Comment se préparer aux conséquences du RGPD sur le digital analytics ?

Ce qui change sur la protection des données sur le digital analytics

Quel est l’impact du règlement européen sur votre digital analytics ?

Le Règlement général pour la protection des données personnelles (RGPD) entrera en application le 28 mai 2018, il faut s’y préparer.

Les conséquences du RGPD sur le digital analytics

Si vous utilisez des données personnelles dans le but de les collecter le RGPD vous concerne.

Si vous utilisez un outil web analytics qui analyse les données des internautes venant sur votre site web / mobile, le RGPD vous concerne.

Que sont les données à caractère personnel ?

Ce sont toutes les données personnelles d’une personne, qu’elles soient :

  • Indirecte : adresse, mail, photo, âge …
  • Directe : adresse IP, nom utilisateur …

Le RGPD exige que les données soit conservées dans une limite de temps mais surtout que les utilisateurs en soient informés.

Dans le cadre du règlement, il faut que vous puissiez fournir un document unique où sont recensées ces informations.

Un principe de base : la transparence

C’est l’un des critères essentiels du règlement. Les responsables des traitements doivent faire preuve de transparence dans la collecte des informations des internautes.

Un internaute doit toujours être tenu au courant de l’utilisation de ses données. Il peut faire plusieurs demandes :

  • Demander l’accès à ses données personnelles
  • Réclamer une suppression ou une modification de ses données personnelles
  • Exercer le droit à la portabilité : C’est à dire que les données personnelles peuvent être transmises d’un responsable de traitement à un autre. (Quand cela est possible).
  • Retirer leur consentement car les personnes doivent donner leur accord avant la collecte de leurs données personnelles
  • Ouvrir une réclamation auprès d’une autorité de contrôle

Lorsqu’une demande est formulée par un internaute, sur un des points précités, l’organisme ou entreprise qui la reçoit à 1 mois, à date de réception, pour traiter et donner un avis favorable à la demande.

Où sont stockés les données analytics ?

S’il y a un transfert des données en Union Européenne ou bien dans un autre pays, celui ci doit avoir la même règlementation, l’utilisateur qui a consenti à donner ses informations personnelles doit le savoir.

La personne en charge du traitement des données doit également savoir où sont stockées les informations que collecte son outil web analytics.

Au regard du règlement, si 2 organisations ont la même activité, alors elles sont conjointement responsables du traitement des données personnelles. En d’autres termes, elles partagent la responsabilité.

La sanction est de 4% du chiffre d’affaires annuel ou 20 millions d’euros, en cas d’infraction à la législation.

Quelles sont les finalités de la collecte et les données sont elles corrélées entre elles ?

Les finalités de la collecte de données doivent être explicites et légitimes. Les données collectées doivent répondre aux objectifs fixés par l’organisation. L’internaute doit toujours être au courant de l’utilisation faite de ses données. Les données collectées ont reçu un consentement dans un cadre précis, il ne faut pas en dévier en utilisant les données dans un autre cadre.

Les données à des fins de profilage ? Attention ! Vous devez faire une étude d’impact visant à savoir quelles sont les répercussions sur la protection des données. Si cela n’est pas fait, vous vous exposez à une amende très onéreuse.

A surveiller : eprivacy :

C’est une première vision qui sera affinée pour être prête le 28 Mai.

Il est question notamment de l’usage des cookies qui devrait être simplifié. Les cookies auront des paramètres globaux et une fonction do not track, par défaut plutôt que l’acceptation qui est préconiser aujourd’hui.

Les outils analytics seront peut-être dispensés de ce paramètre.

Cela reste des suppositions, il faut attendre la version actée pour confirmer ou infirmer ces dires.

Pour plus d’informations :

 

La CNIL nous dévoile un guide pour bien se préparer à ces changements

  • Designer un pilote : le DPD (Délégué à la Protection des Données)

Une personne au sein d’une entreprise ou bien d’un organisme public doit être désignée afin de mettre en place le nouveau règlement, de le faire appliquer, de le faire respecter. Ce sera le Délégué à la Protection des Données (DPD). le DPD a plusieurs missions : informer, conseiller, contrôler le respect du règlement et coopérer avec l’autorité de contrôle.

Le responsable du traitement des informations doit publier les coordonnés du DPD et les communiquer à l’autorité de contrôle. Le délégué à la protection des données doit pouvoir être joignable à tout moment et surtout avoir une ligne directe (assistance téléphonique spécifique, formulaire de contact spécifique …).

Il est obligatoire d’en désigner un et il est soumis à la confidentialité.

  • Cartographier vos traitements de données personnelles

Vous devez tenir une documentation précise sur ce que vous faites des données personnelles et vous assurer que l’utilisation des données soit en règle.

Pour chaque traitement des données vous devez vous posez ces questions : Qui / Quoi / Pourquoi / Où / Jusqu’à quand / Comment ?

  • Prioriser les actions

Vous devez identifier les différentes actions à mener pour vous conformer aux obligations du règlement. Mettez-en place des mesures afin de protéger les données personnelles et identifier les traitements à risque.

  • Gérer les risques

Cette étape vous permettra d’évaluer s’il y a des risques lors du traitement des données personnelles, des personnes impactées par la collecte d’informations. Si oui, vous devez mettre en place des mesures qui permettront de réduire ce risque.

  • Organiser les processus internes

Vous devez garantir aux utilisateurs que leurs informations sont en permanence en sécurité, que le traitement de leurs données ne sera jamais impacté par de potentiels risques (faille sécurité par exemple)

Vous devez vous renseigner sur, comment agir, si jamais vous avez un incident de ce type.

  • Documenter la conformité

Pour répondre aux attentes et prouver votre conformité au règlement, vous devez fournir une documentation attestant de vos actions mises en place afin de garantir la protection des données personnelles.

Bien évidement les actions doivent être réexaminées afin de garantir une protection en continue.

 

Plus d’informations sur les actions à mener et les documents à vous procurer, ici.

————————————————–

Bee4, votre agence web analytics à Paris et à Lyon.

Vous voulez en savoir plus sur notre expertise d’agence web analytics ?

Bee4 est une agence web analytics, basée à Paris et à Lyon.

Stay in touch !

Camille