En septembre dernier, la DPC irlandaise inflige une amende de 225 millions d’euros à Whatsapp. C’est le nouvel épisode d’une saga initiée en 2018 et il fait suite à une décision rendue par le régulateur européen. Le principal des griefs se concentre sur le manque de transparence tant à l’égard des utilisateurs que des non-utilisateurs de ce service. On vous en parle sur ce blog.

3 ans de procédures, de la DPC à l’EDPB

En décembre 2018, la Data Protection Commission a lancé des investigations à l’encontre de Whatsapp. L’autorité de protection des données irlandaises s’inquiétait particulièrement :

• des transmissions de données vers d’autres sociétés appartenant à Facebook :
• de manquements de Whatsapp à ses obligations d’information.

Elle a conduit ses enquêtes en tant qu’autorité chef de file. Au terme de cette démarche, elle a présenté en décembre 2020 un projet de décision aux autorités de contrôles des autres Etats Membres de l’Union européenne. Elle a alors proposé de prononcer une amende pouvant atteindre 50 millions d’euros.

Plusieurs Etats membres, dont la France, ont contesté cette décision. En l’absence de consensus, le régulateur européen, le CEPD, a été saisi.

Son verdict tombe le 28 juillet 2021 quand il a rendu sa décision. Le Comité s’est penché sur les griefs relevés par la DPC pour en écarter certains, en ajouter d’autres. Au final, il a demandé à l’autorité irlandaise de modifier sa décision et de réhausser l’amende pour la porter à 225 millions d’euros.

Tenant compte des remarques du régulateur, la DPC a publié sa nouvelle décision le 20 août.

Un manque de transparence à l’égard des non-utilisateurs

La fonctionnalité de contact permet à l’application mobile Whatsapp d’accéder au carnet de contacts d’un utilisateur inscrit et de déterminer qui, parmi ses connaissances, dispose d’un compte Whatsapp.

Ce faisant, la société collecte et traite les données d’un certain nombre d’individus, qu’ils soient ou non utilisateurs du service.

Certes elle a mis en place un processus de hachage des numéros de téléphone des non-utilisateurs. Pour autant, l’EDPB a considéré que les mesures en place ne rendent pas impossible la ré-identification de ces personnes.

En conséquence, les données ainsi collectées n’étant pas anonymisées mais simplement pseudonymisées, le RGPD s’applique.

C’est surtout le manque de transparence qui est reproché à Whatsapp. En partie parce que ces personnes n’ont pas conscience de faire l’objet de ce traitement de données même  le régulateur européen a admis qu’il avait une portée limitée.

Il souhaite par contre qu’elles soient correctement informées des conséquences si elles venaient à créer un compte Whatsapp : ce statut d’utilisateur serait alors partagé avec les autres contacts disposant de son numéro de téléphone.

De nombreux autres manquements constatés en matière de transparence

La DPC irlandaise et l’EDPB ont examiné dans le détail la politique de confidentialité de Whatsapp. Leurs griefs sont l’occasion d’en savoir plus sur les attentes des régulateurs, en termes de transparence, s’agissant de traitements de données massifs. De la décision rendue par l’EDPB, on retiendra notamment les points suivants :

• Lorsqu’un traitement de données est réalisé sur la base de l’intérêt légitime, la politique de confidentialité doit détailler les divers intérêts poursuivis mais également les opérations de traitement correspondant et les catégories de données ainsi traitées.
• Cette information est essentielle car elle permet aux individus de prendre connaissance des traitements dont elles font l’objet et auxquels elles peuvent s’opposer du fait qu’ils reposent sur le fondement de l’intérêt légitime.
• La description des finalités et des opérations de traitement de données doit être claire. L’EDPB confirme une tendance à écarter les rédactions trop larges qui ne permettent pas de mesurer l’étendue du traitement concerné et qui en est destinataire : « fournir d’autres services business » ; « créer […] des services innovants et des fonctionnalités »
• L’accessibilité de l’information est un critère essentiel du niveau de transparence fourni. Si le régulateur européen ne condamne pas le renvoi de la politique de confidentialité à d’autres rubriques du site web, il reste attentif à ce que les utilisateurs finaux aient toute l’information requise en un minimum d’efforts.
• Le RGPD impose une obligation générale, un principe, de transparence et des obligations spécifiques. Compte tenu des manquements ainsi observés, le régulateur européen a estimé que Whatsapp n’a pas respecté le principe de transparence. C’est donc un grief qui vient s’ajouter aux autres.

La décision rendue en septembre dernier par la DPC relève d’autres insuffisances concernant :

• l’identification des traitements soumis au consentement ;
• les catégories de données traitées ;
• les critères utilisés pour déterminer certaines durées de conservation

Conclusion : Whatsapp case, affaire à suivre

Les autorités de régulation attendent de Whatsapp une réécriture de la politique de confidentialité dans une optique de transparence à l’égard :

• des utilisateurs du service Whatsapp ;
• des non-utilisateurs dont les données sont également collectées par la société.

Cette société disposera d’un délai de 3 mois pour ce faire, la DPC prévoyait quant à elle un délai de 6 mois.

La décision de l’EDPB témoigne de l’importance particulière accordée à la transparence. Le régulateur européen s’est montré notamment plus sévère que l’autorité irlandaise concernant les informations à apporter lorsqu’une société se base sur l’intérêt légitime.

Prenant en compte les contestations des autorités de régulation des autres Etats Membres, le régulateur a réhaussé le plafond de l’amende imposé à Whatsapp pour les divers manquements constatés.

L’amende sera désormais de 225 millions d’euros, ce qui constitue l’un des plus hauts montants prononcés en Europe. Cette décision s’ajoute à d’autres, telle celle rendue par la CNIL contre Amazon. Cela montre que les régulateurs s’intéressent de plus en plus aux GAFAM.

L’affaire n’en restera pas là puisque Whatsapp a annoncé faire appel de sa décision.

Elle montre en tout cas la nécessité pour les responsables de traitement :

• de soigner leurs politiques de transparence, s’agissant tant du contenu que de la manière de rendre accessible et de présenter cette information ;
• de cartographier les flux de données, notamment vers les autres sociétés de son groupe d’appartenance, puisque la politique de confidentialité devra les refléter.

Article rédigé par Maxime Jaillet

En août dernier, l’association eWatchers a porté plainte contre Bouygues Telecom en raison de l’utilisation de pixels invisibles. Cette technologie est courante et bien utile mais l’utiliser n’est pas sans risque. Elle soulève des enjeux pour votre conformité RGPD, votre image de marque et la confiance de vos clients… Cette plainte est en tout cas l’occasion pour la CNIL de préciser les règles à respecter en la matière. On vous en parle sur ce blog.

Qu’est-ce qu’un pixel invisible et pourquoi Bouygues Telecom en utilise ?

Les pixels invisibles sont une technologie de tracking au même titre que le sont les cookies ou le device fingerprinting.

Il s’agit d’images de 1 pixel que l’on insère dans le code source d’un site web ou d’un e-mail. Ces technologies sont généralement fournies par des sociétés tierces. Lorsque l’image est chargée par le navigateur de l’internaute ou le logiciel de messagerie, une requête est envoyée au serveur de la société fournisseur.

Cet acteur joue alors le rôle d’un sous-traitant, il manipule des données pour votre compte :

• Date et heure de chargement de l’image ;
• Adresse IP ;
• données techniques identifiant le terminal de l’utilisateur.

S’il s’agit de données techniques, elles permettent d’identifier individuellement les internautes.

