Entre tracking, publicité, dépôt de cookies, traceurs et pixel, et les nombreux outils pour capter des données, les sites internet sont l’une des premières sources de risques en matière d’atteinte à la vie privée.
Depuis le 25 mai 2018, la création de site internet est régie par le RGPD, le Règlement général sur la protection des données. A l’heure du Big Data, ce règlement européen, qui va s’appliquer à l’identique de tous les pays de l’UE, est une étape essentielle pour la protection des données des internautes.
Vous collectez et/ou traitez les données de personnes physiques domiciliées dans l’Union Européenne ? Alors vous êtes concernés par le RGPD, et ce même si votre entreprise n’est pas basée elle même dans l’Union Européenne !
Alors quels sont les principes du RGPD ? Pourquoi en tenir compte pour élaborer un site web ? Où on en est en 2023 ? Comment rendre son site RGP friendly ? On vous explique tout dans cet article !
“Réglementations GDPR”, c’est quoi ?
Définition
Réglementations GDPR (ou encore GDPR) : règlement général sur la protection des données : règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Autrement dit, c’est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Son objectif est de renforcer et d’unifier la protection des données pour les individus au sein de l’Union européenne.
Adopté par le Parlement européen le 27 avril 2016, c’est à partir du 25 mai 2018 que ses dispositions sont applicables dans les 27 États membres de l’Union européenne.
Les 6 grands principes du RPGD à respecter
Licéité et loyauté
Licéité : La collecte et le traitement des données personnelles doivent correspondre à au moins un des fondements juridiques de l’article 6 du RGPD.
Loyauté : Ce qui est décrit à la personne concernée doit correspondre à ce qui est traité. L’information doit être claire pour lui permettre de donner un consentement valide ou d’exercer ses droits.
Limitation des finalités
Les données personnelles peuvent uniquement être récoltées à des fins “déterminées, explicites et légitimes” (article 5.1.b). Elles ne peuvent être utilisées qu’aux fins spécifiques justifiées lors de la collecte et/ou du traitement.
Minimisation des données
Les données recueillies doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.c). Ce qui veut dire qu’une entreprise doit recueillir uniquement ce dont elle a besoin, le minimum de données possible pour un traitement spécifique.
Exactitude (qualité des données)
Les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.1.d). Les détenteurs de données doivent créer des processus de rectification et suppression dans les bases de données des données des sujets.
Limitation de la conservation des données
Les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). Autrement dit, les données qui ne sont plus nécessaires aux demandeurs doivent êtres supprimées.
Intégrité et confidentialité (sécurité des données)
Le détenteur de données doit garantir la sécurité « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » (article 5.1.f). Il doit prendre des mesures de sécurité sur la technique et sur l’organisation pour éviter les destructions fortuites ou illicites, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé.
Pourquoi est-ce important d’en tenir compte pour les propriétaires de sites web ?
Un risque de sanctions administratives
En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) l’autorité de contrôle de la conformité au RGPD. Elle est en mesure de de prononcer des sanctions organismes soumis au respect du RGPD allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires lorsqu’il s’agit de manquements relatifs à la mise en conformité ; et jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires lorsqu’il s’agit de manquements relatifs aux droits des personnes.
Au Luxembourg, il s’agit de la CNPD (Commission nationale pour la protection des données) qui est chargée d’assurer la protection des données sur le territoire. Elle dispose de pouvoirs d’enquête, d’adopter toutes les mesures correctrices, d’autorisation et des pouvoirs consultatifs.
Un risque de sanctions pénales
Le tribunal judiciaire peut aussi prononcer des sanctions pénales pour une absence de mise en conformité par un organisme allant d’une amande de 1.500 € pour une collecte de données personnelles sans avoir informé la personne concernée au préalable jusqu’à 300.000 € et 5 ans de prison pour le fait de détourner une donnée personnelle de sa finalité.
Une opportunité Data-Driven
Le RGPD peut être un véritable outil pour le Data-Driven. Cela signifie que votre entreprise peut prendre des décisions stratégiques sur la base d’une analyse et d’une interprétation des données.
Rendre votre Site RGPD Friendly vous permettra de :
- Renforcer la confiance avec vos clients. L’image de votre entreprise ne peut qu’être redorée si les utilisateurs savent que vous respectez leurs données personnelles.
- Prendre des décisions plus rapidement et efficacement puisque les données collectées répondront à vos objectifs.
