Le terme RGPD (Règlement Général sur la Protection des Données) est souvent associé à des données personnelles et à leur traitement. Tout d’abord, Le nouveau règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018. Il a plusieurs objectifs : uniformiser le traitement des données, les sanctions dans tous les pays de l’Union Européenne et d’indiquer comment gérer les transferts vers l’extérieur de l’UE. Il a pour but de responsabiliser les marques, les entreprises et les citoyens de l’UE de l’utilisation des données personnelles, de leur traitement et de leur sécurité. En France, le garant de son application est la CNIL (Commission nationale de l’informatique et des libertés) qui est une agence publique.
Mais concrètement, en connaissez-vous la définition et êtes-vous concerné par son application ?
Comprendre la notion de données personnelles
Les données personnelles sont un terme assez large se rapportant à une information rattachée à une personne identifiable ou identifiée. L’identification peut se faire de manière directe grâce à son nom ou son prénom ou bien de manière indirecte grâce à une donnée biométrique, un identifiant, un numéro de téléphone ou des éléments propres à son identité physique, économique, sociale ou culturelle.
Concernant l’identification physique en elle-même, peut s’effectuer à partir d’un ensemble de données qui ont été croisées (comme un homme né tel jour, vivant dans un appartement et abonné à une chaîne de télévision) ou à partir d’une seule donnée comme son ADN ou son numéro de Sécurité Sociale.
Dans le cadre d’une base marketing, celle-ci comprend de nombreuses informations pour identifier le comportement d’achat du consommateur. Ses préférences, son âge ou encore sa localisation. Même si la mention de son nom ou de son prénom n’est pas stockée, la base marketing est alors considérée comme un traitement de données personnelles. En effet, en suivant la définition donnée précédemment, il est ainsi possible de remonter à une personne physique en regroupant ces informations.
Définition du traitement de données personnelles
Encore une fois, il s’agit d’une notion particulièrement large regroupant un ensemble d’opérations concernant les données personnelles. Peu importe le procédé qui aurait été utilisé, c’est-à-dire un enregistrement, une collecte, une conservation, une organisation, une consultation, une diffusion, etc.
Par exemple, lorsqu’une entreprise tient un fichier sur sa clientèle résultant de la collecte d’un ensemble de renseignements via un questionnaire ou bien un fichier mis à jour régulièrement grâce à ses fournisseurs. Ce type d’application entre directement dans le cadre du traitement de données personnelles.
Néanmoins, un fichier contenant les coordonnées d’entreprises avec son numéro de téléphone, son adresse postale et un e-mail de contact générique n’entre pas dans le cadre d’un traitement de données personnelles.
Le lien entre les données personnelles et le RGPD
Le RGPD a pour objectif d’encadrer le traitement des données personnelles que ce soit en France ou dans l’Union Européenne. Il s’inscrit dans un contexte juridique afin de prendre en considération les dernières évolutions technologiques comme le développement du commerce électronique ou les usages accrus du numérique.
Le texte de loi européen est dans la continuité de la loi Informatique et Libertés mise en place par le gouvernement français en 1978. Son objectif reste le renforcement du contrôle des données utilisateurs concernant chaque personne.
Ainsi, un cadre juridique a été mis en place en Europe dans le but d’harmoniser les règles et faire en sorte que les professionnels le respectent. Ainsi, les activités numériques sont développées sur la confiance des utilisateurs.
Quelles sont les personnes ou les organismes concernés par le RGPD ?
N’importe quel organisme sera concerné par ce règlement européen, peu importe son activité, son pays d’implantation ou sa taille.
Dès lors que l’organisme privé ou public est installé dans un pays de l’Union Européenne ou avec une activité ciblant les résidents européens, le RGPD s’applique automatiquement lorsqu’il y a traitement des données personnelles.
Prenons l’exemple d’une entreprise installée en France réalisant de l’exportation de produits au Maroc. Alors, il est impératif que la société respecte le RGPD.
Autre exemple, une entreprise chinoise qui a développé un site e-commerce, accessible depuis le territoire français. Cette dernière livre dans l’Union Européenne et par conséquent, elle devra également respecter le RGPD sous la surveillance de la CNIL.
Comment être en conformité avec le RGPD avec Google Analytics ?
Depuis quelque temps, en France, la CNIL surveille de près la solution de tracking de Google, Universal Analytics ou GA3. Elle est utilisée sur de nombreux sites web, mais elle ne respecterait pas le RGPD. La raison ? l’anonymisation des données et le stockage de ces dernières en dehors de l’UE. La CNIL française et son équalivente italienne ont déclaré Google Analytics illégal. D’autant plus, que les données sont stockées aux États-Unis et peuvent être utilisées par l’État américain pour une question de sécurité nationale.
Comment être en conformité avec le RGPD avec Google Analytics ?
Afin d’être en conformité avec le RGPD, la modification du paramétrage de l’outil de mesure Google Analytics n’est pas suffisante selon la CNIL.
Suite à ce constat, de nombreux professionnels du Web ont décidé d’appliquer un nouveau paramétrage sur les conditions de traitement de l’adresse IP. Néanmoins, cette modification n’est pas suffisante pour être en conformité avec le RGPD.
Le problème repose sur la connexion HTTPS entre les serveurs Google et le terminal de la personne permettant d’obtenir l’adresse IP de l’utilisateur.
Alors la seule façon d’être en conformité en utilisant Google Analytics serait d’utiliser un serveur mandataire qui fera office d’intermédiaire entre les serveurs de Google et l’internaute.
Cependant, cette mesure reste parfois complexe à mettre en place, ce qui pousse de nombreux acteurs du Web à changer d’outils d’analyse. En effet, il existe d’autres solutions évitant le transfert des données en dehors de l’UE comme Matomo. Alors que Google sort Google Analytics GA4 et annonce la fin d’Universal Analytics GA3 en juillet 2023 et sa suppression totale en décembre 2023.
Est-ce la solution ?
N.B : La déclaration conjointe de la Commission européenne et des États-Unis en mars 2022 concernant une future décision visant à encadrer de manière satisfaisante les flux de données vers les États-Unis n’est à ce stade qu’une annonce politique. Aucune loi ou décret n’a été signé.
Comment rendre son site web et ses actions webmarketing, en accord avec le RGPD ?
Il faut penser à une gestion de cookies accessible à tout moment et modifiable à tout moment. Chaque cookie peut être choisi individuellement et être actif ou non sur le site web. D’ailleurs, chaque internaute doit arriver sur votre site web sans qu’aucun cookie soit actif. Il doit pouvoir les activer ou non. Son consentement doit être enregistré et modifiable.
Il existe plusieurs droits à respecter :
- Le droit d’accès : Les inscrits à des enewsletters pourront demander un accès à leurs données personnelles et demander à quel usage elles sont utilisées
- Le droit à l’oubli : Les inscrits à des enewsletters peuvent retirer leur consentement à l’utilisation de leurs données.
- Le droit à la portabilité des données : Les inscrits à des enewsletters ont le droit de récupérer leurs données à des fins de réutilisation par un autre fournisseur de service.
- Le droit d’information : Les inscrits à des enewsletters seront informés de toute collecte de données les concernant avec leur consentement explicite.
- Le droit de notification : En cas de fuite de données concernant les inscrits à des enewsletters, ils doivent être mis au courant.
Surtout, nommez un DPO (Délégué de protection des données) pour qu’il gère toute la partie RGPD de l’entreprise !
