Le RGPD vient de fêter son premier anniversaire. C’est une date importante pour la protection des données au sein de l’UE. À cette occasion, AT Internet a créé un guide complet sur la façon de vous assurer que votre activité digital analytics est entièrement conforme à la réglementation. Une série d’articles et un quiz sur le RGPD accompagnent le guide pour vous mettre à la page !

Dans le premier blog, nous avons vu les 12 erreurs de jeunesse du RGPD après 12 mois d’existence . La seconde partie se concentre sur le futur de la réglementation. Quelle sera l’évolution du RGPD ?

De nombreuses entreprises ne sont pas encore en conformité…

De nombreuses études ont été publiées lors du premier anniversaire du RGPD. Elles ont révélé que beaucoup d’entreprises ne respectent toujours pas la réglementation. Une enquête réalisée par Infosecurity Europe indiquait que plus des deux-tiers des entreprises ne sont pas conformes au RGPD après un an d’existence. Nombre de répondants à l’enquête pensent que les entreprises ne prennent pas la réglementation au sérieux et que les organismes de contrôle du RGPD sont trop indulgents dans l’application de la réglementation. Une étude plus ancienne réalisée par IT Governance auprès d’entreprises dans plusieurs secteurs d’activité révélait que seuls 29 % des entreprises avaient mis en œuvre toutes les modifications nécessaires pour être respecter les obligations du RGPD. Jusqu’à 25 des 28 sites Web gouvernementaux européens officiels ne seraient pas non plus en conformité.

Les géants américains de la tech sont également loin de respecter la réglementation européenne de 2018. L’afflux récent de plaintes contre les systèmes d’enchères en temps réel (RTB) déposées en Belgique, au Luxembourg, aux Pays-Bas et en Espagne a mis l’accent sur le fait que le RTB entraîne des violations « à grande échelle et systématiques » de la réglementation européenne de protection des données. La pratique de Google consistant à collecter des données personnelles pour dresser le profil des utilisateurs d’Internet à des fins de ciblage publicitaire (et la diffusion à un grand ensemble de marques à travers l’adtech) a été qualifiée par Johnny Ryan, directeur de la stratégie chez Brave, de « violation des données de masse et continue ».

Des amendes à venir

La CNIL a déjà infligé une deuxième amende de 400 000 euros (€) à la société immobilière française Sergic à la fin du mois de mai pour avoir échoué à protéger correctement les données des utilisateurs de son site Web et pour avoir mis en place des procédures de stockage de données inappropriées.

La commissaire irlandaise à la protection des données, Helen Dixon, a déclaré que des amendes substantielles étaient prévues dans les prochains mois ». L’autorité irlandaise de protection des données, qui est devenue le principal organisme de réglementation sur le RGPD pour la plupart des grandes entreprises technologiques basées en Irlande, a actuellement 18 enquêtes en cours.

Toutefois, elle a aussi déclaré « que la mise en œuvre et l’exécution de sanctions significatives prend du temps » et qu’il existe un ensemble d’étapes procédurales pour établir la base d’une enquête, comme obtenir des autorisations des parties concernées et interagir avec d’autres autorités de contrôle dans le cadre d’un traitement transfrontalier. Depuis la mise en application du RGPD, elle a ouvert des enquêtes sur Facebook et ses services WhatsApp et Instagram, trois enquêtes sur Twitter, deux sur Apple, une sur LinkedIn, et la dernière en date contre Google Ads.

Parallèlement au Royaume-Uni, la commissaire à l’information Elizabeth Denham a déclaré que l’ICO a quelques « cas importants en cours d’étude ». Toutefois, elle a aussi indiqué qu’il est essentiel que les autorités de contrôle « établissent un précédent fort dans l’action d’application qu’elles mènent », l’ICO se concentrant en particulier sur l’ad tech et le traitement des données relatives aux enfants.

