La notion de donnée à caractère personnel est incontournable depuis l’entrée en vigueur du RGPD le 25 mai 2018. Chaque jour, nous parlons plus généralement de ‘données personnelles’, créant de fait un amalgame avec les informations qui permettent d’identifier directement une personne : un email, un numéro de téléphone ou un numéro de sécurité sociale. Dans cet article, nous nous attacherons à définir précisément ce qu’est une donnée à caractère personnel, telle qu’elle est inscrite dans le règlement général sur la protection des données (RGPD) ; nous expliquerons son utilisation à travers une solution analytics et nous évaluerons enfin les risques d’un usage non-conforme.

Qu’est-ce qu’une donnée à caractère personnel ? 

Les « données à caractère personnel » sont définies par l’article 4.1 du RGPD comme suit : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligneou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » 

D’après le règlement européen, sont donc considérés comme des données à caractère personnel : 

  • les informations reliées à des adresses IP, dont les fournisseurs d’accès à Internet (FAI) détiennent la correspondance avec des personnes physiques ; 
  • les informations reliées à des identifiants cookies ou mobiles, qui sont rattachés à un terminal utilisateur ; 
  • les informations reliées à tous types d’identifiants, même pseudonymisés, comme par exemple un identifiant d’utilisateur logué à un service et dont l’éditeur détient la correspondance avec la personne physique inscrite ; 
  • toutes les caractéristiques comportementales en ligne d’un individu. 

Pseudonymisation et anonymisation, quelle différence ? 

Sur son site, la CNIL rappelle la différence entre la pseudonymisation et l’anonymisation : 

  • La pseudonymisation « est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. Elle consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l’identité de ceux-ci grâce à des données tierces : les données concernées conservent donc un caractère personnel.» (Voir également l’article 4.5 du RGPD). 
  • L’anonymisation « est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. » 

Bon à savoir : la définition de donnée personnelle n’est pas la même partout dans le monde. 
En effet, il existe notamment la notion de Personally Identifiable Information (PII) en Amérique du Nord, qui semble diverger de la notion de données à caractère personnel tel qu’elle est définie dans le RGPD. 

Comment sont utilisées les données à caractère personnel en Analytics ? 

Dans tout outil de digital analytics, les données, ou évènements, collectées via un tag sont rattachées à un identifiant visiteur qui permet de créer des segments ou des cohortes nécessaires aux analyses marketing. 

De manière générale, il faut bien distinguer deux types d’identifiants liés à une personne et permettant de recouper des évènements ou des données : l’identifiant visiteur et l’identifiant utilisateur

Qu’est-ce qu’un identifiant visiteur ? 

Un identifiant visiteur est issu des traceurs. Pour rappel, il est considéré comme « traceur » toute opération de lecture ou d’écriture sur un terminal utilisateur. 

En France, la CNIL parle de « Cookies, Fingerprinting, Pixels ou tout autre identifiants ». Au Royaume-Uni, l’ICO parle de « Cookies and similar technologies ». Enfin, en Allemagne, la DSK parle de « Pixel, Fingerprinting-Methods, IP-Adresses, Cookie-IDs, Advertising-IDs or Unique-User-IDs ». 

Comment est créé un identifiant visiteur ? 

L’identifiant cookie ou mobile, le pixel de tracking, le fingerprinting (correspondant à l’association de l’adresse IP et du User Agent), ou tout autre méthode qui permet de collecter de la donnée sur un visiteur, passe dans une fonction de hashage cryptographique afin de créer une valeur pseudonymisée commune à tous les évènements en provenance d’un même visiteur, d’un même terminal. Ces valeurs permettent d’effectuer des analyses sur la base de segments ou de cohortes, comme vu précédemment. 

À noter : cet identifiant visiteur est généré automatiquement par la solution analytics afin de permettre le calcul fondamental des visites, des sessions par exemple. 

Qu’est-ce qu’un identifiant utilisateur ? 

