GDPR & Digital Analytics part 2

Dans la première partie de cet article, nous avons exposé les implications du RGPD pour vos données digital analytics, notamment en ce qui concerne les données à caractère personnel et les droits des utilisateurs. Cette semaine, nous allons définir les 3 autres questions centrales que vous devez vous poser sur votre solution digital analytics afin de vous préparer au RGPD.

 

3. Où vos données analytics sont-elles stockées ? Sont-elles transférées en dehors de l’Union Européenne?

Si les données à caractère personnel sont transférées en dehors de l’Union Européenne, le RGPD exige que le ou les pays concernés disposent d’un niveau adéquat de protection des données, c’est-à-dire qu’ils appli­quent des mesures de protection équivalentes aux normes Européennes. L’utilisateur final doit également être averti du fait que ses données sont transférées ou stockées hors de l’Union Européenne.

 

Là encore, dans la mesure où les solutions digital analytics collectent et stockent des données à caractère personnel (souvent hors de l’Union Européenne), il est essentiel de demander à son fournisseur analytics il les conserve, si elles sont transférées ailleurs et si les utilisateurs finaux sont clairement informés de ces emplacements de stockage et de transfert.

 

Comment le respect du RGPD est-il assuré par AT Internet ?

AT Internet traite et stocke toutes les données personnelles au sein de l’Union Européenne ; jamais elles ne sont transférées en dehors de l’UE. Ces informations sont facilement accessibles dans notre politique de confidentialité, ainsi que dans les contrats de nos clients.

 

4. Quel est le champ de responsabilité de votre fournisseur analytics ?

Il est crucial de vous assurer que votre fournisseur analytics (un « sous-traitant ») a clairement défini le périmètre de sa responsabilité dans votre contrat. Dans la mesure où les amendes peuvent s’élever à 20 millions d’euros ou à 4 % de votre chiffre d’affaires mondial annuel (le montant le plus élevé des deux !), mieux vaut ne pas se retrouver à devoir tout assumer parce que votre fournisseur n’a pas bien défini dans son Accord de Traitement de Données ce qui relève de sa mission (ou, pire encore, parce qu’il vous fait porter toute la responsabilité !).

 

En tant que responsable du traitement des données, vous êtes également tenu de choisir soigneusement un sous-traitant et de décider du type d’activités de traitement des données que vous mènerez. En d’autres termes, sélectionnez judicieusement vos fournisseurs : ils doivent être conformes au RGPD !

 

Comment se positionne AT Internet ?

L’Analytics Suite d’AT Internet est conforme au RGPD au même titre que le groupe AT Internet en tant qu’organisation. Par conséquent, nous nous engageons à informer nos clients avec la plus grande transparence dans notre Accord de Traitement de Données.

 

Nous fournirons à chacun de nos clients un Accord de Traitement de Données, qui définira précisément le périmètre de notre responsabilité en tant que sous-traitant, et de la vôtre en tant que responsable du traitement.

 

Si vous travaillez avec un autre fournisseur de digital analytics, nous vous recommandons vivement de vérifier les termes de votre contrat pour vous assurer que la responsabilité ne vous est pas automatiquement transférée (par le biais de limitations dans les clauses de responsabilité), et qu’il est clairement indiqué comment votre fournisseur traite et protège les données personnelles.

 

5. À quelles fins vos données analytics sont-elles utilisées ? Pratiquez-vous le profilage ?

Dans le cadre du RGPD, les données personnelles doivent uniquement être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».

 

En d’autres termes, les données de vos visiteurs doivent exclusivement être utilisées dans le but d’atteindre le ou les objectifs dont vous les avez informés, par exemple (dans le cas de l’analytics), améliorer leur expé­rience sur votre site ou leur proposer des contenus personnalisés. Elles ne doivent PAS servir à des fins pour lesquelles ils n’ont pas donné leur consentement.

 

Il est également important de bien comprendre la notion de « profilage » tel que le RGPD le définit : « toute forme de traitement automatisé de données à caractère personnel […] pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant […] le comportement, la localisation ou les déplacements de cette personne physique. » Si vous utilisez les données analytics à des fins de profilage, vous avez l’obligation de réaliser une analyse d’impact relative à la protection des données afin de garantir et de démontrer votre responsabilité et conformité.

 

Si vous réalisez d’autres sortes de traitement de données personnelles susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, vous êtes également obligé de mener une analyse d’impact relative à la protection des données. Si cette analyse indique un niveau élevé de risque résiduel, vous devez consulter votre autorité de contrôle (la CNIL en France) qui a un rôle de conseiller.

 

Consultez les directives concernant l’analyse d’impact relative à la protection des données du groupe de travail Article 29 sur la protection des données.

Téléchargez le logiciel de la CNIL qui facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données.

Comment se positionne AT Internet ?

Avec AT Internet, vous restez toujours propriétaire de vos données. Nous n’utilisons ni ne fusionnons jamais les données analytics de nos clients à nos propres fins.

 

Les outils de digital analytics peuvent permettre de réaliser des opérations de profilage. En conséquence, nous avons mené une analyse d’impact relatif à notre service de mesure d’audience. Il apparait que le traitement réalisé par AT Internet dans le cadre d’une utilisation normale du service (telle que cette utilisation est définie dans notre Accord de Traitement de Données) ne présente pas de risque élevé pour les droits et libertés des personnes concernées.

 

***

 

Nous espérons que ces 5 points vous aideront à examiner d’un œil critique vos activités analytics, et qu’ils vous permettront d’identifier les actions à mettre en œuvre pour vous préparer à l’application du RGPD. Si vous n’êtes pas sûr de la réponse à certaines questions, n’hésitez pas à demander des explications à votre fournisseur d’analytics : il doit être un véritable partenaire dans la démarche de mise en conformité des données et des processus analytics avec le RGPD. Par conséquent, il doit être en mesure de vous donner une réponse transparente et détaillée à chacune de ces questions.

 

Vous êtes déjà client AT Internet ? Détendez-vous : en travaillant avec nous et en utilisant l’Analytics Suite, vous avez déjà choisi une solution digital analytics entièrement conforme au RGPD ! Acteur européen indépendant depuis plus de 20 ans, AT Internet a toujours adhéré à des directives européennes strictes sur la confidentialité et la protection des données, qui ont contribué à façonner l’entreprise. Nous avons, dès les premiers jours, développé nos outils en prenant toujours en considération le respect de la vie privée. C’est pour nous une valeur fondamentale, qui est au cœur de notre approche de l’analytics.

 

Vous retrouverez toutes ces informations dans un guide téléchargeable gratuitement :

GDPR Guide FR
Vous voulez la garantie d’une solution analytics 100 % conforme au RGPD et entièrement transparente ? Nos équipes seront ravies de répondre à vos questions sur le sujet !
Auteur

Native de la Silicon Valley, Ashley possède 10 ans d’expérience en tant que concepteur-rédacteur marketing, ayant travaillé auparavant dans le marketing B2B digital chez Google. Elle a rejoint l’équipe AT Internet en 2014 où elle contribue à créer et à déployer nos communications internationales dans 6 langues. Le challenge qu’elle préfère : utiliser des mots sans chichis pour transformer l’univers digital, avec toute sa complexité et son évolution perpétuelle, en message clair, captivant et concret.

Comments are closed.