En l’occurrence, il est reproché à la société Bouygues Telecom d’avoir inséré des pixels dans ses e-mails. C’est une pratique courante. Pour quel usage ?

• Suivre les comportements de l’audience, notamment les taux d’ouverture d’e-mail et de clics et ainsi évaluer la performance des campagnes ;
• Adresser des messages de sollicitation commerciale personnalisées.

Bouygues Telecom devant la CNIL en raison des pixels invisibles

Le 11 août dernier, l’association eWatchers a annoncé avoir porté plainte auprès de la CNIL contre cette société.

Après investigations, cette association considère en effet que les e-mails de Bouygues Telecom contiennent :

• un pixel déposé par Google Analytics ;
• un pixel déposé par la société de marketing Weborama.

Qu’est-ce qui est reproché ?

• Le recours à certains traceurs sans recueil préalable d’un consentement de l’utilisateur. Il faut dire que les lignes directrices de la CNIL l’imposent en cas d’utilisation de traceurs à des fins publicitaires.
• Une absence d’information des utilisateurs quant à l’utilisation de tels « pixels espions » ;
• une collecte de données non minimisée. En particulier, la marque n’a pas activé l’option d’anonymisation des adresses IP collectées par la solution Google Analytics ;
• l’impossibilité de s’opposer effectivement au dépôt de ces pixels.

Quand les pixels invisibles menacent votre e-réputation

L’utilisation de pixels espions est en réalité un détournement de la fonction d’affichage d’images dans les e-mails. Cette pratique a également une mauvaise réputation parce ces pixels sont plus opaques que les cookies.

Cette pratique expose par conséquent votre image de marque et voici pourquoi.

Le RGPD est une réponse apportée au sentiment d’opacité et de perte de maîtrise des données par les utilisateurs finaux. Savoir avec qui les données collectées par une marque sont partagées, dans quel but elles sont utilisées, cristallise de réelles tensons.

Et ces tensions connaissent un vrai retentissement médiatique. Régulièrement, des scandales éclatent dans la presse qui mettent en avant :

• le partage de données non anonymisées avec des partenaires publicitaires, les GAFAM par exemple;
• l’utilisation de cookies marketing…

Les sociétés concernées se trouvent ainsi réellement exposées.

• La découverte de pratiques de ce type peut générer de vrais incompréhensions des clients, voire un malaise. Quitte à entraîner une multiplication des demandes d’exercices de droits RGPD. Et de nos jours, les plaintes arrivent par courrier, par e-mail mais aussi via les réseaux sociaux.
• Les associations de protection de la vie privée n’hésitent pas à porter plainte auprès de la CNIL, sommant ces entreprises de s’expliquer sur leurs pratiques.
• Le retentissement médiatique des scandales en accroît grandement la visibilité, au risque que la CNIL ne décide d’examiner ce qui se passe.

La conformité RGPD impacte votre activité marketing

Trois ans après son entrée en vigueur, le RGPD reste un sujet majeur. L’exemple de Bouygues Telecom est intéressant. La plainte montre que si les règles ne sont pas respectées dès le départ, c’est la chaîne de collecte de données qui est menacée.

L’association eWatchers demande en effet à cette société :

• de retirer les pixels insérés dans les e-mails marketing. Ceci implique un changement de méthode d’évaluation de la performance des campagnes marketing. Une autre option, pour préserver le recours à ces pixels, consisterait aussi à soumettre leur utilisation à un consentement préalable.
• D’informer les utilisateurs des traitements de données effectués.
• De supprimer les données collectées alors qu’un consentement préalable était nécessaire. Si la méthode de collecte ne respecte pas les obligations légales, la base ainsi constituée devrait en effet être supprimée.
• De mettre en place une mécanique permettant aux abonnés de se désabonner efficacement des mailing ;
• De dédommager les abonnés concernés.

Un traitement de données personnelles mal encadré peut nécessiter une mise en conformité en cours de route. Au risque de perturber le planning de vos opérations promotionnelles ou publicitaires et d’alourdir sensiblement votre budget.

Conclusion : Bouygues Telecom, affaire des pixels invisibles à suivre

La plainte déposée par l’association eWatchers devra être examinée par la CNIL.

Elle pourra éventuellement déboucher sur des sanctions publiques telles qu’une mise en demeure ou une amende. Cette affaire sera surtout une bonne occasion pour le régulateur de préciser les règles applicables en la matière.

Les pixels invisibles sont une technologie couramment utilisée. Leur utilité est réelle pour réaliser des opérations courantes. Mais ils peuvent aussi avoir une fonction publicitaire, ce qui touche un domaine plus sensible.

Ne vous y aventurez pas à la légère, les impacts sont réels :

• des enjeux importants de conformité RGPD afin de sécuriser vos activités marketing et analytics ;
• un risque pour l’image de marque. Le marketing en ligne fait l’objet d’une vigilance de la part d’acteurs spécialisés (journaux informatiques, associations de protection des droits). Au risque d’entraîner un scandale médiatique repris par la presse généraliste.
• Une dégradation de la confiance donnée par vos clients. Ces insatisfactions peuvent impacter votre chiffre d’affaires et entraîner une multiplication des réclamations.
• Une visibilité accrue auprès de la CNIL.

Article rédigé par Maxime Jaillet

La réouverture des restaurants s’accompagne de mesures sanitaires impliquant de manipuler des données personnelles. Il faudra notamment tenir un cahier de rappel et pour cela respecter toutes les composantes de la conformité RGPD. Bien sûr, pas question de détourner ces fichiers de leur but initial. N’espérez pas alimenter vos bases marketing de cette manière. On vous en parle sur ce blog.

Pourquoi et comment les restaurants collectent des données personnelles ?

La réouverture des restaurants va de pair avec l’adoption d’un protocole sanitaire strict. Ce protocole comprend diverses mesures dont l’enregistrement des visites des clients.

Pourquoi ? L’objectif est de pouvoir retracer la composition d’une salle en cas de détection d’un cas de Covid. En pareille situation, les clients enregistrés seront informés, incités à se faire tester et à s’isoler.

De quelle manière les restaurants enregistreront-ils leurs clients ? Deux méthodes sont possibles :

• Grâce à un cahier de rappel papier géré par le restaurateur. En pratique, les clients renseignent leurs coordonnées dans ce cahier qui sera tenu à disposition des autorités sanitaires.
• grâce à l’application Tousanticovid, via un QR Code et l’utilisation de la fonctionnalité Signal. La personne testée positive se signale dans l’application. Les personnes susceptibles d’avoir été en contact avec une personne infectée reçoivent alors une notification. La CNIL a naturellement rendu un avis sur les évolutions de cette application.

Minimisation, information… Comment les restaurants protègent-ils les données personnelles ?

La CNIL a régulièrement accompagné l’application de protocoles sanitaires par les professionnels. Le régulateur s’assure en particulier du bon encadrement des traitements de données personnelles susceptibles d’en découler.

Il faut dire qu’en tant que restaurateur, vous assumez la responsabilité de ces traitements de données personnelles, quand bien même ils découlent d’une obligation légale. A ce titre, vous devrez veiller à la conformité RGPD de vos pratiques et bien encadrer le recours éventuel à des cahiers de rappel papier.