L’identifiant d’un utilisateur, par exemple logué sur une plate-forme, est généralement issu d’un outil CRM. Cet identifiant est propre à l’éditeur de la plate-forme. Sa transmission à la solution analytics est à l’appréciation de cet éditeur, qui agit généralement en tant que responsable de traitement. 

L’objectif de cet identifiant est en règle générale de pouvoir personnaliser les services fournis par la plate-forme, notamment en suivant les usages de cet utilisateur logué sur plusieurs appareils, là où l’identifiant visiteur est unique à chaque appareil.  Son éditeur doit s’assurer que les traitements effectués autour de cet identifiant sont licites, notamment en recueillant un consentement. En base de données, ces deux identifiants se retrouvent stockés pour permettre la réconciliation des évènements, des informations transmises via le tag. Ainsi, on peut procéder à une analyse sous forme de segments ou de cohortes. 

ID VisiteurID UtilisateurTime StampÉvénementSupport
66828B3C505E41234561604588400VidéoSmartphone
A194HI5634Z2N1604588700PageDesktop
92M33B698ETC11604787720NewsletterSmartphone
66828B3C505E41234561605780000PanierTablette

Quelles sont les données identifiantes et non identifiantes ? 

Comme tous les évènements sont rattachés à minima à un identifiant visiteur, on peut considérer que toutes les données de mesure d’audience sont, par défaut, des données à caractère personnel

Par ailleurs, il est important d’indiquer qu’en fonction du nombre et du type de propriétés ainsi que du type d’informations en base de données, le recoupement des données entre elles peut éventuellement permettre, plus ou moins facilement, de réidentifier une personne. 

Par exemple : 

  • Les informations dites « contextuelles » telles que des sources de trafic, des contenus visités (pages, vidéos, produits, …) ou encore une durée de la visite ou d’une session sont très peu identifiantes, sauf si elles sont recoupées avec d’autres informations. 
  • Enfin, si des informations directement identifiantes (par exemple, un email ou un numéro de téléphone) sont transmises via le tag, il va de soi qu’une personne pourra être réidentifiée directement. 

Bon à savoir : les données dites sensibles selon l’article 9 du RGPD, comme l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou encore l’appartenance syndicale, n’ont à priori pas leur place au sein d’une solution analytics. Si l’éditeur de la plate-forme, le responsable de traitement, souhaite utiliser ce type de données, il lui faudra prendre toutes les précautions nécessaires prévu par le RGPD et réaliser notamment un Privacy Impact Assessment (PIA)

Que penser des solutions analytics prétendument 100 % anonymes ? 

Certains éditeurs de solutions analytics annoncent que leur produit est 100 % anonyme et qu’il n’est, par conséquent, pas soumis au RGPD et au consentement. 

En effet, comme vu plus haut dans cet article, un mécanisme complet d’anonymisation permet de s’affranchir de certaines prédispositions du RGPD. Mais, la plateforme qui souhaite implémenter cette solution doit être vigilante à l’étude préalable pour :  

  • Valider la pertinence des analyses pour ses équipes métiers ; 
  • Valider qu’aucun traceur n’est utilisé pour la mise à disposition des données de cette solution. 

Comme vu précédemment, dès lors qu’un traceur permet de recouper deux évènements entre eux grâce à un identifiant, même pseudonymisé, il s’agit bien d’une donnée à caractère personnel selon le RGPD. Alors, toutes les dispositions pour garantir une conformité doivent être prises. 

Risques et obligations des outils de mesure d’audience vis-à-vis du RGPD 

Ne pas considérer par défaut les données de mesure d’audience comme des données à caractère personnel n’est pas conforme au RGPD et expose les éditeurs à plusieurs types de sanctions : 

  • Mesure de correction d’une autorité de contrôle (art. 58) : suppression des flux de données, effacement des données, interdiction de traitement, etc. 
  • Actions des individus et/ou de la société civile (chapitre 8) : recours en justice, représentation des personnes, brand shaming, etc. 
  • Amendes (art. 83) : 20 M€ ou 4 % du chiffre d’affaires mondial, pour les manquements les plus importants. 