- Améliorer la collaboration entre vos équipes et vos partenaires grâce à une plus grande transparence et une communication claire.
- Identifier les risques plus facilement pour les éviter plus rapidement.
- Avoir une meilleure rentabilité grâce à une collecte de données plus qualifiée en amont.
Où on est-on sur le RGPD en 2023 ?
La CNIL a publié un plan stratégique allant de 2022 à 2024 avec des actes spécifiques tournés essentiellement autour du RGPD et de la protection des données.
Toujours plus de sanctions
Depuis l’apparition du RGPD en 2018, les commissions dédiées à la protection des données personnelles se montraient conciliantes avec les entreprises et les organisations.
La raison ? Le RGPD est long à mettre en place et peut même s’avérer assez compliqué. Les entreprises doivent :
- Changer l’intégralité des process de traitement des données.
- Sécuriser les données.
- Désigner un Délégué à la Protection des Données (DPO).
- Etablir un registre de traitement des données.
- Mettre en conformité son site internet (gestion des cookies, adapter ses formulaires de contact,…).
Et prendre bien d’autres mesures qui demandent du temps et de l’énergie.
Jusqu’ici la CNIL et la CNPD accompagnaient les entreprises dans cette démarche sans pour autant les sanctionner systématiquement. Depuis 2022, ce n’est plus le cas ! Elles conservent leur rôle d’accompagnement mais n’hésitent plus à sanctionner les entreprises qui ne respectent pas le RGPD.
Quelques exemples de sanctions données par la Cnil en 2022 :
- 29/12/2022 : Amende de cinq millions d’euros à l’encontre des sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOK TECHNOLOGY LIMITED pour manquement de Consentement des personnes (cookies et traceurs)
- 29/12/2022 : Amende de huit millions d’euros à l’encontre de la société APPLE DISTRIBUTION INTERNATIONAL pour manquement de Consentement des personnes (cookies et traceurs)
- 19/12/202 : Amende de soixante millions d’euros et injonction sous astreinte à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED
- 17/10/2022 : Amende de vingt millions d’euros et injonction sous astreinte à l’encontre de la société CLEARVIEW AI pour Défaut de base légale, non respect du droit d’accès, non respect du droit à l’effacement et défaut de coopération avec la CNIL
Projet lancé par la CNPD en mars 2023 :
ALTO : un outil d’auto-évaluation simple et gratuit permettant aux PME établies sur le territoire du Grand-Duché de Luxembourg d’intégrer les obligations du Règlement Générale sur la Protection des Données dans le cadre de leurs activités.
Dans le cadre de ce projet, la CNPD lance, dès à présent, un appel à participation à toutes les PME à un questionnaire en ligne, qui se veut anonyme, ou de brèves entrevues sur le thème.
Le périmètre du RGPD est très large et les sanctions peuvent monter très haut. Vous pouvez retrouver toutes les sanctions de la CNIL et de la CNPD sur leurs sites.
Renforcement de leur offre d’accompagnement
Le point majeur qui ressort du plan stratégique de CNIL est sa volonté de renforcer son offre d‘accompagnement en facilitant la compréhension et la prévisibilité du cadre légal, en développant des outils de conformité et en aidant à se prémunir contre les risques cyber. Pour cela, la CNIL communique sur 5 axes :
- Renforcer la sécurité juridique des responsables de traitement par des orientations pratiques et claires.
- Développer les outils de certification et de code de conduite.
- Faire de la conformité RGPD la meilleure prévention contre les risques cyber.
- Renforcer et faire évoluer la stratégie d’accompagnement.
- Assumer un rôle de régulateur ayant un impact économique.
La CNPD sensibilise sur la sécurité des traitements de données.
- Le 24 avril 2023, Monsieur Alain Herrmann, Commissaire à la CNPD, est intervenu à une conférence en matière de données personnelles organisée par la Chambre de Commerce afin de marquer les 5 ans de l’entrée en vigueur du règlement général sur la protection des données (RGPD).
- La Commission nationale pour la protection des données a assisté au Privacy Symposium 2023, une conférence internationale destinée à faciliter le dialogue, la coopération et la convergence parmi experts, chercheurs et autorités de protection des données du monde entier.
- La CNPD participe à une conférence organisé par la Chambre de Commerce organisé le 24 avril 2023 sur les données personnelles afin de marquer les 5 ans de l’entrée en vigueur du règlement général sur la protection des données (RGPD). L’objectif principal de cette conférence est de dresser un panorama de l’actualité en matière de protection des données personnelles.
