Découvrez nos offres pour faire du digital le levier de votre croissance !
Téléchargez le Guide Ultime de gestion de projet digitale pour vous aider à piloter vos transformations et faire les bons choix !
C’est dans ce cadre que le Parlement Européen et le Conseil de l’Union Européenne ont publié, le 27 avril 2016, le nouveau règlement sur la protection des données personnelles.
Mais finalement, au-delà des 99 articles que contient le texte, de quoi parle-t-on ? Quels sont les impacts du RGPD sur les projets web, et surtout, quelles démarches entreprendre ?
Le Règlement Général sur la Protection des Données définit le cadre dans lequel les organisations peuvent traiter les données personnelles. Selon la CNIL, « entre usages accrus du numérique et développement du e-commerce, le contexte juridique s’adapte afin de suivre les évolutions des technologies et de nos sociétés ».
Depuis le 25 mai 2018, l'ensemble des organisations traitant ou stockant des données à caractères personnelles doit être en conformité, sous peine de se voir infliger des amendes. Il s'agit d'un règlement européen (règlement UE 2016/679 du 27 avril 2016) qui se substitue à la loi Informatique et Libertés de 1978. D’application directe, le RGPD ne nécessite donc pas de transposition en droit interne ou de décret d’application.
Son champ d’application est large puisqu’il concerne :
Cette deuxième condition implique ainsi toutes les organisations, en particulier les entreprises, quelle que soit leur taille, dans la mesure où celles-ci gèrent les données de leurs collaborateurs, mais aussi de leurs clients, notamment par le biais de leur présence en ligne sur les sites de e-commerce ou les réseaux sociaux.
La logique même de la RGPD n’est pas nouvelle, puisque les principes relatifs aux données à caractère personnel de la loi de 1978 sont présents. Ce règlement européen intervient donc dans la continuité de la Loi française Informatique et Libertés, mais introduit néanmoins des exigences renforcées.
En effet, la loi de 1978 s’attachait essentiellement à garantir un cadre légal pour :
Aujourd’hui, le RGPD s'enrichit de nouvelles notions telles que :
Finalement, si la loi Informatique et Libertés a permis de poser les bases des principes de protection des données personnelles, l’approche du règlement RGPD est profondément revue. Sa déclinaison opérationnelle se révèle également bien différente.
Données internes | Données clients | Données sensibles |
Registre du travail | Données nominatives | Origines raciales |
Contrat de travail | Coordonnées | Orientations sexuelles |
Messagerie électronique | CSP | Opinions politiques |
Taux d'imposition (à partir de 2019) | Historique d'achat | Données médicales |
Convictions religieuses |
L’emballement autour du RGPD vient surtout du fait que ce dernier fait peser de nouveaux risques pour tout éditeur de site et d'application web. Les sanctions financières, qui avant n’excédaient pas les 150 000 euros, deviennent véritablement coercitives. Elles font même peser un risque important sur les entreprises. Le montant des sanctions pour non-respect du RGPD est sans précédent :
À cela s'ajoutent les montants potentiellement liés aux réclamations et aux demandes d’indemnisation en cas d’actions de groupe ou d’actions individuelles. L’autre risque à prendre en compte pour les entreprises concerne leur image. Et pour cause, dans ce nouveau contexte réglementaire, les probabilités d'atteinte à la réputation sont accrues. Il n’est pas impossible de voir émerger une nouvelle forme de cybercriminalité liée au chantage numérique, avec menaces de révélations publiques.
Le marketing en ligne est l’un des premiers affectés par le règlement sur la protection des données personnelles. Le fondement même du secteur étant la collecte et le traitement des données, toutes les stratégies de communication des entreprises doivent absolument s’adapter à la nouvelle réglementation.
Autre élément qui change fondamentalement, et qui se veut essentiel dans la poursuite des actions marketing : les modifications associées au traitement des formulaires et aux modifications explicites des champs. Désormais, 4 éléments doivent être modifiés directement sur le formulaire :
Dans l’exemple ci-dessus, vous donnez votre autorisation pour recevoir les newsletters et actualités, les prochaines invitations au webinaire, ainsi que les offres commerciales de l’entreprise.