La CNIL a donc publié des recommandations détaillant les mesures que les restaurateurs doivent respecter :

• Limiter la collecte de données au strict nécessaire. Identité, date et heure d’arrivée du client dans le restaurant, un moyen de contact sont les seules données que le professionnel pourra collecter.
• Pas de contrôle d’identité du client par le professionnel. Le restaurateur n’a pas à demander de justificatif.
• Les personnes doivent être informées du traitement des données ainsi opérées. En pratique, cela se fera par une mention au bas du formulaire et par un panneau d’information à disposition dans le restaurant.
• Les cahiers de rappel contiennent sans surprise des données personnelles qui ne devront pas être conservées indéfiniment. Selon la CNIL, les cahiers de rappel devront être détruits au bout de 15 jours.
• Les données d’un client ne doivent pas être disponibles des autres clients. Hors de question de pouvoir jeter un œil sur toute une page pendant que l’on s’inscrit soi-même sur le document. Par conséquent : soit un formulaire distinct est fourni à chaque tablée, soit un membre du personnel devra alimenter le cahier lui-même.
• La sécurité des données est fondamentale. Cela concerne vos applications informatiques, votre site web, votre application mobile mais aussi vos dossiers papiers. Les cahiers de rappel devront être stockés dans un espace sécurisé avec un accès restreint. Laisser un cahier toute la journée à un bureau d’accueil non surveillé ne serait pas quelque chose d’acceptable.
• L’accès aux cahiers de rappel ne doit pas être ouvert à tout le personnel du restaurant mais uniquement à des personnes spécialement habilitées à cet effet.

Mesures sanitaires – un objectif de protection, pas de sollicitation

Certes, on a l’habitude de dire que le RGPD est en pratique moins contraignant pour les TPE PME à l’égard desquelles on attend moins. Mais les cahiers de rappel présentent un certain niveau de sensibilité qui justifiera une vigilance particulièrement importante de la part de votre restaurant.

Les cahiers de rappel n’auront pour seul but que d’être transmis aux autorités sanitaires sur demande. Les traitements de données personnelles mis en œuvre poursuivent donc exclusivement des objectifs de santé publique.

Et pourtant, comment oublier que le contexte des confinements a eu des conséquences catastrophiques pour bien des restaurateurs ? La tentation est par conséquent forte de détourner cette mesure sanitaire :

• en présentant comme un cahier de rappel ce qui serait en réalité une liste de prospection ;
• en récupérant les coordonnées inscrites dans le cahier de rappel pour les injecter dans votre outil de marketing automation ;
• en revendant le contenu des cahiers à vos partenaires commerciaux ou à vos autres établissements ;
• ..

Naturellement, rien de tout cela n’est possible. Ce serait un détournement de la finalité initiale du traitement et un manquement à vos obligations de conformité RGPD.

Un restaurant se livrant à ce type de pratique sous-estimerait certainement le risque réel de voir les réclamations et les plaintes se multiplier.

L’efficacité des cahiers de rappel papier dépend par ailleurs de la bonne collaboration des clients. Encore faut-il qu’ils aient suffisamment confiance pour confier au restaurateur leurs vraies coordonnées. Une confiance qui se perdra facilement si l’on a le sentiment que les données pourraient en réalité servir à des objectifs marketing.

Conclusion : Restaurants, êtes-vous prêt à gérer un cahier de rappel ?

La réouverture des restaurants a été rendue possible en impliquant cette profession dans la lutte contre l’épidémie. Les restaurateurs jouent naturellement le jeu en respectant un protocole strict.

Si l’objectif de protection de la santé publique est parfaitement louable, pas question pour autant de faire n’importe quoi avec les données. Les restaurateurs assument la responsabilité du traitement des données et doivent ainsi veiller à leur conformité RGPD.

Au final, le cahier de rappel papier ne doit pas être vécu sous l’angle d’une opportunité marketing. Ou pour le dire autrement, il ne servira pas à alimenter des bases de sollicitation.

Détourner ce cahier et vous en servir pour prospecter vos clients pourrait au final vous coûter cher, qu’il s’agisse de votre réputation comme de l’état de votre conformité. Au contraire, jouer le jeu sera un bon moyen de montrer votre professionnalisme et le soin que vous apportez à la protection des données de vos clients.

Article rédigé par Maxime Jaillet

3 ans après, quel est le bilan du RGPD ? Les rapports annuels de la CNIL le montrent : plus de DPO, plus de plaintes, des sanctions peu nombreuses mais importante. La CNIL se révèle dans un rôle d’accompagnement et d’analyse prospective, reléguant la sanction au dernier recours de sa panoplie d’outils sans pour autant la négliger. Enfin, la cybersécurité demeure un enjeu clé. On vous en parle sur ce blog.

Plus de DPO, une gouvernance des données améliorées

Cette année encore, selon le rapport annuel de la CNIL pour l’année 2020, le nombre d’organismes s’étant dotés d’un délégué à la protection des données a augmenté pour atteindre les 73 331.

25 494 Data Protection Officers ont ainsi été désignés, la plus grande part étant mutualisés.

Derrière la désignation d’un DPO, une prise de conscience croissante de la nécessité de protéger les données personnelles. A tous les niveaux puisque le rôle de ce personnage-clé est aussi de contribuer à faire émerger une culture informatique et libertés dans son organisme.

Les confinements se sont en outre sans doute révélés propices pour accélérer sur la mise en conformité RGPD de ses activités.

Malgré tout, le chemin à parcourir demeure encore bien long, comme en témoigne par exemple la mise en demeure par la CNIL d’une vingtaine d’organismes n’ayant pas encore respecté les lignes directrices entrées en vigueur au mois de mars.

Un nombre de plaintes stable mais élevé

Après deux ans d’augmentation, les choses tendent à se stabiliser. En 2020, la CNIL a tout de même reçu 13 585 plaintes, soit une augmentation de 62,5 % par rapport à l’entrée en vigueur du RGPD.

Quelles sont les situations poussant les individus à exercer leurs droits concernant leurs données personnelles ? D’après le laboratoire Linc, qui a analysé les e-mails et plaintes reçues par la CNIL entre mai 2016 et mai 2019, il y en a 4 :

• Quand leur réputation est menacée par des informations disponibles en ligne,
• Lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (la prospection commerciale représente 11 % des plaintes reçues en 2020) ;
• En cas de surveillance sur leur lieu de travail ;
• et enfin en cas d’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires.

Une politique favorisant l’accompagnement à la répression

La CNIL s’est rapidement positionnée dans un rôle d’accompagnement des organismes souhaitant mettre en conformité cette activité. Ce rôle s’est concrétisé par la production de nombreux livrables :

• Référentiels sectoriels (ressources humaines, relation clients…) ;
• recommandations sur des points spécifiques (cloud computing, gestion des cookies, …) ;
• Guides de bonnes pratiques (sur les sous-traitants ou la sécurité informatique).

En parallèle, l’activité répressive est plutôt vue comme une solution de dernier recours. En 2020, la CNIL n’a ainsi prononcé « que » 14 sanctions pour 247 contrôles. 11 amendes ont été prononcées pour un montant total de plus de 138 millions d’euros. Un chiffre impressionnant et parmi les plus élevés en Europe.

Quels enseignements tirer de cette politique répressive ?

• Une prise en compte de plus en plus significative des plaintes. En 2020, 40 % des contrôles découlent de plaintes ou de réclamations. A noter que dans certains cas, une plainte unique peut donner lieu à un contrôle.
• Désormais, le travail mené par l’association Signal Spam peut aussi influer la politique de la CNIL. Une société de prospection commerciale en a ainsi fait les frais.
• Les contrôles de la CNIL découlent également d’une veille sur l’actualité technologique ou d’un programme de thématiques prioritaires annuel.
• La coopération européenne est également une source de contrôles. En 2020, la CNIL a été concernée dans 400 cas et a été autorité chef de file dans une centaine de cas.

