Réglementations relatives à la protection des données : trouver une solution analytics respectueuse de la confidentialité
Le contexte, en Europe et ailleurs
Aujourd'hui, toute entreprise possédant un site Web est concernée par le règlement général sur la protection des données (RGPD) et la directive ePrivacy, même si elle n'a accès qu'aux données d'audience les plus élémentaires. Les mesures prises récemment par les autorités de réglementation européennes, qui contribuent à façonner la définition et les prérequis de la confidentialité numérique, remettent en question le statu quo et obligent les entreprises à réévaluer leur stratégie numérique.
Dernièrement, plusieurs gouvernements ont dénoncé le fait que Google Analytics (et par là-même toutes les entreprises qui l'utilisent) enfreignait la réglementation de l'Union européenne en matière de confidentialité des données. Le RGPD stipule en effet que les données ne peuvent être exportées vers des pays qui ne disposent pas d'un « niveau de protection adéquat », c'est-à-dire d'une législation sur la protection des données comparable à celle de l'Europe. La société Google, qui transfère vers les États-Unis des données des utilisateurs européens en vue de leur traitement, a donc été déclarée non conforme.
Décembre 2021 : La Datenschutzbehörde (l'autorité autrichienne de protection des données) a statué que l'utilisation que faisait une marque de Google Analytics était contraire au RGPD de l'Union européenne.
Février 2022 : La Commission nationale de l'informatique et des libertés (CNIL) de France a prononcé une décision similaire à l'encontre d'une autre société.
Mars 2022 : Le Liechtenstein a annoncé son propre verdict dans la foulée.
Même si le RGPD et la directive ePrivacy sont des législations européennes, cela ne signifie pas, comme nous l'avons déjà vu, qu'elles concernent uniquement les entreprises de l'UE. Après tout, l'Internet ne connaît pas de frontières. « Lorsque le RGPD est entré en vigueur, l'un des résultats immédiats a été une augmentation du nombre de sites américains refusant ou restreignant l'accès aux visiteurs européens, a déclaré à Forbes Timo Rein, cofondateur et ancien PDG de la solution de CRM Pipedrive, peu après la mise en place du RGPD. [C]ette approche n'est pas viable. »
Les risques posés par la non-conformité
Toute utilisation des données qui enfreint la directive ePrivacy ou le RGPD peut être lourde de conséquences. En cas de non-conformité avérée, vous risquez un avertissement, des amendes et une interdiction temporaire ou permanente de traiter des données à caractère personnel. Il peut également vous être demandé de supprimer toutes les données que vous avez déjà collectées.
Si un tel risque vous semble inacceptable, vous pourriez juger utile d'élaborer une stratégie bien pensée de gestion des données. Il peut également se révéler intéressant de trouver un fournisseur Digital Analytics qui comprenne le RGPD et la directive ePrivacy, et qui dispose de l'expertise nécessaire pour rester au fait des exigences législatives.
Trouver une solution analytics respectueuse de la confidentialité
Pour trouver une solution Digital Analytics respectueuse de la confidentialité, prenez d'abord en compte les points suivants.
La définition des « données à caractère personnel »
Le RGPD formule une définition précise des « données à caractère personnel ». Si vous voulez une solution qui reste en règle, vous devez vous tourner vers un fournisseur qui emploie la même définition, et place notamment dans cette catégorie les identifiants de cookies et autres adresses IP. Une solution qui ne désigne pas les données personnelles de la même manière risque de devenir non conforme.
L'utilisation et le stockage des données
Les décisions prises dans l'Union européenne portent essentiellement sur le lieu de stockage des données et la manière dont elles sont exploitées. En vertu du RGPD, les données privées des utilisateurs européens doivent rester en Europe ou dans des pays offrant le même niveau de protection des données. Il est également important de vérifier si les données des internautes (audience, navigation et comportement) sont pseudonymisées, de même qu'anonymisées et chiffrées.
La dispense de consentement
La dispense de consentement ePrivacy est reconnue par les agences de protection des données, et notamment la CNIL. Elle permet à un éditeur de site ou d'application mobile de contourner l'obligation de recueillir le consentement d'un consommateur avant de déposer des cookies. Cette exemption n'est accordée qu'aux solutions qui maintiennent un niveau élevé de confidentialité et qui remplissent plusieurs conditions :
- Conformité générale au RGPD
- Collecte des données strictement nécessaires à la prestation de service demandée par l'utilisateur (et d'aucune autre donnée)
- Finalité limitée à la seule mesure de l'audience
Outre la garantie d'une protection plus rigoureuse de la vie privée, la dispense de consentement peut également être le signe d'une meilleure qualité des données. Une solution conforme aux critères d'exemption ePrivacy peut collecter 100 % des données d'audience, contre environ 50 % pour les autres solutions.
L'expertise en interne
Le RGPD et la directive ePrivacy sont des réglementations subtiles, et les usages des données évoluent en permanence. C'est pourquoi un fournisseur de solution axé sur la confidentialité doit compter dans son équipe des experts du RGPD et de la directive ePrivacy. Il doit posséder l'expérience nécessaire pour guider les entreprises dans leur démarche de protection des données. Veillez également à ce qu'il mette à votre disposition une assistance à la clientèle et des spécialistes des données et du droit : autant de prérequis essentiels qui vous permettront de rester en phase avec la législation.
Donner la priorité à la confidentialité des données
En privilégiant la protection de la vie privée plutôt que la réduction de vos dépenses, vous vous assurez de pouvoir compter sur votre fournisseur. En effet, celui-ci restera au fait des évolutions réglementaires, ce qui vous évitera de vous retrouver aux prises avec des décisions comme celles que l'on voit fleurir cette année en Europe.
Mais adopter une nouvelle solution signifie migrer vos données : une étape qui, à défaut d'une approche adéquate, peut les rendre vulnérables. La question qui se pose donc est la suivante : comment passer à un nouveau fournisseur tout en respectant les impératifs de confidentialité de vos clients ?
Pour en savoir plus, et notamment pour connaître les points à prendre en compte dans la migration vers une nouvelle plateforme Data Analytics, téléchargez notre e-book intitulé Guide pour une approche centrée sur la confidentialité.
Piano Analytics (anciennement Analytics Suite Delta d'AT Internet) est une solution Digital Analytics qui offre des fonctionnalités pour toute une série de cas d'utilisation, avec un modèle de données unifié prenant en charge les requêtes en temps réel ainsi que 1 400 paramètres d'événements. La protection de la vie privée et la sécurité des données des utilisateurs figurent en tête de nos priorités. Nous avons ainsi mis en place des mesures visant à préserver la confidentialité des données et à garantir en permanence le respect de la législation.