Dans un paysage numérique en constante évolution, la protection des données et la conformité aux réglementations telles que le Règlement Général sur la Protection des Données (RGPD) sont devenues des enjeux cruciaux pour les entreprises.
Notre récente étude, portant sur l’analyse de 551 sites web, révèle des résultats préoccupants quant à la collecte de données sans le consentement explicite des utilisateurs.
Ces constats soulignent la nécessité pressante pour les entreprises de comprendre et de s’aligner sur les normes de protection des données, non seulement pour éviter des sanctions financières significatives, mais surtout pour instaurer une relation de confiance avec leurs utilisateurs.
Par Papa Sangone Sall, Senior manager Equancy
38 % des sites web analysés collectent des données sans consentement
Le RGPD énonce clairement les règles et exigences auxquelles les organisations doivent se conformer en matière de traitement des données.
Notre étude met en lumière des constats inquiétants, avec 38% des 551 sites web analysés collectant des données sans le consentement des utilisateurs.
Ces résultats varient selon les secteurs d’activité, d’où l’importance de comprendre les spécificités de chaque industrie en matière de protection des données.
Bien que la majorité des sites recueillent des données après que les utilisateurs aient accepté la bannière de cookies (62%), une part significative (38%) procède à la collecte de données sans le consentement explicite des utilisateurs.
Ces pratiques, en plus d’être potentiellement en infraction avec le RGPD, peuvent avoir des conséquences sur la confiance des utilisateurs et la réputation de l’entreprise.
Mais qu’est-ce qu’implique “ne pas être en conformité avec le RGPD” ?
Si l’organisation ou l’activité de traitement des données qui ne respecte pas l’ensemble des règles et/ou exigences énoncées dans le RGPD, s’expose à des sanctions financières, qui, dans le cas d’une entreprise, peuvent s’élever jusqu’à 4 % de son chiffre d’affaires annuel mondial.
Le résumé plus général du RGPD selon la CNIL explicite que « les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs”.
Des exemples plus généraux de non-conformité peuvent être l’absence d’une bannière de consentement aux cookies ou l’absence d’un mécanisme d’opt-out facile pour révoquer ce consentement.
Comme nous l’avons vu dans notre étude, l’utilisation de mécanismes de suivi sans obtenir le consentement préalable et éclairé des utilisateurs fait partie de la liste, en particulier dans les cas où les données collectées sont partagées avec des agences de publicité et/ou des tierces parties.
D’autres aspects concernant le traitement des données, tels que la protection, la conservation, les transferts transfrontaliers et la transparence des données collectées, sont abordés dans le cadre du RGPD.
L’intégralité des règles et dispositions du RGPD peut être consultée sur le site de la CNIL : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Tous les cookies ne sont pas cuits de la même manière
Qui dit réglementation dit aussi exception à la règle.
Par exemple, certains traceurs, tels que ceux nécessaires à la fourniture du service, sont exemptés de consentement.
Il s’agit généralement des cookies obligatoires que l’on doit accepter ou qui sont automatiquement acceptés lors de l’accès à un site web.
D’autres exceptions s’appliquent dans le cas des “traceurs destinés à garder en mémoire le contenu d’un panier d’achat […], à l’authentification auprès d’un service […], à la personnalisation de l’interface (ex. choix de langue) », etc…
Outre les traceurs essentiels autorisés, l’utilisation de certaines solutions de mesure d’audience provenant d’outils tels que Piano Analytics (At Internet), Matomo ou CS Digital par exemple font aussi exception à la règle.
Ces outils ont été évalués et approuvés par la CNIL afin permettre le suivi de l’audience dans le cadre d’un paramétrage spécifique.
Prenons l’exemple de Matomo. Dans la version 4 de l’outil, il est possible de mettre en place un mode de collecte de données exempté au consentement à condition du respect des 4 règles suivantes :
- les données analytiques sont dépourvues d’informations personnelles,
- elles servent exclusivement à des fins analytiques,
- elles ne sont pas partagées ou reliées à des données provenant d’autres sites web ;
- la politique de confidentialité fournit des informations claires sur la collecte des données.
La configuration nécessaire pour se conformer à ses règles peut être facilement réalisée dans le paramétrage de l’outil analytique de son choix, à condition qu’il fasse partie de la liste des solutions autorisée par la CNIL.
La liste de solutions, ainsi que leur guide de mise en place en mode exempté, peuvent être consultée à l’adresse suivante : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience
4 étapes à suivre dans la quête vers la conformité :
Assurer la conformité avec la réglementation de la RGPD implique plusieurs étapes clés :
1 – Répertorier le traitement des données :
Tenir un registre complet de toutes les activités de traitement des données est essentiel afin d’assurer que vous êtes à jour avec la réglementation.
Ce registre doit comprendre des informations sur l’objectif du traitement des données, les catégories de données concernées, l’accès aux données, les périodes de conservation des données, les mesures de sécurité et tout transfert international de données.
Pour assurer cet enregistrement il est recommandé de nommer ou faire appel à un DPO (Délégué à la Protection des Données), qui vous accompagnera et conseillera dans les démarches à suivre.
2 – Évaluation et minimisation des données :
Chaque entrée du registre doit être soigneusement examinée pour s’assurer que les données traitées sont pertinentes et nécessaires à l’objectif visé.
Il s’agit par exemple de ne collecter que les données essentielles et de veiller à ce que les données ne soient pas conservées au-delà de la durée requise.
3 – Respecter les droits des personnes concernées :
Informez les personnes dont vous traitez les données de leurs droits de manière transparente.
Il s’agit notamment d’être transparent sur l’objectif de la collecte des données, de préciser la base juridique du traitement et de détailler l’accès aux données, leur conservation ou éventuels transferts hors l’UE et la procédure permettant aux personnes d’exercer leurs droits.
4 – Sécurité des données :
Mettre en œuvre des mesures techniques et organisationnelles pour protéger les données.
En fonction de la sensibilité des données, adoptez des mesures de sécurité spécifiques pour lutter contre les accès non autorisés, les modifications non souhaitées ou la perte de données.
Les violations de données constituent un risque réel, et une sécurité appropriée est essentielle afin de prévenir les dommages aux personnes.
En suivant ces étapes, vous serez en conformité avec le RGPD, vous respecterez donc les droits des individus à la vie privée et à la protection des données, et vous éliminerez le risque d’amende…
L’étude a été menée sur 551 sites web d’entreprises exerçant leur activité dans les 7 secteurs suivants : Beauté, Mode & Luxe, Automobile & Mobilité, Retail & E-commerce, Santé & Pharmaceutique, Moyenne, Banque & Assurance, Tourisme & Loisirs.