La cybersécurité, un enjeu toujours plus important

Le nombre de notifications des violations de données personnelles auprès de la CNIL est en augmentation constante. On en recense 2825 en 2020.

Cette croissance montre que les organismes s’approprient de plus en plus cette obligation légale désormais généralisée à tous les secteurs d’activité. Le respect d’une telle obligation suppose forcément d’instaurer des processus internes de détection des incidents de sécurité affectant des données personnelles.

Ces processus entraînent en interne une mise en lumière sans pareil des vulnérabilités d’un organisme et donc de son niveau de sécurité. S’il en est encore besoin, cela montre à quel point la sécurité informatique est devenu un enjeu critique ces dernières années.

Une sensibilité encore accrue :

• par les efforts des entreprises de se digitaliser… et de complexifier leurs parcs informatiques en se dotant de nouveaux outils indispensables ;
• par la multiplication des attaques informatiques ces dernières années. En particulier, les attaques par ransomwares.

Une autorité vigilante concernant les évolutions technologiques et sociétales

Comme certains de ses homologues, la CNIL témoigne d’une sensibilité autour de sujets technologiques, fussent-ils prospectifs. Elle s’est ainsi impliquée dans l’organisation d’une réflexion devant servir à anticiper sur les enjeux de demain et à formuler des recommandations adaptées.

• Le laboratoire Linc s’illustre ainsi régulièrement par ses articles de blog et la production de cahiers d’analyse prospectives.
• La CNIL s’attellent à la production de livres blancs pour démêler les enjeux associés à une thématique donnée et formuler ses premières recommandations. En 2020, la CNIL a ainsi publié un livre blanc sur les assistants vocaux. Elle s’attellera ensuite aux données de paiement.
• Le sujet des cookies et autres traceurs a fait l’objet de nombreuses discussions entre le régulateur et les parties prenantes. Entre révision des recommandations et périodes de moratoires, ces échanges ont conduit la CNIL à intervenir toujours plus profondément à ce sujet. Ses lignes directrices ne se content pas de poser les grands principes à respecter. La CNIL s’est faite prescriptrice y compris sur l’UX design des outils devant prendre en charge ce sujet.

Conclusion : 3 ans après, plus de maturité au regard du RGPD

Le bilan annuel de la CNIL témoigne d’une activité intense d’accompagnement des acteurs mais aussi de contrôles et de sanctions.

Tout ceci montre l’importance toujours plus grande de la protection des données personnelles. Un sujet que le grand public s’approprie de plus en plus, au gré également de prises de consciences médiatiques.

Pour les organismes, qu’ils soient responsables de traitement ou sous-traitants, il est donc temps d’implémenter une démarche de mise en conformité RGPD dans l’optique de pérenniser la confiance des clients et de sécuriser les activités

Article rédigé par Maxime Jaillet

Les lignes directrices de la CNIL entrent en vigueur fin mars 2021. Grâce aux cookies, vous pouvez identifier un utilisateur et collecter ses données. Sujet sensible aux yeux du régulateur, leur encadrement est aujourd’hui indispensable. Cela vous conduira à appliquer une vraie politique de gestion rigoureuse. On vous dit tout dans cet article.

Que sont les cookies et pourquoi des lignes directrices ?

Les cookies sont de petits fichiers textes qui se déposent lors du chargement de votre site web. Ils vous permettent de collecter des données sur vos utilisateurs. Néanmoins, le régulateur s’en préoccupe désormais, au point d’avoir publié des lignes directrices. Ce sujet doit donc devenir une de vos priorités.

Qu’est-ce qu’un cookie ?

Savez-vous comment fonctionne votre site internet ?

Lorsqu’un internaute s’y connecte à l’aide de son navigateur, un ou plusieurs cookies seront déposés. Ces petits fichiers textes vous permettent d’attribuer un identifiant à chacun de vos utilisateurs pour les reconnaître. Ils facilitent la collecte de leurs données.

Ils peuvent être déposés :

• par l’éditeur du site directement.
• par des tiers fournisseurs de modules intégrés au site : boutons de partage sur les réseaux sociaux, outils analytics, modules publicitaires… Ces solutions fonctionnent grâce à des « cookies tiers ».

Un petit site vitrine déposera 1 ou 2 cookies maximum. Cela peut monter à 40 à 50 pour des sites complexes. Certains sites atteignent même les 100 à 150 traceurs.

Pourquoi gérer ses cookies ?

Éditeur de votre site, vous êtes responsable des traitements de données personnelles qui peuvent en découler.

Il faut donc mettre votre site web en conformité RGPD et cela comprend le sujet des cookies.

La CNIL a en la matière publié une recommandation et des lignes directrices qui entreront en vigueur fin mars 2021. Mais d’ores et déjà, des sites de e-commerce, de rencontres et même des GAFAM ont été contrôlés voire sanctionnés pour avoir déposé des cookies publicitaires sans recueil d’un consentement.

Comment respecter les lignes directrices de la CNIL sur les cookies ?

Respecter les exigences légales nécessitera d’appliquer une vraie politique de gestion de vos cookies. Transparence sur leur fonctionnement, gestion des consentements… Vous pourrez pour cela vous appuyer sur un module de gestion des cookies. Vous devrez également revoir et mieux encadrer votre relation avec les fournisseurs de modules et plugins tiers.

Transparence et consentement, les maîtres mots pour déposer des cookies

Lors de sa première visite sur votre site web, l’utilisateur doit recevoir une information sur les cookies déposés. Cela passe par la création d’une rubrique dédiée sur votre site mais pas uniquement. L’autorisation préalable de l’utilisateur sera même indispensable pour certains de vos traceurs.

• en pratique, vous installerez donc sur votre site un module de gestion des cookies qui prendra en charge plusieurs fonctionnalités :
• l’affichage d’une bannière permettant d’informer l’utilisateur sur les principales finalités des cookies utilisés. Il pourra faire un choix global, à savoir les accepter ou non ;
• l’affichage d’un module comprenant un ou plusieurs écrans ultérieurs grâce auxquels il sera possible de faire des choix plus fins, par grande famille de cookies voire par cookies.
• la tenue d’un registre car il est nécessaire de stocker la trace numérique et horodatée de chacun des consentements recueillis.
• le module restera accessible à l’utilisateur pour qu’il puisse revenir sur ses choix à tout instant pendant sa navigation.

Concrètement, l’outil gérera donc trois règles de gestion :

• les cookies purement techniques (gestion des préférences de langue, stockage du panier d’achat…) seront déposés dès le chargement du site.
• les cookies publicitaires, sociaux, vidéo et de personnalisation ne seront déposés que si le visiteur l’accepte spécifiquement.
• le visiteur sera mis en mesure de s’opposer s’il le souhaite au dépôt de tout ou partie des cookies.

Quid des cookies de mesure d’audience ?

Moyennant respect de conditions strictes, les cookies de mesure d’audience sont exemptés de consentement. En pratique, tout dépend de l’utilisation que vous faites de votre solution de webanalytics :

• les cookies servant à de la mesure d’audience à partir de grandes masses seront effectivement déposés sans attendre un consentement de l’utilisateur. Il pourra quand même s’opposer à leur dépôt à l’avenir.
• les cookies utilisés pour de la mesure d’audience publicitaire, pour du suivi multi-sites de sa navigation ou pour les besoins propres de vos fournisseurs relèvent, eux, du régime du consentement préalable.

