Le 10 février 2022, la CNIL (Commission Nationale de l’Informatique et des Libertés) met en demeure un gestionnaire de site web. En cause, l’utilisation de Google Analytics (GA) qui ne répond pas aux exigences du RGPD (Règlement Général sur la Protection des Données personnelles) en permettant notamment le transfert de données vers les Etats-Unis. Google Analytics déclaré hors la loi en France et en Europe ?

Cette annonce a fait l’effet d’un petit séisme à la fois auprès des agences web mais aussi des entreprises qui, quelle que soit leur taille, utilisent massivement GA pour suivre le trafic de leur site internet. Alors qu’est-ce ce RGPD ? Comment être conforme pour éviter les sanctions ?

Entre la carotte et le bâton, petit tour d’horizon d’un règlement qui n’a pas que des mauvais côtés.

Le RGPD pour les nuls

En tant qu’internaute, vous avez certainement remarqué lorsque vous arrivez sur un site ces fenêtres pop-up – voire des « cookie walls » (ou « murs de traceurs ») vous demandant de cliquer sur « Ok », « Accepter », « Tout autoriser » …afin de pouvoir poursuivre votre navigation et accéder au site souhaité.

Devenues quasi systématiques sur tous les sites, on coche bien souvent « Accepter tout » pour gagner du temps, sans même prendre le temps de lire de quoi il s’agit dans le détail. Ces fenêtres nous informent pourtant sur les données personnelles que le site (et donc l’entreprise derrière) récolte, et sur ce qu’il peut en faire (envoi d’une newsletter, statistiques, transmission à des partenaires commerciaux…). C’est l’une des conséquences de l’application du RGPD.

Aussi agaçant que cela puisse être, il s’agit pourtant de la volonté de l’Europe de protéger nos données personnelles et d’éviter qu’elles soient stockées ou utilisées à notre insu. Mais le RGPD c’est quoi exactement ?

La petite histoire du RGPD

Pour comprendre le RGPD, un retour en arrière s’impose. En France l’État a toujours défendu le droit à la vie privée de ses concitoyens. Dès 1978, la loi « informatique et libertés » est promulguée. Dans son sillage est créée la CNIL, Commission Nationale de l’informatique et des Libertés. Son objectif premier : éviter que chaque Français soit fiché à partir de son numéro de sécurité sociale. A cette époque l’informatique n’en n’est qu’à ses débuts et peu accessible au grand public. Il faudra attendre le Minitel et la démocratisation des ordinateurs pour que la protection des données personnelles devienne dès 1995 un sujet de préoccupation pour la CNIL.

Le déploiement rapide d’internet et la circulation des informations et des données à l’échelle mondiale va pousser la France et l’Europe à chercher des solutions permettant à chaque internaute de pouvoir choisir de quelle façon ses données personnelles vont être utilisées. L’Europe va donc se doter des 2016 d’un cadre législatif protéger les internautes : le RGPD.

A quoi sert le RGPD ?

Le RGPD (ou GDPR en anglais pour General Data Protection Regulation) encadre le traitement des données personnelles sur le territoire européen. Il doit assurer la confidentialité de ces dernières et les protéger notamment en cas de faille de sécurité, piratage…Mais qu’entend-t-on exactement par « données personnelles » ? Selon la CNIL il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Là encore quelques précisions s’imposent. Une personne peut être identifiée de plusieurs façons :

• Directement, avec son nom et son prénom,
• Indirectement, avec un numéro de téléphone, une photo, un numéro de client, une adresse postale… ou toute information propre à l’identifier (élément économiques, psychologiques, génétique, culturel…),
• A partir d’une seule donnée, comme un numéro de sécurité sociale,
• Ou bien en croisant plusieurs données (par exemple homme de 35 ans, vivant à Bordeaux, membre de tel club de sport…).

Si votre entreprise possède par exemple un programme de fidélité, en physique ou bien sur votre site e-commerce, vous avez certainement un tableur ou une base de données reprenant pour chacun de vos clients ce type d’informations, voire plus.

De la même façon lorsque vous prenez une commande ou éditez une facture, vous recueillez des informations personnelles et les traitez pour la gestion de votre entreprise ou de votre clientèle. Cela fait donc partie d’un traitement de données personnelles, et est donc soumis au RGPD.

Les « données personnelles » regroupent donc une grande diversité mais aussi quantité d’informations. Sans le savoir, vous êtes peut-être soumis au RGPD, pour vos clients ou même vos salariés !

