Le RGPD et la CNIL

En guise d’introduction sur ce vaste sujet qu’est la protection des données personnelles, nous avons décidé de revoir les bases de ce qu’est une donnée à caractère personnelle et afin de comprendre quels sont les traitements qui leur sont appliqués. Nous pourrons ensuite comprendre quels sont les systèmes de traceurs utilisés par les sites internet et ce que prévoit le Règlement Général sur la Protection des Données.

La CNIL donne une définition précise que nous ne pourrions reformuler : Une « donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ».

Cela signifie que toute donnée rapportée à une personne physique doit faire l’objet d’une protection. La nature même de la donnée ne comporte pas que des informations textuelles ou chiffrées. La donnée peut aussi être une image, une voix ou une vidéo. Ainsi, on distingue deux catégories, les données permettant une identification directe (nom et prénom par exemple) et celles permettant une identification indirecte (exemple : par un identifiant (n° client), un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

Certaines données permettent, en les croisant, d’identifier une personne physique. C’est le cas des bases de données stockant des informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs. Même si les noms ne sont pas stockés, ces bases de données sont considérées comme contenant des données à caractère personnel car il est possible de remonter à une personne physique déterminée en se basant sur ces informations. C’est bien la notion de personne identifiable qui rentre ici en jeu.

Il existe de multiples données à caractère personnel mais certaines doivent bénéficier d’une protection particulière. En effet, les informations qui peuvent donner lieu à de la discrimination ou des préjugés sont regroupées dans une catégorie appelée « données sensibles ». Elles font l’objet de dispositions spécifiques et la règle, qui comporte toutefois des exceptions, est l’interdiction de traitement.

Lorsque les données sont rendues anonymes ou pseudonymisées, il n’est plus possible d’identifier la personne physique. Ces données sortent donc du cadre du Règlement Général sur la Protection des Données (RGPD). Toutefois, si le processus est réversible et qu’il est possible d’identifier à nouveau grâce à un traitement informatique, les données constituent toujours des données à caractère personnel et sont alors couvertes par le Règlement Général sur la Protection des Données. De fait, des données personnelles peuvent ne plus l’être, si des processus irréversibles les ont rendues anonymes. Cela peut se matérialiser par un visage flouté ou nom masqué, fait savoir la CNIL. Tout l’enjeu étant, évidemment, d’être certain que ce qui est annoncé comme irréversible l’est vraiment.

Les informations qui permettent l’identification d’une personne physique en révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou des données concernant la vie sexuelle d’une personne physique sont des données sensibles. Elles font l’objet d’un cadre protecteur renforcé.

Ainsi, le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants :

• si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l’intérêt public et autorisée par la CNIL ;
• si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Article 226-19 du Code pénal

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Les dispositions du présent article sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.

Toutes les données qui ne sont pas à caractère personnel sont par définition des données non personnelles. L’Internet des objets et l’intelligence artificielle représentent des sources importantes de données à caractère non personnel, susceptibles d’être exploitées dans le cadre de services de « big data ».

En revanche, un numéro SIRET (système d’identification du répertoire des établissements) ou le mail générique d’une société, comme « contact@monentreprise.fr ne sont pas, en principe, des données personnelles.

Une donnée non personnelle peut être une donnée personnelle qui perd ce statut, à travers le processus d’anonymisation irréversible évoqué plus haut. Elle devient alors une donnée anonymisée. « Lorsque cette anonymisation est effective, les données ne sont plus considérées comme des données personnelles et les exigences du RGPD ne sont plus applicables », pointe la CNIL.

Il n’est pas autorisé de collecter des données sans but précis légal et légitime au regard de l’activité professionnelle. Par exemple, lors d’une commande client, beaucoup de données sont enregistrées pour effectuer la livraison, envoyer une facture et proposer d’autres articles supplémentaires.

Le traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemples :

• Consultation de données de contacts comprenant des données personnelles
• Campagne d’e-mails promotionnels
• Conservation d’adresses IP
• Conservation d’enregistrements de vidéosurveillance
• Publication de photos de personnes sur internet

A noter : un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Concernant l’envoi des emails à destinations de professionnels, en B to B (ensemble des relations commerciales entre deux entreprises), la personne doit, au moment de la collecte de son adresse de messagerie :

• être informée que son adresse électronique sera utilisée à des fins de prospection,
• être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée. Par exemple, envoyer un message présentant les mérites d’une solution digitale à martin.henri@masociete.fr, directeur informatique, rentre dans ce cadre.