La CNIL a récemment annoncé que des précisions complémentaires seront publiées à leurs sujets.

Encadrez votre relation avec vos fournisseurs

Nous parlons des sociétés qui vous fournissent un lecteur vidéo, une solution de mesure d’audience… Bien encadrer votre relation avec vos sous-traitants est absolument indispensable.

Pour cela :

• assurez-vous d’avoir signé avec eux un contrat ou accepté des conditions générales comportant des clauses en matière de protection des données personnelles.
• sécurisez les transferts de données dans le cas de fournisseurs établis hors Union Européenne. Vous pouvez par exemple signer avec eux des clauses types.

Dans certains cas, le fournisseur ne sera pas que sous-traitant mais aussi responsable conjoint voire responsable d’un autre traitement. Certains fournisseurs d’outils analytics ou les réseaux sociaux collectent en effet des données pour améliorer leurs propres services et non uniquement pour vous délivrer une prestation de services.

La définition des rôles et la répartition des obligations à respecter devra donc elle aussi être précisée dans le contrat.

Conclusion : Il est temps de mettre en conformité vos cookies

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment adressé des courriers tant à des sociétés privées qu’à des acteurs publics pour leur rappeler de respecter les règles.

Pour autant, pas de panique. L’entrée en vigueur au mars 2021 ne veut pas dire que vous serez forcément contrôlé et encore moins sanctionné.

Malgré tout, c’est un signal fort qu’il est temps d’optimiser la gestion de vos cookies. Vous y gagnerez en maîtrise du risque réglementaire. D’autres bénéfices sont également attendus :

• l’amélioration de l’expérience utilisateur sur votre site ;
• l’optimisation de votre collecte de données, une plus grande pertinence de vos communications commerciales.

Alors n’attendez pas pour vous y mettre.

Article rédigé par Maxime Jaillet

Gérer sa relation avec les sous-traitants, c’est indispensable pour garantir la conformité RGPD de ses traitements de données personnelles. En tant que client, vous jouez en effet le rôle du responsable de traitement, ce qui implique de respecter plusieurs étapes : rigueur dans le choix de vos fournisseurs, signature d’un contrat, instructions écrites. On vous dit tout dans cet article.

Choisissez des sous-traitants aptes à respecter le RGPD

Externaliser une prestation de services, souscrire une licence d’utilisation d’un logiciel SaaS n’est pas une décision anodine. Une entité tierce sera en effet appelée à manipuler, exploiter des données à caractère personnel pour le compte de votre entreprise.

Or en tant que responsable de traitement, vous êtes comptable de la manière dont les données sont exploitées. Y compris par vos sous-traitants. La responsabilité ne se délègue pas.

Il est donc désormais essentiel que vos critères pour choisir un sous-traitant englobent son aptitude à respecter les obligations légales. Pour cela, vous allez :

• évaluer la maturité du sous-traitant, son expertise technique, son niveau de protection et de sécurité des données, ses ressources ;
• examiner dans le détail les mesures techniques et organisationnelles mises en place au travers de toute une documentation (politique de protection de la vie privée, contrats, politique de sécurité…). En cas de contrôle, la CNIL vous demandera ce type de documents.

Vous appuierez bien sûr pour cela sur votre Data Protection Officer (DPO).

Signez un contrat avec vos sous-traitants

Avant le RGPD, il y avait la loi Informatique et Libertés du 6 janvier 1978. Les sous-traitants devaient principalement garantir un haut niveau de sécurité des données qu’ils manipulaient pour leurs clients.

Le Règlement Européen renforce ces contraintes réglementaires. Cette situation nouvelle a d’ailleurs conduit la CNIL à produire en 2017 un guide pédagogique à destination des sous-traitants.

Vous signerez ensemble un document qui encadrera la prestation délivrée et l’utilisation des données.

Ce document peut prendre diverses formes :

• clauses de protection des données adossées à des conditions générales ou un contrat ;
• annexe relative à la protection des données personnelles ;
• contrat de protection des données (ou DPA – Data Processing Agreement).

Il décrit les caractéristiques du traitement. Et particulièrement :

• son objet, qui correspond aux prestations réalisées ;
• la durée de conservation des données collectées ;
• les types de données traitées et les catégories de personnes concernées (clients, prospects, collaborateurs…) ;
• les droits et obligations du responsable du traitement.

Le sous-traitant communique les données à une filiale ou un autre sous-traitant établi hors Union Européenne ? Des clauses contractuelles types seront ajoutées à l’ensemble contractuel. Il s’agit d’un texte standard, dont le modèle est fourni par la Commission Européenne et que les parties s’engagent à respecter pour sécuriser ce transfert de données.

Adressez des instructions écrites à vos sous-traitants

Le contrat constitue un support de base. Il sera complété par des instructions que vos équipes métiers adresseront aux services de votre prestataire.

En pratique, les échanges informels, oraux et téléphoniques, seront légion. Pourtant, il est important de les formaliser par écrit pour garantir la traçabilité du contrôle que vous exercez sur vos sous-traitants.

Ces instructions porteront par exemple sur les envois de fichiers, le transfert de données hors Union Européenne ou le recours à un nouveau sous-traitant.

En fin de contrat, c’est aussi vous qui déciderez de ce que le fournisseur doit faire de vos données :

• Vous les restituer ?
• Les supprimer, y compris toute copie ?

Quelles sont les obligations RGPD de vos sous-traitants ?

Le RGPD définit les obligations légales de vos sous-traitants. Le contrôleur européen à la protection des données les a précisées dans des lignes directrices, relatives aux concepts de responsable du traitement et de sous-traitant.

Quelles sont ces obligations ?

• N’agir que sur la base d’instructions fournies par son client ;
• Alerter le client en cas d’instructions non conformes à la réglementation ;
• N’autoriser l’accès aux données qu’aux membres du personnel ou à des prestataires en ayant besoin pour l’exécution du contrat. S’assurer que ces personnes sont soumises à une obligation légale ou contractuelle de confidentialité.
• Mettre en place les mesures appropriées au titre de l’obligation de sécurité. Votre entreprise imposera par des objectifs de sécurité à respecter. Le sous-traitant en définira le détail dans une politique de sécurité qui devra être tenue à disposition et même acceptée par son client. En cas de changement, cet accord devra être à nouveau sollicité.
• Obtenir l’accord du client pour tout changement, ajout ou suppression de sous-traitant. Cet accord pourra prendre la forme d’une autorisation préalable ou d’un droit d’émettre des objections pendant une période donnée après que votre fournisseur vous ait informé.
• Soumettre ces sous-traitants aux mêmes obligations de protection des données et de sécurité que celles lui incombant vis-à-vis du responsable de traitement. Dans tous les cas, le sous-traitant sera responsable des manquements de ses propres sous-traitants.
• Assister le responsable de traitement dans la prise en charge des demandes d’exercices de droit (accès, rectification, effacement…). Le fournisseur vous transmettra les requêtes qu’il reçoit en direct et collaborera avec vous pour leur bonne prise en compte.
• Assister le responsable de traitement dans l’accomplissement de ses propres obligations en matière de sécurité des données, de traitement des violations de données, de réalisation d’une étude d’impact DPIA-AIPD ou de consultation préalable de l’autorité de régulation.
• Mettre à la disposition de son client toutes informations nécessaires pour démontrer le respect des obligations légales et pour répondre à un audit. En tant qu’entreprise cliente, au-delà de la signature d’un contrat, vous devrez en effet pouvoir contrôler le respect dans les faits des obligations légales par vos sous-traitants.

