CNIL, RGPD, cookies : de quoi parle-t-on ?
Pour faire simple, la CNIL ou Commission Nationale de l’Informatique et des Libertés est « le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. »
Pour aider les organismes publics et privés à respecter une charte de bonnes pratiques, elle a établi le Règlement général de la protection des données (RGPD). Son but est de responsabiliser à être transparent dans l’utilisation des données personnelles pour encourager la confiance. Il s’applique à l’ensemble de l’Union européenne. Si vous êtes établi sur ce territoire et/ou ciblez des résidents européens, vous êtes concernés par le RGPD.
Le traitement des données personnelles est à considérer de façon très sérieuse car tout ce qui permet d’identifier une personne physique est une donnée personnelle. Par exemple, vos comportements d’achats permettent à d’autres structures de connaître vos goûts. Il s’agit donc d’une donnée personnelle. Attention, cela touche des bases de données que vous pourriez créer en ligne mais pas seulement. Les fichiers papier sont également concernés et doivent respecter le RGPD aux mêmes conditions.
Les cookies que vous voyez régulièrement à l’arrivée sur un site sont des fichiers que le site internet visité dépose sur votre disque dur. Il a plusieurs rôles comme de savoir si vous revenez sur le site, à quelle fréquence, d’authentifier ou d’accélérer votre navigation, de mesurer l’audience pour que le propriétaire d’un site sache le nombre de visiteurs qu’il a… Le cookie doit aujourd’hui être consenti et avoir un accès à un paramétrage personnalisé pour le visiteur. Aussi, la politique de confidentialité d’un site internet doit préciser la durée de vie des cookies car le consentement donné n’est pas éternel et doit être redemandé 25 mois plus tard maximum comme exigé par la CNIL.
Pourquoi c’est important d’être RGPD compliant ?
La protection des données personnelles et le consentement à la récolte des données n’est plus un conseil mais une obligation légale. En ne respectant pas les règles en vigueur, vous vous exposez à être condamné à une amende pouvant atteindre 4 % de votre chiffre d’affaires annuel en cas de violation ou de non-conformité des données et de la vie privée, conformément à l’article 83 du RGPD.
Dans votre structure, il faut donc veiller à désigner un Data Protection Officer ou DPO qui sera en charge de la mise en conformité des données. Il s’agit à la fois des données récoltées sur vos prospects, vos clients, mais aussi sur les données internes. Gestion des données des salariés, logiciels utilisés pour la facturation, les bulletins de paye, la surveillance des locaux… Tout ce qui touche aux données personnelles doit être renseigné dans des registres spécifiques. Pour en savoir plus, nous vous invitons à consulter les principes et précautions partagés par la CNIL ou à suivre une formation spécifique sur le sujet comme nous l’avons fait au sein de Pix Associates.
Et quels problèmes avec Google Analytics ?
Google Analytics est un outil d’analyse de données qui permet de suivre l’audience et ses comportements sur le digital. En prenant un exemple simple, si vous créez votre site internet (ou que nous le créons pour vous 👈😏), vous pouviez le relier à Google Analytics et ainsi consulter le nombre de visiteurs, leur âge, leur provenance, leur genre, les pages les plus vues, etc.
Or, les récentes décisions relatives au RGPD ont ciblé Google Analytics en particulier pour sa protection insuffisante des données. Selon le bureau de protection des données de Berlin, si vous collectez et envoyez des données à des services tiers (comme Google Analytics) qui utilisent les données « pour des utilisations à des fins propres », vous devez désormais demander le consentement spécifique des visiteurs pour collecter ces informations. Des fins propres étant l’utilisation des données collectées sur votre site pour les intérêts de Google. Aussi, en 2020, la Cour de justice de l’Union européenne (ou CJUE) a jugé que les serveurs cloud américains n’étaient pas conformes au RGPD. Puis en 2022, l’autorité autrichienne de protection des données et l’autorité française de protection des données (CNIL) ont jugé que l’utilisation de Google Analytics est illégale en raison des transferts de données vers les États-Unis. C’est pourquoi, l’utilisation de Google Analytics est désormais remise en cause et que d’autres solutions sont à envisager…
Depuis ces annonces, des solutions alternatives émergent. Nous dressons actuellement un comparatif pour vous que nous vous partagerons prochainement… #StayTuned