Dans le cadre d’un salon où les exposants vendaient des logiciels sous-traitant des données personnelles et/ou des données de production, il m’a semblé important de faire le point sur les difficultés qui restent encore à dépasser dans la mise en conformité réelle au RGPD.

Je dis réelle parce que trop souvent, la conformité affichée dans les communications marketing n’est pas suivie par des mesures réelles dans la mise en œuvre des traitements sur les données personnelles.

Pas assez de budget, pas assez de prise de conscience du changement important de paradigme dans les responsabilités légales des sous-traitants, pas de réalisation suffisante de la perte d’avantage concurrentiel à ne pas offrir des outils logiciels réellement adaptés aux principes du droit des données personnelles, paresse commerciale et refus de s’engager dans la révision des logiciels … ? Quelle en est la raison ?

1^er CONSTAT : LA DÉFINITION D’UNE DONNÉE PERSONNELLE N’EST PAS VRAIMENT ACQUISE

Si tout le monde s’accorde sur le sens courant de donnée personnelle comme nom, prénom, adresse, no de téléphone, date de naissance, il est bien moins évident pour les personnes en charge de décider ou mettre en œuvre des traitements de données en entreprises de réaliser à quel point la définition au sens du RGPD est large.

DÉFINIR UNE DONNÉE PERSONNELLE

Toute information

> Sur une personne physique ( cela exclut les données d’entreprise, au sens strict, du champ du RGPD)

> identifiée

> ou identifiable =  qui peut être identifiée

• directement ou
• indirectement

> par référence à un identifiant, par exemple

• un nom,
• un numéro d’identification,
• des données de localisation,
• un identifiant en ligne, ou
• un ou plusieurs éléments spécifiques propres à son identité:

– physique,

– physiologique,

– génétique,

– psychique,

– économique

-culturelle ou sociale

Cela inclut :

> adresse IP, cookies, étiquettes d’identification par radiofréquence-RFI, tags…

Le champ d’application matériel du RGPD est très large

Même si vous ne croisez pas les données dans vos systèmes pour définir plus précisément une personne, par exemple, vous ne cherchez pas à retrouver son nom à partir de son adresse IP, de sa localisation ou autres informations, il suffit de recueillir des données “rattachables“ aux personnes pour que la RGPD s’applique à votre traitement.

Ceci aboutit parfois à un sentiment de fausse sécurité des entreprises qui ne réalisent pas qu’elles sont en fait bien plus exposées aux risques légaux du RGPD qu’elles ne le pensent.

RECOMMANDATION :

Quelle que soit la taille de votre entreprise, prenez le temps de faire un audit complet de l’utilisation des données personnelles dans toutes les branches de votre activité, y compris en interne (vos employés, fournisseurs…)

2^ème CONSTAT : VOS SOUS-TRAITANTS SONT UN RISQUE IMPORTANT ET COURANT

Prenez le temps de relire vos contrat de sous-traitance impliquant le traitement de données personnelles.

> Attention aux logiciels anciens qui ne sont plus conformes (CRM, ERP …), il sera nécessaire de demander leur adaptation aux règles RGPD (à vos frais ?) et surtout d’exercer la plus grande méfiance à l’achat de nouveaux logiciels impliquant le traitement de données personnelles.

Ne vous contentez pas de l’affirmation du vendeur quant à la conformité de son produit ou service.

> Préparez vos questions sur la conformité RGPD que vous exigez de vos sous-traitants, fournisseurs (…) pour qu’elle corresponde à vos exigences, à votre police de données personnelles

ATTENTION AUX SERVICES TIERS QUE VOUS UTILISEZ DANS VOS SITES WEB 

COOKIES TIERS

Ils déposent des cookies propres mais vous avez la responsabilité d’informer les visiteurs de votre site de leur présence, ils doivent pouvoir refuser le dépôt de cookies de traçage, de ciblage publicitaire ainsi que tout dépôt de méthodes de traçage autre que les cookies telle les “clear gifs“,  cookies flash, fingerprinting, les plugins…

“ Aucune information relative aux internautes n’ayant pas consenti ou ayant décidé d’exercer leur droit d’opposition ne doit être collectée. “ [1] Ces prescriptions se rattachent à la directive 2009/136/CE [2] qui sera remplacée par le règlement E-privacy [3]

Elles sont reprises dans la Loi Informatique et Libertés :

“Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

– des moyens dont il dispose pour s’y opposer. (…) “ [4]

CO – RESPONSABLE D’UN SERVICE DE PUBLICITÉ CIBLÉE, D’UN RÉSEAU SOCIAL ?

La jurisprudence européenne et nationale, en France notamment, tend à rendre le propriétaire du site, votre entreprise, co-responsable des traitements de sociétés tierces que vous utilisez par ailleurs pour affiner votre ciblage publicitaire et auxquelles vous ouvrez l’accès vos clients, vos visiteurs.

BOUTONS DE PARTAGE SOCIAL SUR VOTRE SITE ET CO-RESPONSABILITÉ

> Par la simple inclusion de boutons de partage social (Twitter, Facebook, LinkedIn, Instagram…) sur votre site, vous autorisez le ciblage de vos visiteurs, parfois même de ceux qui ne sont pas membres de ces plateformes sociales.