Conclusion : Encadrez vos sous-traitants pour maîtriser votre conformité RGPD

Le contrôle de vos fournisseurs et prestataires implique de revoir vos processus à l’œuvre. Il s’agit à la fois :

• de prendre davantage en compte, pour l’avenir, la protection des données personnelles parmi les critères de choix des sous-traitants ;
• de revoir l’encadrement de votre parc de fournisseurs.

C’est indispensable, vous serez comptable des manquements réglementaires de vos fournisseurs, par exemple en cas de fuite de données. Le délégué à la protection des données jouera un rôle fondamental dans cette démarche.

Article rédigé par Maxime Jaillet

Envoyer des fichiers de données personnelles à des tiers, fournisseurs ou prestataires, oui. Mais en conformité avec les exigences du RGPD. Minimisation des données communiquées, utilisation de méthodes sécurisées, encadrement des transferts de données hors Union Européenne… Certaines mesures techniques et organisationnelles seront à mettre en place. On vous dit tout dans cet article.

Pourquoi vos envois de fichiers doivent respecter le RGPD ?

Communiquer des données personnelles à un prestataire n’est pas une opération neutre.

• En tant que client souscripteur d’une prestation de services ou d’une licence de logiciels, vous assumez la responsabilité des traitements de données personnelles. Cela inclut l’accès aux données que vous accordez à vos sous-traitants et leur exploitation.
• Utiliser une méthode d’envoi peu sécurisée ou des protocoles obsolètes de communication de données augmente le risque qu’un tiers non autorité n’accède aux données.

Il est donc essentiel d’adopter certaines mesures élémentaires.

Limitez le partage de données au strict nécessaire

Un contrat a été conclu avec le fournisseur d’une solution en Saas. Celui-ci vous demande le fichier client pour le charger dans son outil.

Le collaborateur concerné n’est-il pas tenté d’aller au plus vite ? D’extraire le fichier d’un outil interne et de le transmettre en intégralité au fournisseur ?

Il faut pourtant absolument l’expurger au préalable des données inutiles compte tenu de la prestation de services qui sera opérée. Envoyer les coordonnées personnelles des salariés à un prestataire qui n’en a pas besoin est en effet un manquement réel aux obligations légales posées par le RGPD.

De la même manière que les collaborateurs de votre groupe n’accèdent pas à l’ensemble des bases de données internes, vous ne devez communiquer aux tiers que le strict nécessaire.

Sécurisez vos partages de fichiers par-email

Vous envoyez peut-être régulièrement des fichiers par e-mail.

C’est le moyen le plus rapide ; certainement pas le plus sécurisé.

• Le risque d’erreur de manipulation est particulièrement fort. Il suffit d’envoyer par erreur un fichier, des collaborateurs par exemple, à un tiers non autorisé (un client, un investisseur) pour commettre une violation de données personnelles. Violation dont le RGPD vous impose une notification à la CNIL…
• La messagerie électronique n’est pas en soi un moyen suffisamment sécurisé. Quiconque a un accès aux serveurs de messagerie de l’expéditeur ou du destinataire accède aux fichiers envoyés en clair.
• Les messageries font l’objet d’attaques informatiques récurrentes : arnaques au président, tentatives de physhing, ransomwares…

Heureusement, la CNIL a diffusé des recommandations de sécurité, notamment en cas d’envoi de données via un réseau.

• Utilisez un protocole assurant la confidentialité du transfert et l’authentification du serveur destinataire, par exemple SFTP ou HTTPS. Veillez à recourir aux versions les plus récentes.
• Chiffrez les pièces-jointes, particulièrement les fichiers sensibles.
• Ne transmettez pas les secrets (mots de passe, clé de déchiffrement) avec le même canal utilisé pour envoyer un fichier. Par exemple, si le fichier est envoyé par e-mail, envoyez par SMS le mot de passe sécurisant l’accès au contenu.

Que faire en cas d’envoi de données sur un support physique ?

DVD, Clé USB, disque dur portable… Pour certains documents confidentiels ou contenant des données sensibles, vous avez décidé de ne pas les communiquer via le réseau.

Pourquoi ne pas les transmettre via un support physique ? Bonne idée. Mais en cas de perte ou de vol, n’importe qui pourra y accéder.

Pour y remédier, vous allez chiffrer les données avant de les enregistrer sur le support. En cas de vol de la clé USB, personne ne pourra lire son contenu.

Comment transmettre des données via un serveur sécurisé ?

Cette fois, il ne s’agit plus de communiquer des fichiers par e-mail à vos sous-traitants. Ceux-ci recevront un permettant de télécharger les documents depuis un serveur.

C’est une façon très adaptée de sécuriser vos envois, en prévoyant quelques règles élémentaires.

• Si le prestataire doit s’authentifier en se connectant au serveur, définissez une politique de mots de passe rigoureuse. Elle devra notamment respecter les exigences de la CNIL.
• Si le serveur est fourni par une société tierce, assurez-vous d’avoir signé un contrat engageant avec elle et vérifiez la politique de sécurité informatique mise en application.
• Utilisez des méthodes à l’état de l’art pour sécuriser le stockage et les protocoles d’accès aux données.
• Attention à la localisation des serveurs. Privilégiez un hébergement en Union Européenne. Voire en France si vous êtes une collectivité territoriale ou tout autre organisme public.
• Définissez un processus simple et rapide pour pouvoir faire stocker des fichiers sur un serveur sécurisé et les communiquer en interne. Envoyer un fichier par e-mail ne prend que quelques minutes. S’il faut attendre longtemps pour obtenir un serveur, cela pourra décourager plus d’une personne de respecter des mesures de sécurité élémentaires.

Quid en cas de transfert de données hors Union Européenne ?

Vous comptez transférer des données à un acteur établi hors Union Européenne ? Un tel transfert est possible mais il devra respecter quelques gardes-fous.

• Quel est le pays de destination des données ? Vérifiez son niveau de protection des données tel que perçu par les autorités de régulation européennes.
• La législation concernée est-elle considérée comme procurant un niveau de protection adéquat au regard des exigences européennes ? Si oui votre prestataire pourra se prévaloir d’une décision d’adéquation de la Commission Européenne pour sécuriser le transfert. Attention, dans le cas des Etats-Unis, le Privacy Shield a été récemment invalidé.
• A défaut ou en complément d’une décision d’adéquation, signez des clauses contractuelles types avec votre sous-traitant.
• En parallèle de cette signature, vous devrez analyser la réglementation dont dépend votre sous-traitant, notamment pour détecter d’éventuelles obligations de communication des données aux autorités publiques. Auquel cas, le Contrôleur européen à la protection des données (CEPD) a identifié une liste de mesures complémentaires (chiffrement, pseudonymisation…) qui vous permettront de maîtriser votre risque.

Conclusion : Envoyez vos fichiers en toute conformité avec le RGPD

Minimisation des fichiers, utilisation de méthodes de sécurité informatique à l’état de l’art…

Vous êtes maintenant prêts pour renforcer les process en place en interne et par lesquels vos collaborateurs partagent des données avec les fournisseurs et prestataires. Au plus grand bénéfice de votre conformité RGPD.

Article rédigé par Maxime Jaillet

Votre site web est-il conforme au RGPD et à la directive ePrivacy ? Un passage en revue de vos sites sera nécessaire compte tenu du risque réglementaire, e-réputation et business. Vous travaillerez dans ce cadre de nombreuses composantes du site telles que la gestion des cookies, la politique de confidentialité, les formulaires de collectes de données et la sécurité informatique.