L'envoi de campagnes d'emails commerciaux est aussi soumis au respect de la réglementation de la CNIL. Ses directives sont claires :
La politique de confidentialité et les Conditions générales d’utilisation ont pour but d’assurer une information concise, transparente et compréhensible aux internautes. Quelques grandes pratiques sont à connaître :
À titre d’exemple, la FNAC et Linkedin informent de l’ensemble des cookies activés, la durée de conservation, la ou les finalités, ainsi que la portabilité des données recueillies :
Dans l’article 4 du RGPD, le profilage se définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Il s’agit donc d’une technique très utilisée dans le marketing pour analyser les comportements d’un internaute sur la toile, à partir de son historique d’achat ou de son activité sur les médias sociaux.
Désormais, non seulement ce dernier doit être informé de l’existence d’un profilage les concernant, mais il a aussi le droit de s’y opposer. Ainsi, depuis la médiatisation exceptionnelle du RGPD, les organisations se préparent à recevoir un nombre important de lettres d’opposition.
Si vous utilisez un outil d’analyse à des fins publicitaires, il faut toujours le préciser. Par le biais du bandeau Cookies, vous devez proposer une option pour la désactivation du tracking analytique. Il convient enfin de déterminer la durée maximale de rétention des données personnelles à 13 mois maximum, conformément au RGPD.
Google Analytics est un outil de mesure et d'analyse d'audience. Dans sa dernière répression de l'utilisation des cookies, la CNIL a constaté que son utilisation par un site français est incompatible avec l'article 44 du RGPD de l'UE, au motif que les transferts de données Google Analytics vers les États-Unis « ne suffisent pas à exclure l'accessibilité de ces données aux services de renseignement américains ».
En effet, malgré la fonction pseudonymisation offerte par l’outil, les données recueillies par certains sites français d’envergure pourraient facilement être recombinées pour identifier individuellement les internautes. Les mesures de protection instaurées par Google Analytics ne sont donc pas suffisantes au regard du règlement.
Notez que cette décision de la CNIL, rendant l'utilisation de Google Analytics illégale, intervient moins d'un mois après que l'Autorité autrichienne de protection des données personnelles ait déterminé que l'usage de Google Analytics contrevenait au RGPD de l'UE. Ainsi, chaque site Web français peut être contrôlé par la CNIL et écoper d’une sanction s’il ne supprime pas l’usage de Google Analytics. Pour en savoir plus, nous conseillons de lire l’article suivant : « Vers la fin de Google Analytics en Europe ».
La CNIL conseille environ une vingtaine d’outils (voir la liste), dispensés du recueil de consentement, qui répondent au RGPD. Deux groupes sont à distinguer :
Selon les indicateurs de performance choisis et vos habitudes d’analyse, vous trouverez certainement la solution la plus adaptée à vos besoins. Il est important de vérifier dès aujourd’hui votre conformité, pour envisager une potentielle migration avec un outil Analytics conforme au RGPD. Mais quelles solutions choisir ? Nous vous conseillons de lire également, notre article : « Quelles alternatives à Google Analytics ».
Le RGPD est un règlement encore jeune. Données à caractère personnel, finalité, traitement, risques sur les droits et libertés des personnes, etc. Les notions manipulées sont complexes et sujettes à interprétation en l’absence préliminaire de jurisprudence. Ces notions doivent alors être appréciées dans le contexte précis des métiers des entreprises.
Au-delà de ce constat, une organisation nouvelle et transverse doit être mise en œuvre à l’intérieur et à l’extérieur de l’entreprise. Il faut notamment :
Vous l’aurez compris, le règlement pour la protection des données personnelles n’est pas une simple modification de processus, mais un véritable projet de transformation de l’organisation qui exige une cartographie exhaustive de l’ensemble des processus impactés, l’intégration du Privacy by design et du Security by default dans tous les projets importants, et surtout un dépassement des obstacles culturels qui pourraient perdurer.
Face à ces chantiers, la bonne solution peut être de se faire accompagner. Adimeo vous accompagne dans la dans le choix et la mise en place de la meilleure solution Analytics et dans votre mise en conformité RGPD.
Crédit photo : putilich