> Attention au choix de plug-in de partage social, tous ne sont pas conformes au RGPD. Vous devez dans tous les cas informer vos visiteurs des risques de ciblage induits par l’utilisation de ces boutons de partage et ne pas déposer de cookies de ces services tant que la personne n’y a pas consenti.

 > Une décision du Conseil d’État français confirme cette tendance :

• “ Lorsque des  » cookies  » sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi.
• Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de  » cookies  » mis en place pour son compte.“
• “ les éditeurs de site qui autorisent le dépôt et l’utilisation de tels  » cookies  » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement,
• alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie « ,
• notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation.
• Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figure celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des  » cookies  » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.“ [5]

EXEMPLE : PAGE FAN FACEBOOK, ADMINISTRATEUR (ENTREPRISE) CO-RESPONSABLE AVEC FACEBOOK

“ l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook. “

“ (…) cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, (…) “  [6]

3 ème CONSTAT: LES INFORMATIONS SUR LA GESTION DES DONNÉES PERSONNELLES PAR LES ENTREPRISES RESPONSABLES DU TRAITEMENT SONT INSUFFISANTES, VOIRE INEXISTANTES

Un rapide tour d’horizon sur les sites web de PME françaises suffit à comprendre le manque, la mauvaise rédaction, voire l’absence de police de données personnelles sur encore trop de sites web.

> Parfois il existe quelques informations dénommées police de vie privée mais elles ne sont qu’un vernis sans réflexion sérieuse et travail d’audit de la gestion des données personnelles dans l’entreprise.

> Les informations sur le placement de cookies tiers sont souvent trop complexes, cachées et empêche l’exercice réel d’un choix par la personne concernée pour remplir les principes du RGPD [7]

Le manque d’informations au moment du recueil des données personnelles via des formulaires divers placés trop rapidement sur les sites sans aucune réflexion quant au respect du principe très important de la protection et du respect de la vie privée dès la conception du traitement (inscription à une newsletter, inscription à un évènement, réponse à un questionnaire, envoi d’un CV…) [8]

DOMMAGE DE RENVOYER UNE IMAGE DE NON CONFORMITÉ AUX VISITEURS DE VOTRE SITE INTERNET 

> Bien souvent l’erreur provient du fait que la gestion et la mise en place des sites web sont sous-traitées à des sociétés tierces peu au courant de leurs obligations de conseil au sujet de la conformité dès la conception de leurs produits au RGPD.

> L’entreprise donneuse d’ordre dans la conception et la gestion de son site web a l’obligation d’imposer à ses sous-traitants le respect des principes du RGPD à tous les niveaux dans ses pages web

> Encore beaucoup de travail de compréhension des enjeux du RGPD pour beaucoup d’entreprises qui ne réalisent pas les risques légaux et commerciaux qu’elles prennent à ne pas gérer leurs traitements de données de façon responsable. [9]

CONCLUSIONS

Même si vous ne contrôlez guère les actions des grandes plateformes sociales comme Facebook, Twitter, LinkedIn ou Instagram (…), le simple fait pour vous de faciliter leur offre de ciblage publicitaire en les autorisant à recueillir des informations de vos visiteurs et de vos clients (en utilisant leurs services de publicité ciblée par exemple et en transférant vos listes clients à ces services), vous rend de facto co-responsable.

> La conséquence de cette co-responsabilité est grande pour vous puisque vous partagez ainsi les risques légaux sur les données personnelles issues de votre site.

Avez-vous envie d’être co-responsable avec Facebook qui n’a pas démontré un grand respect pour les règles européennes jusqu’à maintenant ?

> Quelle sera votre capacité pour renégocier les contrats quasi-unilatéraux avec des géants de la publicité ciblée ?

> Réfléchissez avant de vous engager dans le ciblage publicitaire.

Lisez les contrats et demandez à négocier le partage de responsabilités dans le cadre du RGPD.

> Méfiez-vous des sous-traitants qui profiteraient de votre site pour recueillir des données personnelles pour leur propre usage (cela s’est vu…)

Merci à la société DATAVENIR pour son invitation dans son atelier RGPD et sur son stand durant le salon PROGICIELS  2018.

NOTES

[1] CNIL, Cookies et traçeurs, que dit la loi ? https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

[2] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32009L0136&from=FR

[3] En cours de négociation à la date d’écriture, octobre 2018. Voir informations dans ce blog sur le nouveau texte du règlement E-Privacy

[4] Art 32-II , Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Version consolidée au 28 octobre 2018, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[5] Conseil d’État, 6 juin 2018, N°412589 , ECLI:FR:CECHR:2018:412589.20180606, https://www.droit-technologie.org/wp-content/uploads/2018/06/Conseil-d.pdf emphases et puces ajoutées par l’auteure.

[6] CJEU, affaire C-210/16, 5 juin 2018, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62016CJ0210&from=FR

[7] RGPD, art 5, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[8] RGPD, art 25, Protection des données dès la conception et protection des données par défaut, ibid.

[9] RGPD, art 5,2, principe d’ “ACCOUNTABILITY“ de responsabilité = devoir rendre des comptes sur sa gestion des données personnelles dans son organisation , ibid.