulées sont complexes et sujettes à interprétation en l’absence préliminaire de jurisprudence. Ces notions doivent alors être appréciées dans le contexte précis des métiers des entreprises.

Au-delà de ce constat, une organisation nouvelle et transverse doit être mise en œuvre à l’intérieur et à l’extérieur de l’entreprise. Il faut notamment :

• Attribuer chaque rôle aux différents acteurs impliqués ;
• Désigner le ou les Data Privacy Officer prévu par le règlement. Celui-ci s’affiche en quelque sorte comme un chef d’orchestre de la démarche RGPD au sein de l’entreprise, à la croisée des chemins entre l’expert juridique, le technicien informatique, le chef de projet SI et l’auditeur interne ;
• Parvenir à impliquer tous les acteurs et à trouver la dynamique souhaitée.

Vous l’aurez compris, le règlement pour la protection des données personnelles n’est pas une simple modification de processus, mais un véritable projet de transformation de l’organisation qui exige une cartographie exhaustive de l’ensemble des processus impactés, l’intégration du Privacy by design et du Security by default dans tous les projets importants, et surtout un dépassement des obstacles culturels qui pourraient perdurer.

Face à ces chantiers, la bonne solution peut être de se faire accompagner. Adimeo vous accompagne dans la dans le choix et la mise en place de la meilleure solution Analytics et dans votre mise en conformité RGPD.

Crédit photo : putilich