Un accompagnement de la CNIL et de la CNPD sur le RGPD qui perdure pour les entreprises et organisations.
Rendre vos campagnes d’emailing conforme au RGPD : comment faire ?
L’emailing, souvent présent dans la stratégie de marketing, est aussi concerné par le règlement. Par conséquent, il est important d’avoir une newsletter en conformité avec le RGPD.
Pour cela, il faut prêter attention à :
- La base de donnée : elle doit être qualifiée notamment sur le consentement de votre liste d’abonnés. Date, type de données, preuve d’acceptation doivent figurer dans un recueil.
- L’inscription
Le formulaire d’inscription à la newsletter doit avoir une mention informant l’utilisateur qu’il recevra des offres marketing sur son adresse mail et de recueillir son consentement. Cette mention vise à informer l’utilisateur de la finalité de la collecte.
- La désinscription :
Il faut aussi prévenir le client qu’il peut se désinscrire et lui indiquer comment dans le corps de votre mail Newsletter.
- Le consentement des abonnés : Votre emailing marketing doit être envoyé à des abonnés dont vous avez obtenu le consentement qui doit être « libre, spécifique, éclairé et univoque ». Évitez Les techniques de soft opt-in et de soft opt-out.
- Soft opt-in : obtenir le consentement de l’internaute sans qu’il ait à faire une action explicite
- Soft opt-out : le destinataire de la publicité doit cliquer sur une case “je ne souhaite pas recevoir de propositions commerciales” pour éviter de recevoir des mails non désirés.
La mise en conformité de votre site internet pour qu’il soit RGPD (2023) friendly
Le RGPD évolue quant à la mise en conformité RGPD des sites internet. Ces derniers récoltent beaucoup de données sur les internautes avec par exemple des outils d’analyses ou encore des cookies. Il devient alors essentiel de rendre votre site internet conforme au RGPD et plus respectueux des données personnelles des internautes qui le visitent. Cette mise en conformité passe avant tout par l’entreprise propriétaire du site (c’est à eux de prendre la décision métier). L’agence ou le prestataire peut l’accompagner dans la mise en œuvre technique.
Les 3 grands principes à respecter sont les suivants :
- La protection des données personnelles.
- Le respect des règles en matière de cookies et de traceurs.
- La cybersécurité des sites web.
Voici donc 5 bonnes pratiques à prendre en compte pour 2023 :
- Communiquer sur la collecte des données personnelles
- Connaître l’objectif de la collecte des données personnelles
- Renforcer la sécurité des données personnelles des utilisateurs
- Nommer son Data Protection Officer
- Mettre à jour sa conformité RGPD régulièrement
La fameuse question de Google Analytics en 2023
C’est en juin 2022 que la CNIL a publié deux articles sur son site officiel, la Commission Nationale de l’Informatique et des Libertés qui ont tranché : l’utilisation de Google Analytics n’est pas conforme au RGPD. Les principales causes sont l’hébergement des données collectées hors de l’UE et les mesures de pseudonymisation et d’anonymisation incomplètes que présentent l’outil.
Google Analytics a donc présenté une nouvelle version de son outil d’analyse : Google Analytics 4, GA4 le 14 octobre 2020.
Contrairement à l’ancienne version, l’outil annoncé utilise des données basées sur les événements plutôt que basées sur les sessions. Parmi les changement, les adressent IP des utilisateurs ne sont plus conservées et les cookies tiers ne seront plus appliqués.
Dès le 1er juillet 2023, les utilisateurs GA seront obligés de passer à la nouvelle version Google Analytics 4. Après cette date, les propriétés Universal Analytics standards cesseront de traiter les données mais vous pourrez encore consulter vos rapports Universal Analytics pendant une certaine période. Cependant, les nouvelles données ne seront transmises qu’aux propriétés Google Analytics 4.
Si vous ne l’avez pas encore fait, il est temps de passer à Google Analytics 4 pour ne pas perdre de précieuses données et pour bénéficier d’une configuration optimale.
Google recommande vivement de migrer votre propriété Universal Analytics vers Google Analytics 4 avant qu’une propriété ne soit automatiquement créée pour vous. Cela vous permettra de profiter de tous les avantages et de toutes les fonctionnalités de la nouvelle version, ainsi que de conserver l’intégralité de vos données historiques.