Le RGPD pour tous, ou presque

Le RGPD a été créé pour encadrer et harmoniser le traitement des données sur le territoire européen. Ainsi tout organisme ou entreprise, public ou privé, installé en Europe ou dont l’activité cible des Européens est soumis au RGPD. Par exemple votre entreprise est installée en France et exporte vos produits vers la Chine ? Vous devez respecter le RGPD. Et inversement une entreprise chinoise possédant un site e-commerce vendant des produits pour le marché français sera également soumis au RGPD.

De la même façon si vous êtes sous-traitant et travaillez pour une entreprise ou une collectivité et que vous récoltez des données (en comptabilité par exemple), vous devez également protéger toutes les données que vous collectez, et cela quelle que soit leurs formes, informatisées ou papiers !

Difficile donc d’échapper au RGPD car le « traitement » des données, selon la CNIL, concerne de nombreuses opérations telles que la collecte, l’enregistrement, la conservation, la consultation ou encore leur utilisation dans un but précis. En effet le RGPD interdit la collecte de données sans objectif identifié. Vous ne pouvez pas collecter des adresses électroniques ou des coordonnées postales de vos clients en vous disant que cela vous sera utile un jour. La collecte d’informations doit forcément répondre à un objectif, à un besoin (légal évidemment).

Avril 2021, la CNIL sonne le début des hostilités

Le RGPD est applicable en Europe depuis le 25 mai 2018. Jusqu’en avril 2021, la CNIL s’est montrée conciliante. Il fallait en effet laisser un peu de temps aux entreprises pour se mettre en conformité avec ce nouveau règlement pas toujours simple à comprendre et à appliquer. La Commission avait donc essentiellement un rôle consultatif et accompagnait les entreprises sur le chemin parfois long de la conformité, et restait compréhensive. Mais une nouvelle réglementation, plus dure, s’est mise en place dès le 1er avril 2021. Finie la période d’adaptation, et la tolérance.

La CNIL, qui conserve toujours ses rôles de conseil et d’accompagnement, passe désormais aux contrôles et aux sanctions financières en cas de non-respect du RGPD. Et depuis un an, la CNIL n’a pas chômé. Plus de 380 contrôles ont été effectués, dans des entreprises – publiques ou privées – de tailles différentes. Un chiffre qui augmente, comme le nombre des sanctions et leurs montant lorsqu’elles sont financières. Car si en 2020 la CNIL se contentait d’un simple rappel à l’ordre, depuis 2021 elle tape au portefeuille des entreprises. Et les amendes sont parfois très lourdes comme pour Facebook (60 millions d’euros) ou pour Google (150 millions d’euros). La CNIL n’est plus uniquement dans la dissuasion mais bien dans la répression. Et les GAFA ne sont pas les seules sanctionnées.

Selon le dernier Baromètre RGPD 2022 dévoilé par Data Legal Drive, plus d’une entreprise sur deux craint un contrôle de la CNIL. Et ça n’est pas toujours parce qu’elles savent qu’elles fleurtent avec la légalité, mais plutôt par ignorance de la loi et de leurs devoirs, manque de temps ou manque de budget à consacrer au RGPD. Et la condamnation par la CNIL d’une entreprise qui utilisait Google Analytics en février 2022 n’a rassuré personne. Heureusement il n’est pas trop tard pour mettre votre site ou votre entreprise en conformité avec le RGPD.

Conformité RGPD, différentes étapes pour y parvenir

Même si le RGPD est en place depuis 4 ans, toutes les entreprises et organisations n’en sont pas au même degré d’intégration et donc de maturité vis à vis du RGPD.

Petit rappel des bases si vous n’êtes pas encore familier du RGPD :

• Établir un registre des activités de traitement, c’est à dire un listing des activités de votre entreprise ou association qui nécessite de collecter et traiter des données (paye, statistiques de ventes, newsletter, programme fidélité…). Si vous ne savez pas par où commencer, la CNIL fourni un modèle gratuit.

Créez ensuite une fiche pour chaque activité en indiquant précisément :

• Pourquoi vous collectez ces données ? Quel est votre objectif ?
• Le type de données recueillies (nom, date de naissance, mail…)
• Qui, dans votre entreprise ou vos sous-traitants, a accès à ces données ?
• La durée pendant laquelle vous allez les conserver.

Profitez de cette occasion pour faire le tri dans vos données. Certaines sont peut-être inutiles ou de répondent pas à un objectif prédéfini. D’autres sont peut-être obsolètes, voire sensibles et ne doivent pas être accessibles à n’importe qui. Ne prenez aucun risque et supprimer ce qui doit l’être.

