Le 25 Mai 2018, le règlement général sur la protection des données (en anglais General Data Protection Regulation, GDPR) va entrer en vigueur, et c’est très loin d’être anecdotique.

Si vous avez utilisé internet au moins une fois sur les dix dernières années, vous vous êtes sûrement rendu compte que votre navigateur chargeait beaucoup plus de choses que le seul contenu de votre page html. Dans le web d’aujourd’hui les trackers, qu’ils soient analytiques, publicitaires ou encore d’un écosystème CRM, sont plus que monnaie courante comme le montrait cette étude de 2016. En tête de liste ? Les sites de Presse avec en moyenne 40 trackers.

Même si l’utilisation directe peut être justifiée (bien que le nombre de trackers soit juste dingue), le problème est que nous n’avons aucune idée de ce qui est fait avec ces données, mais surtout que tout cela est fait sans notre accord…

Vous connaissez tous le cas d’une visite sur un site marchand, où vous visionnez une superbe offre pour un drone en promo à -30% pour le black friday. Et puis pendant 3 mois, quelque soit le site que vous visitez, vous allez manger de la pub pour les drones, recevoir des offres par mail pour des drones voire même des notifications mobiles d’autres app marchandes…

Bref, tout ça pour dire qu’à partir de mai prochain, c’est fini.

La RGPD, Kesako ?

La RGPD est le nouveau règlement européen sur la protection des données. Ses buts sont multiples :

  • L’harmonisation des politiques gouvernementales et des pratiques de gestion et de partage des données personnelles
  • Le renforcement des pouvoirs des différentes autorités de contrôle européennes
  • La responsabilisation des entreprises sur la gestion des données personnelles de leurs clients
  • Le renforcement des droits des personnes à disposer de leurs données et à limiter leur collecte et leur usage

Qui est concerné ?

La RGPD s’applique si le responsable de traitement ou le sous-traitant est basé en UE mais aussi pour tout les traitements sur des personnes se trouvant en UE, que le responsable de traitement soit basé ou non en UE. Concrètement, tous les sites que vous utilisez aujourd’hui sont soumis à la réglementation.

Globalement, qu’est-ce qui est demandé ?

Sans rentrer dans tous les détails, la partie de la réglementation qui va apporter le plus de changement visible, pour l’utilisateur, tourne autour du consentement. Demain, aucun traitement non légitime ne pourra se faire sans l’accord de la personne concernée.

Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.

D’autres droits sont aussi apportés par la RGDP :

Mais du coup, techniquement ?

Pour le premier point, cela va se faire, en complément du “bandeau CNIL”, par une interface claire de recueil des consentements. Pour rappel, le bandeau CNIL est le système en vigueur permettant à l’utilisateur de donner son “consentement” pour le dépôt de cookie et l’utilisation des données personnelles à des fins diverses et variées. Dans les faits, l’utilisation des cookies n’est pas détaillée et un simple scroll ou click sur la page déclenche le dépôt des cookies dans le navigateur.

Mais tout ça c’est fini. À partir de mai 2018, la demande de consentement devra être claire, détaillée, par type de traitement (dépot de cookie publicitaire, analytique, calcul de scoring…) et bien évidemment sans choix par défaut. Fini la déclaration des usages des données noyée dans les 90 pages de CGU.

Sans ces consentements du visiteur, aucun dépôt de cookie (non légitime) ou traitement ne pourra être fait. Idem pour tout autre type de collecte de données. Une trace des collectes des consentements devra être conservée. L’utilisateur peut à tout moment pouvoir changer ses consentements tout aussi simplement que la première fois.

Pour les autres droits, “l’application” devra être en mesure de restituer toutes les données collectées d’un utilisateur à sa demande, ou de les supprimer dans le cas du droit à l’oubli numérique.

Bon finalement, c’est grave docteur ?

Et bien, tout dépend de votre niveau de dépendances aux trackers & Co et surtout de la quantité de données que vous collectez. Si votre site possède un simple tracker GA, la demande de consentement sera simple et les données à restituer seront nulles.

En revanche dans les autres cas, comme les médias par exemple, le boulot va être gargantuesque, entre le changement en front des méthodes de dépôt des cookies afin d’attendre la validation concrète d’utilisation de ceux-ci et les droits à la portabilité / oubli… Sans compter que les traitements (non légitimes) ne devront plus être systématiques, mais uniquement avec l’accord du visiteur (anonyme ou connecté).

En cas de non respect, les sanctions seront très lourdes, et pourront aller jusqu’à 4% du CA annuel mondial consolidé de l’entreprise en faute. Sanctions qui ont certainement fortement incité les GAFA à s’y mettre très tôt (ici ou ) même si certains sont déjà en retard sur la réglementation actuelle (coucou Facebook)

Pour finir

Nous n’avons vu dans cet article qu’une partie des impacts de la RGPD, principalement les changements qui auront un impact technique important.

La réglementation va beaucoup plus loin, notamment d’un point de vue des responsabilités ou encore des garanties qui devront être mises en place vis à vis de la sécurisation des données. Cela concerne aussi tout ce qui est stockage (BDD), croisement de données, transmission à des solutions/sociétés tiers etc…

Si vous souhaitez en savoir plus, et vous préparer pour Mai 2018, la CNIL a mis en place des documents inhérents à la mise en place de la RGPD.

Autres Ressources