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.

Dans tous les cas, chaque message électronique doit obligatoirement:

• préciser l’identité de l’annonceur,
• proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher. L’utilisation d’une case pré-cochée est à proscrire car elle est contraire à la loi. 

Les manquements à ces dispositions sont susceptibles d’être sanctionnés par la CNIL.

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant aux professionnels un cadre juridique unique. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne,
• ou que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Vous avez sûrement dû voir surgir, depuis quelques temps, un bandeau sur la plupart des sites que vous consultez vous invitant à gérer le paramétrage des cookies. C’est une décision de la CNIL (Commission Nationale de l’Informatique et des Libertés) qui oblige à présent à informer et obtenir le consentement des internautes pour l’utilisation des cookies.

Un cookie est un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc.). Le fichier est enregistré par le navigateur sur le disque dur du terminal. Les cookies sont présents afin de fluidifier la navigation ainsi que pour personnaliser le contenu affiché. Ils ont une durée de vie limitée et leur existence est conditionnée par l’acceptation de l’utilisateur. La CNIL recommande d’ailleurs qu’au-delà de 13 mois le consentement soit à nouveau recueilli.

Le terme de “cookie” recouvre par exemple :

• les cookies HTTP ;
• les cookies “flash” ;
• le résultat du calcul d’empreinte dans le cas du “fingerprinting” (calcul d’un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage) ;
• les pixels invisibles ou “web bugs” ;
• tout autre identifiant généré par un logiciel ou un système d’exploitation, par exemple.

Il existe trois typologies de cookies principalement utilisées :

Les cookies de session : Ces cookies sont utilisés par les sites marchands afin que l’internaute, lorsqu’il change de page, puisse conserver les items qu’il a placés dans son panier, ces cookies expirent lors de la fermeture du navigateur.

A titre d’exemple, lorsque vous naviguez sur un site e-commerce, vous ajoutez à votre panier certains éléments mais vous ne validez pas votre achat. Le lendemain de retour sur ce même site, sans pour autant n’avoir rien choisi, votre panier contient déjà les éléments que vous souhaitiez acheter la veille. Les informations concernant vos intentions d’achat se trouvaient dans un cookie récupéré par le site au moment de votre connexion.

Les cookies permanents : Ils restent par définition fonctionnels même après fermeture du navigateur. Ils sont utilisés pour conserver les identifiants et mots de passe des utilisateurs afin que ceux-ci n’aient pas à les retaper à chaque ouverture d’une nouvelle page. La loi concernant les cookies permanents dispose que ces derniers doivent être supprimés à la fin d’une période de 6 mois maximum. Mais ici encore, cet article n’est pas respecté.

C’est le cas des cookies de Facebook ou Twitter. La navigation des internautes s’en trouve facilitée car ils n’ont plus à passer par la page d’authentification à chaque fois qu’ils souhaitent consulter leur fil d’actualités. C’est un usage clairement revendiqué par Facebook :

« Nous utilisons des cookies pour vérifier votre compte et déterminer les moments où vous êtes connecté(e)s, de façon à faciliter votre accès aux Services Facebook et à vous proposer une expérience et des fonctionnalités adaptées à votre utilisation. »

Les cookies tiers : Ce sont les cookies déposés par des tiers, qui peuvent compiler certaines de vos informations pour des études démographiques, pour mesurer l’impact d’une bannière sur une tranche d’âge visée, etc. C’est cette dernière typologie qui inquiète les internautes et qui vont permettre à votre navigateur de vous proposer des publicités qui vous correspondent.

Les cookies tiers sont capables d’enregistrer le nombre de fois où la page a été appelée, tout comme le temps passé sur le site web ou le parcours via les hyperliens que l’utilisateur a suivis pour arriver sur la page. Les cookies tiers rendent donc le tracking possible. L’avantage de tels procédés, notamment en marketing, permet de voir à quel moment on perd un client, et quel parcours favorise plus ou moins l’achat.

L’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe :

• d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ;
• sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou si celles-ci ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.