Pourquoi mettre en conformité votre site web avec le RGPD ?

Le risque réglementaire, les sanctions potentielles, justifient de revoir le niveau de conformité de son site mais pas seulement. La protection des données est aussi une attente forte de vos utilisateurs et une condition de leur confiance. La non-conformité de votre site peut en outre avoir un impact sur votre e-réputation.

Des non-conformités faciles à détecter en cas de contrôle

Un site internet est une véritable vitrine du niveau de conformité de vos traitements de données à caractère personnel.

Même avec des connaissances techniques limitées, n’importe qui peut par exemple facilement observer que :

• Vous déposez des cookies sans permettre de les accepter ou de les refuser ;
• Votre site ne comporte pas de politique de confidentialité ou alors un texte minimaliste ;
• Votre politique de durée de conservation des données collectées n’est pas claire. D’ailleurs, en appliquez-vous réellement une ?

La conformité des sites web, notamment concernant la gestion des cookies ou la sécurité du site, fait partie des sujets de vigilance pour la CNIL. Ne la négligez pas.

La protection des données, une préoccupation croissante pour vos visiteurs

Vos visiteurs se sentent de plus en plus concernés par la manière dont vous traitez leurs données à caractère personnel.

La transparence sur vos pratiques est certes une obligation légale. Elle est surtout un ingrédient indispensable pour préserver une relation de confiance avec vos visiteurs. Un site de e-commerce peut perdre des clients :

• parce que les prospects n’ont pas confiance dans la manière dont les données sont traitées ;
• parce qu’ils pensent que les traitements de données ne sont pas assez sécurisés.

Sans compter qu’un manque de confiance vous expose à un nombre accru de réclamations (droit d’accès aux données, effacement, désabonnement aux newsletters…).

La conformité RGPD, un enjeu de réputation pour votre activité

Presse généraliste, médias spécialisés dans les sujets technologiques, réseaux sociaux… Vos lacunes peuvent rapidement donner lieu à une couverture médiatique voire provoquer un véritable scandale.

• De grands sites de e-commerce ou des médias ont fait les frais du scandale. Leurs bases de recrutement, de gestion du personnel ou de clients comportaient des commentaires désobligeants, insultants voire racistes.
• Régulièrement, des médias spécialisés IT dévoilent des failles de sécurité observées dans les services proposés par des sociétés privées ou des organismes publics. Sans compter que toute violation de données de vos utilisateurs devra être notifiée à la CNIL.

Comment mettre son site web en conformité RGPD ?

Pour rendre vos sites conformes, il vous faudra d’abord (ré)étudier son fonctionnement. Quelles sont les rubriques proposées ? Y a-t-il des formulaires ? Proposez-vous la création de comptes utilisateurs ? Vous pourrez à partir de là revoir les mesures de protection des données en place.

Appliquez une politique de gestion rigoureuse de vos cookies

Les cookies sont de petits fichiers textes déposés sur le cache du navigateur de vos visiteurs lors du chargement du site. Vous en déposez, vos fournisseurs de solutions aussi (mesure d’audience, A/B testing) et même vos partenaires publicitaires.

A ce sujet, la CNIL a publié de nouvelles directrices et une recommandation. Comment faire pour respecter les règles ?

• Installez une solution de gestion des consentements sur votre site. Vous pourrez ainsi les soumettre à un consentement préalable lorsque la réglementation l’exige.
• Affichez une interface de gestion de cookies sur votre site. Vos visiteurs pourront ainsi les autoriser ou les refuser, de manière globale ou plus granulaire. Et ils pourront revenir sur leurs choix.
• Profitez-en pour nettoyer vos codes sources. Retirez les outils que vous n’utilisez plus.

Revoyez votre politique de confidentialité

Votre site comprend-il une politique de confidentialité ? Cette rubrique vous permet d’informer vos visiteurs :

• sur la manière dont vous traitez les données (quels types de données sont collectées, pendant, pour quelles finalités, pendant quelle durée, qui en est destinataire…) ;
• sur les droits dont ils disposent (accès, rectification, effacement…) et comment les exercer.

Vous mettrez donc votre rubrique à jour qu’elle comporte le niveau de transparence et de précision exigé par le règlement européen relatif à la protection des données (RGPD).

De la même manière, vous intégrerez à votre site une rubrique détaillant les divers types de cookies déposés lors du chargement du site et leurs finalités d’utilisation.

Consentement, mentions… Adaptez vos formulaires de collecte de données

Une revue de tous vos formulaires (création de compte, contact, recrutement…) est également nécessaire.

• Déterminez les champs obligatoires et signalez les de manière explicite ;
• Insérez des cases cochables pour recueillir le consentement de vos utilisateurs, notamment pour les inscrire dans des bases de newsletters ou de prospection commerciale ;
• Insérez au bas des formulaires une mention d’information courte ainsi qu’un lien de renvoi à la politique de confidentialité pour plus de détails.

La sécurité des données n’est pas une option

Assurez-vous que votre site applique une politique de sécurité à l’état de l’art. Cette politique intégrera notamment les points suivants :

• sécurisez les flux de connexion en basculant en https vos formulaires de collecte de données, voire tout le site, ainsi que les cookies déposés ;
• vérifiez qu’aucune donnée personnelle n’est transmise en clair dans les URL (ex : nom, prénom, numéro de téléphone…) ;
• Mettez en place des procédures de restriction d’accès aux comptes utilisateurs. Personne ne doit pouvoir accéder aux devis et commandes de vos clients.

Conclusion : Mettez vos sites web en conformité avec le RGPD

Depuis l’entrée en vigueur du RGPD et la révision par la CNIL de ses lignes directrices et recommandation, il est temps pour vous de revoir la conformité de vos sites web.

Formulaires, comptes utilisateurs, gestion des cookies, sécurisation du site… Le travail est structurant et s’inscrira dans la durée. Vous devrez en effet réajuster vos sites au fur et à mesure qu’ils intégreront de nouvelles fonctionnalités.

Le régime des cookies est également appelé à évoluer. On attend en effet le remplacement de la directive ePrivacy par un Règlement européen qui harmonisera ces sujets.

Article rédigé par Maxime Jaillet

Grands groupes, TPE, collectivités territoriales… les exigences du RGPD sont les mêmes pour toute entité traitant des données à caractère personnel. Néanmoins, l’effort de mise en conformité varie en fonction du risque. Les attentes seront moindres envers des PME traitant peu de données. A l’inverse, le règlement général relatif à la protection des données s’appliquera dans toute sa rigueur aux grands groupes et aux start-up technologiques.

Pourquoi le RGPD est moins sévère pour les TPE – PME ?

Si les obligations légales sont théoriquement les mêmes pour tous dès lors qu’une entité traite des données à caractère personnel, leur mise en œuvre sera moins lourde pour les PME. Ceci car leurs activités implique pas ou peu de collecte de données.

Certaines PME sont peu digitalisées ou traitent une petite quantité de données personnelles

C’est le risque induit par les traitements de données mis en œuvre qui détermine le niveau de vigilance et de protection à accorder à leur sécurisation.

De fait, de nombreuses entreprises sont peu digitalisées ou génèrent l’essentiel de leur chiffre d’affaire hors ligne. Par exemple :

• Une boucherie commercialise ses produits au sein même de son établissement ;
• une entreprise de vente par correspondance peut n’avoir qu’un besoin de présence limité sur Internet. Et donc traiter peu de données en ligne.