• En matière de collecte et de traitement des données, la règle est la transparence. Chaque utilisateur, administré ou salarié doit conserver la maîtrise de ses informations car il en est le seul propriétaire. « Qui a accès à mes données ? », « Combien de temps sont-elles conservées ? », « Ou sont-elles hébergées ? », « A quoi servent-elles ? » …Dès qu’il y a une demande d’information, pour une newsletter par exemple ou la création d’un compte client sur un site e-commerce, le formulaire utilisé (papier ou informatisé) doit comporter des mentions d’informations répondant à toutes ces problématiques. Cela peut se faire dans un paragraphe « politique de confidentialité » à l’intérieur des conditions générales d’utilisation de votre site web par exemple.

Si vous souhaitez envoyer des mails commerciaux, à l’occasion de promotions par exemple, vous devez au préalable obtenir l’accord des destinataires. Dans ce cas vous pouvez intégrer une case à cocher au moment de la création d’un compte client, ou bien utiliser une fenêtre pop-up spécifique pour obtenir le consentement de l’internaute.

• Chaque administré doit avoir accès à ses informations et pouvoir les modifier ou les supprimer, rapidement via un mail, un numéro de téléphone ou un formulaire de contact dédié.

• Fuites de données, piratage, phishing…Sécuriser les données est en enjeu majeur et l’un des axes prioritaires d’action de la CNIL en 2022. Vous devez donc tout mettre en œuvre pour protéger les données que vous collectez. A la fois physiquement (surveillance et sécurisation des locaux, des serveurs, du réseau, droits d’accès limités…) mais aussi d’un point de vue informatique (antivirus à jour, mots de passes complexes, chiffrement des données, sauvegardes régulières…). Les données (ou les datas) sont très convoitées car elles peuvent être utilisées à de nombreuses fins (politiques, économiques…). Protéger votre entreprise, vos clients et vos salariés contre une cyberattaque est aujourd’hui une nécessité. Si vous êtes une TPE ou une PME, ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a édité un guide recensant les bonnes pratiques à mettre en œuvre pour améliorer la cybersécurité dans votre entreprise. Certains conseils peuvent paraître évidents mais ce sont justement ceux-là que l’on néglige trop souvent !

Afin d’évaluer le niveau de sécurité de vos données, vous pouvez également adopter une approche par les risques en effectuant une analyse d’impact (ou « AIPD »). Cette méthode peut être particulièrement utile à tous ceux qui sont en charge, dans leur entreprise, de la sécurité des données.

Bon à savoir : Si vous remarquez un accès non autorisé à vos données, ou si certaines ont été perdues même à la suite d’une mauvaise manipulation, vous devez en informer la CNIL dans les 72 heures, et bien sûr toutes les personnes concernées.

Le RGPD, des contraintes mais aussi des avantages

Souvent subi, le RGPD est vécu comme une contrainte qui s’ajoute aux nombreuses autres tâches administratives que les entreprises et organisations doivent remplir. Mais il peut également être un atout, une source d’opportunités économiques pour votre entreprise :

• Les cyberattaques sont de plus en plus nombreuses et témoignent souvent d’une faiblesse de sécurité matérielle ou logicielle (oubli ou absence de mises à jour par exemple). Négligence, « on verra ça plus tard », manque de temps ou de moyens…Les causes peuvent être variées mais le résultat sera toujours désastreux pour votre activité et vos clients. Le RGPD vous oblige à sécuriser ces données, ce qui protège en même temps votre entreprise et lui permet de continuer à se développer.
• Pour sécuriser vos données il faut d’abord les recenser, les trier, les cartographier. En réduisant vos données au strict nécessaire, vous améliorez votre connaissance client et pouvez ensuite développer une stratégie marketing adaptée à vos besoins.

En collectant ensuite vos données de façon pertinente, vous réduisez également vos frais de stockage et optimiser réellement vos investissements.

• Pour être conforme au RGPD, vos fichiers clients, prospects ou encore facturation doivent être à jour. Un travail sans doute laborieux au départ mais qui ensuite vous fera gagner en temps, en efficacité et en productivité!
• Un client ou un salarié qui sait où sont stockées ses données, qui les utilise, à quelle fin…est un client ou un salarié confiant car il sait que vous respectez ses droits. Votre image de marque est donc bien meilleure que celle d’autres entreprises beaucoup moins transparentes sur ce sujet.

En 2020, chaque humain a créé environ 1,7 Mo de données par seconde. Un chiffre qui évidemment ne cesse de croître. Sécuriser la collecte, le stockage et l’utilisation de ces données est donc une nécessité pour tous. Même s’il n’est sans doute pas parfait, le RGPD est un bouclier nécessaire au respect de la vie privée ainsi qu’un atout pour les entreprises. A l’image de nombreux labels et certifications qui fleurissent sur les sites internet pour garantir la qualité de leurs services, la certification RGPD pourrait bien demain faire l’objet de toutes les convoitises.