Pour en savoir plus sur les risques, consultez le replay de notre webinar Analytics & Données Personnelles nouveaux enjeux, nouveaux risques et solutions

Les solutions analytics se basant sur les PII sont-elles conformes au RGPD ? 

Comme indiqué précédemment, la notion de Personally Identifiable Information (PII) ne semble pas être suffisante pour satisfaire la définition du RGPD, et les solutions analytics se basant sur les PII augmentent les risques liés au capital data, à l’image de marque ou aux sanctions listés dans le point précédent. 

Dans le paragraphe I. Données à Caractère Personnel de sa publication « Notes sur l’utilisation de Google Analytics dans le domaine non public » du 12 mai 2020, la DSK, l’union des autorités de contrôle fédérales allemandes, indique : « Dans l’aide Google Analytics, Google explique que les données d’utilisation ne sont pas des ‘informations personnelles identifiables’. Ce point de vue est non seulement en contradiction avec la définition de données à caractère personnel de l’article 4.1 du RGPD, mais il est également trompeur… » 

Il est également important de mettre en perspective le respect de cette définition de données à caractère personnel avec le respect des droits fondamentaux des personnes et notamment, dans le cadre de la mesure d’audience : le droit d’accès (art. 15) et le droit à l’effacement (art. 17). Ces deux droits doivent pouvoir être respectés et appliqués sur la base des données pseudonymisées issues des traceurs. 

En France, la CNIL précise dans le paragraphe 52 (art. 5) de sa délibération n°2020-091 du 17 septembre 2020), relatif à l’exemption spécifique pour les traceurs de mesure d’audience et portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978, modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur : « la Commission rappelle que les traitements de mesure d’audience sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD. » 

Par conséquent, une solution analytics qui n’est pas conforme à la notion de données à caractère personnel telle que définie par le RGPD, et qui, par ricochet, ne respecte pas les droits d’accès et à l’effacement, ne peut pas bénéficier d’une exemption préalable du recueil du consentement. 

Comment AT Internet simplifie votre mise en conformité RGPD ? 

Depuis sa création en 1996, AT Internet place la protection des données et le respect des citoyens au centre de son évolution. Ainsi, lorsque le RGPD est entré en vigueur en 2018, notre engagement privacy-by-design était déjà en place au sein de l’entreprise. 

En considérant toute donnée liée à un identifiant visiteur comme une donnée personnelle, AT Internet a su directement satisfaire aux obligations du RGPD.  

Aussi, nous respectons en tous points les engagements contractuels pris avec nos clients sur la transparence de leurs traitements analytics, notamment à propos du stockage intégral des données au sein de l’Union Européenne ; la finalité strictement limitée à la mesure d’audience et la propriété exclusive garantie sur leurs données. 

Ainsi, les clients d’AT Internet peuvent bénéficier, en France, et depuis décembre 2013, d’une exemption de recueil préalable de consentement afin de limiter les impacts relatifs à la gestion du consentement.   

En marge de la délibération CNIL du 17 septembre 2020, AT Internet a même innové en proposant désormais une Mesure HybrideCette solution permet de combiner les effets positifs d’une exemption de consentement, pour une finalité limitée dite « strictement nécessaire » au bon fonctionnement de la plate-forme, et d’un recueil de consentement pour une ou plusieurs finalités complémentaires, permettant un engagement plus spécifique avec les utilisateurs de la plate-forme. 

Pour en savoir plus, revivez notre webinar Nouvelles directives CNIL : impacts et solutions avec l’Analytics Suite

Author

Louis-Marie intègre AT Internet en 2011 en tant que Consultant Technique, puis Responsable d’équipe en 2015, avant d’occuper le poste de Responsable Projets Stratégiques en janvier 2019. Il est également nommé Délégué à la Protection des Données, d’abord en Allemagne, puis au niveau du groupe. Louis-Marie prend en charge les problématiques et l’expertise Data Privacy de la société depuis 2017.

Comments are closed.