Les traitements de données à caractère personnel mis en œuvre dans ces situations ne sont pas complexes (base de prospection téléphonique locale, fichier papier de relation clients ou de livraison…)… et vont concerner un nombre de personnes restreint.

Le RGPD s’appliquera mais avec un degré de rigueur limité.

La prospection commerciale limitée aux opérations courantes

Vous lancez probablement des campagnes de prospection téléphonique. Peut-être inscrivez-vous vos prospects dans une base d’emailing afin de leur adresser épisodiquement une newsletter ? A moins que vous ne préfériez les démarcher par téléphone pour leur présenter les dernières actualités de votre établissement ?

Quoiqu’il en soit, il n’y a pas besoin de réaliser un profilage de vos prospects ni de croiser des bases de données.

Les exigences du RGPD seront donc respectées en adoptant des précautions usuelles :

• purge des contacts inactifs ;
• vérification du consentement et de l’information délivrée aux prospects concernant les traitements de données mis en oeuvre ;
• gestion des oppositions à la prospection
• …

Marché local ou B2B… ces activités peu contraintes par le RGPD

La volumétrie des données traitées et l’importance du nombre de personnes concernées par un traitement de données décident du niveau de sensibilité de celui-ci.

Par exemple, un fermier ou un petit commerçant local peuvent se doter d’un site de e-commerce au même titre que le géant Amazon.

Leurs bases de données clients et prospects seront bien moins importantes que celle du champion international.

Les obligations à respecter seront juridiquement les mêmes dans les deux cas mais le niveau de rigueur exigé par le RGPD pourra être amoindri pour les PME.

De même, pour un commerçant spécialisé dans du B2B, les enjeux en matière de vie privée seront moins structurants. La mise en conformité de ces traitements de données sera donc plus légère. Par exemple, il n’y a pas besoin d’un consentement pour constituer une base de prospection e-mail.

Site vitrine, CRM, marketing automation… Un parc applicatif limité

L’exploitation de la data constitue une orientation stratégique pour les grands groupes. La tendance est à collecter toujours plus de données et réconcilier les bases existantes mais exploitées en silo. Ce dans l’optique d’acquérir une vision la plus complète possible des interactions entre le client/prospect et la marque.

Ces marques ont donc besoin de se doter d’infrastructures de traitements de données toujours plus complexes.

L’activité d’une PME peut au contraire ne requérir qu’un site vitrine basique et des solutions clé en main de gestion de la relation clients ou de prospection.

Là encore, le RGPD est applicable. Mais ces activités sont usuelles et ne nécessiteront pas d’efforts de mise en conformité très lourds.

La mise en conformité RGPD est la même pour tous les projets sensibles

Il serait faux de penser que le RGPD sera léger à mettre en œuvre pour n’importe quelle PME ou petite structure. En réalité, les exigences s’accroîtront dès lors que l’exploitation de la data sera au cœur du business de l’entreprise. Le lancement de projets innovants s’appuyant sur des solutions technologiques nécessitera aussi une vigilance renforcée.

Quand les données sont au cœur du business

De nombreuses start-up fournissent des solutions technologiques faisant de la donnée un actif essentiel :

• Plateformes de profilage de candidats au recrutement ;
• Plateformes de personnalisation du ciblage publicitaire en ligne ;
• …

Pour ces entreprises, le RGPD s’appliquera dans toute sa rigueur.

De fait, ses exigences devront être intégrées dès la phase de conception de ces projets afin d’en assurer une sécurisation optimale tout en préservant la viabilité de l’activité.

En effet, le RGPD peut impacter jusqu’au modèle économique d’une entreprise. C’est ainsi que la société Fidzup a dû fermer définitivement ses portes en raison du non-respect des règles applicables en matière de collecte de données de géolocalisation.

Les données sensibles au cœur de toutes les vigilances

Les données à caractère personnel présentent en elles-mêmes un niveau de sensibilité justifiant les exigences requises notamment par le RGPD.

Mais certaines données sont plus critiques que d’autres : origines raciales, état de santé, orientations sexuelles, convictions politiques ou religieuses…

Le traitement de ce type de données requiert des mesures supplémentaires. C’est ainsi qu’en 2015, la CNIL a mis en demeure plusieurs sites de rencontres, faute notamment d’avoir collecté un consentement spécifique pour le traitement de ces données.

Attention : n’importe quelle entreprise peut être conduite à traiter ce type de données. Il suffit :

• d’un prospect utilisant le formulaire de contact du site et souhaitant fournir des éléments d’information liés à sa santé ;
• d’un conseiller client enrichissant le profil d’un consommateur plaignant à partir d’informations sur ses convictions religieuses.

Ressources humaines : gestion du personnel ou surveillance ?

Comme celles des clients et les prospects, les données des salariés sont soumises aux exigences de la réglementation informatique et libertés.

Certaines PME peuvent toutefois être tentées de recourir à des solutions technologiques afin d’optimiser le pilotage de l’activité.

• l’installation de caméras de vidéosurveillance avec le risque d’une surveillance constante de l’activité d’un salarié ;
• la mise en œuvre de dispositifs biométriques de gestion des accès…

Leur plan de mise en conformité s’alourdira ainsi avec le lancement préalable d’une analyse d’impact relative à la protection des données.

L’innovation technologique fait le risque Informatique et Libertés

De manière générale, la digitalisation des activités de la PME peut entraîner des risques.

Une PME en recherche de nouveaux clients peut en effet vouloir expérimenter des nouveautés marketing ayant un fort impact technologique.

• Campagnes de retargetting display,
• Installation d’une plateforme de gestion des données (DMP)…

Ces projets peuvent être lancés à condition de faire l’objet de garanties sérieuses de conformité. Ce qui pourra induire pour la PME concernée des efforts dépassant largement ce qui aura été nécessaire pour la mise en conformité des activités courantes.

Sous-traitance, la responsabilité ne se délègue pas

Faute de moyens, de nombreuses TPE et PME externalisent certaines prestations opérationnelles voire délèguent la réflexion stratégique sur certains aspects.

A ce sujet, pourquoi ne pas se libérer des tâches répétitives via de la sous-traitance offshore ? Par exemple, pour :

• la gestion des réclamations ;
• l’organisation de campagnes de prospection téléphoniques.

Le transfert de données hors Union Européenne en découlant génère pourtant un risque informatique et libertés.

De façon générale, le cadrage contractuel des sous-traitants est une nécessité pour maîtriser le risque d’opérations de traitements réalisés pour le compte du client et sous sa responsabilité.

Ce cadrage devra en l’occurrence porter également sur ce transfert de données.

Conclusion : une nécessaire approche par les risques

L’impact du RGPD sur l’activité économique d’une TPE-PME ou d’une entité publique de petite taille dépend des traitements de données opérés.

De fait, chaque entité responsable de traitement doit évaluer les risques inhérents aux traitements de données mis en œuvre et appliquer les mesures appropriées.

Il est donc logique de penser que l’application du RGPD sera moins rigoureuse pour les TPE-PME que pour les grands groupes. Les start-ups technologiques ou les petites entreprises mettant en œuvre des projets innovants devront à l’inverse appliquer des mesures plus strictes.

C’est cette vision par les risques que Data Vigi Protection applique au quotidien. Au travers de notre réseau de DPO, nous proposons une gamme de prestations de mise en conformité qui s’adapte en fonction du niveau de risque des traitements de données personnelles utilisés.

Les PME bénéficieront ainsi d’une mise en conformité de leurs activités sans lourdeur excessive.