La CNIL rappelle que le consentement de l’utilisateur doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité avec laquelle il l’a accordé.

Cela a conduit la plupart des éditeurs de site internet à se mettre en conformité avec cette nouvelle norme. Les internautes ont maintenant fréquemment la possibilité d’accepter ou de refuser le dépôt de cookies sur leur terminal.

Dans le cadre de son plan d’action sur le ciblage publicitaire, et après une phase de concertation avec les professionnels de la publicité en ligne, la CNIL a donc adopté deux textes, des « lignes directrices » et une « recommandation ». Ils ont pour objectifs de rappeler les règles et de présenter des bonnes pratiques en matière d’utilisation des cookies sur internet.

Par l’adoption de ces documents, la CNIL rappelle aujourd’hui deux règles fondamentales de protection des internautes.

Informer : La première règle prévoit que, avant que l’internaute accepte les cookies, le site l’informe, de façon claire et synthétique, de ce à quoi ils vont servir : publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux.

Refuser doit être aussi facile que d’accepter : La deuxième règle permet à l’internaute de pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter, comme l’a récemment jugé le Conseil d’Etat (CE, 19 juin 2020, n° 434684, T.).

La CNIL estime donc que lorsqu’un seul clic est requis pour « accepter les cookies » tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé.

Pour les professionnels et les éditeurs de sites internet, la mise en place de nouveaux systèmes de consentement doit avoir été réalisée à fin mars 2021 au plus tard. Il est nécessaire que l’internaute comprenne, en quelques mots simples, à quoi servent les traceurs publicitaires avant de cliquer sur « accepter ». L’internaute doit pouvoir refuser facilement sans passer par un paramétrage complexe et dissuasif.

Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés (par exemple lorsque les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires). Ces derniers sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.

L’obligation de recueil du consentement peut donc s’imposer notamment :

• aux éditeurs de sites web et d’applications mobiles ;
• aux régies publicitaires ;
• aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à mêmes de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.

Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, nécessitent le consentement préalable de l’internaute. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer :

• les cookies liés aux opérations relatives à la publicité personnalisée ;
• les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

• Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
• Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue.

• Elle doit être visible, mise en évidence et complète.
• Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
• Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
• Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

L’utilisation de cookies analytics est encadrée par des obligations légales impliquant notamment de recueillir et tracer les consentements et oppositions.

Dans certains cas, vous utilisez Google Analytics uniquement pour mesurer votre trafic et travailler l’ergonomie du site mais dans d’autres situations, les données de navigation sont utilisées pour personnaliser des campagnes publicitaires, par exemple en utilisant l’outil Google Ads.

Dans tous les cas, Google exploite les données pour ses finalités propres.

Il existe donc deux solutions. Soit vous captez les quelques données que seuls les utilisateurs ayant accepté les cookies vous transmettent, soit vous paramétrez finement Google Analytics et tout le processus de captation des données afin que votre outil de mesure d’audience ne capte plus de données personnelles mais puisse faire des statistiques anonymes.

Il faut donc rendre votre système Google Analytics conforme au RGPD pour que toutes les données enregistrées ne soient pas des données à caractère personnel.

Plusieurs mesures sont donc à prendre :

• Connectez-vous à l’interface d’administration de la solution et appliquez les filtres proposés par Google pour minimiser la collecte de données ;
• Vous transmettrez les URL de vos pages visitées à Google via son outil Google Analytics. Vérifiez par conséquent ces URL, assurez-vous qu’elles ne contiennent pas de données personnelles en clair (numéro de téléphone, adresse email, nom…).
• Activez l’anonymisation des adresses IP avant stockage par Google Analytics. L’adresse IP est considérée par la CNIL comme une donnée personnelle présentant un certain niveau de sensibilité.
• Réduisez la durée de vie des cookies Google Analytics (13 mois, notamment pour les cookies publicitaires ; 24 mois pour les cookies d’audience).
• Assurez-vous que les urls de votre site web ne comportent pas de données personnelles écrites en clair (telles qu’une adresse email ou un nom de famille).
• Actualisez la politique de confidentialité et la rubrique cookies de votre site web.

Ces mesures ne sont pas exhaustives, n’hésitez pas à vous rapprocher d’un professionnel pour un audit RGPD et/ou une mise en conformité.