Bien que l’introduction du RGPD a établi les bases des pratiques liées à la sécurité et la confidentialité des données, 2019 est une année critique qui dira si des mesures exécutoires plus contraignantes sont appliquées.

Le règlement ePrivacy

Faisant suite au RGPD et s’alignant sur les objectifs de celui-ci, le réglement ePrivacy (ePR) devrait entrer en vigueur en 2019. Abrogeant la directive ePrivacy de 2002, il vise à atteindre le même niveau de protection que celui offert par le RGPD pour les citoyens européens et concernera toutes les communications électroniques. Le nouveau réglement s’appliquera aux entreprises qui fournissent n’importe quel type de communication en ligne, utilisent des technologies de tracking ou sont impliquées dans des opérations de marketing direct électronique.

Le règlement a pour but de protéger les données de communication des utilisateurs, notamment les métadonnées. Avec de nouveaux services comme WhatsApp, Facebook Messenger et Skype détenant tous ce type d’informations utilisateur, le nouveau réglement ePrivacy offrira aux utilisateurs davantage de contrôle sur le type de métadonnées stocké. Si les personnes ne donnent pas leur consentement, les entreprises devront supprimer ces informations et ne pourront plus les collecter par défaut.

Cela permettra aussi de simplifier et de rationaliser les règles concernant les cookies, la nouvelle règle étant beaucoup plus intuitive. Les paramètres de navigateur permettront aux utilisateurs d’accepter ou de refuser en toute simplicité les cookies de tracking et autres services identificateurs. Cela permettra aussi de clarifier qu’aucun consentement n’est nécessaire pour :

  • les cookies non intrusifs envers la confidentialité qui améliorent l’expérience Internet (par ex. en gardant en mémoire l’historique du panier d’achat)
  • les cookies utilisés par un site Web pour compter le nombre de visiteurs.

Une autre proposition majeure du réglement ePrivacy concerne la protection contre le spam (y compris, les appels téléphoniques), l’interdiction des communications électroniques non sollicitées par e-mail, SMS et les appareils d’appel automatisés. En fonction de la loi nationale, les individus seront protégés par défaut ou pourront utiliser une liste de numéros spécifiques pour ne pas recevoir d’appels téléphoniques marketing. Les appelants marketing devront afficher leur numéro de téléphone ou utiliser un préfixe spécifique indiquant qu’il s’agit d’un appel marketing.

Certaines amendes liées au RGPD couvriront les manquements liés au règlement ePrivacy

Le règlement ePrivacy sera appliqué via la législation nationale et les amendes pourront varier entre les pays, mais elles sont presque toujours inférieures à l’amende maximale autorisée dans le cadre du RGPD. Toutefois, selon l’EDPB, certaines activités de traitement des données, comme l’utilisation de cookies à des fins publicitaires basées sur le comportement, entrent dans le cadre du RGPD et du règlement ePrivacy.

Ce dernier sera aussi aligné sur le RGPD en termes de consentement utilisateur. L’utilisateur devra donner son consentement via une « action affirmative non ambigüe ». Tout comme pour le RGPD, les cases préalablement cochées seront interdites. L’approche du RGPD envers le consentement a été réaffirmée en mars 2019 dans le cas Planet49, où le bureau de l’Assemblée générale a décrété que les cases préalablement cochées ne constituent pas l’expression du consentement de l’utilisateur envers les cookies.

Politique européenne du Digital Single Market

2019 sera une année décisive pour donner toute sa crédibilité au cadre légal du RGPD et pour prouver que ce défi européen ambitieux peut fonctionner dans la pratique. Le RGPD et la réglementation ePrivacy font partie de la politique du Digital Single Market européenne. Il s’agit d’une initiative visant à développer les opportunités sur le plan numérique pour les individus et les entreprises, et à améliorer la position de l’Europe en tant que leader mondial de l’économie numérique. Cette politique, qui fait partie de l’agenda numérique de l’Union européenne et qui est une initiative Europe 2020, vise à améliorer l’accès aux produits et services en ligne, les conditions de croissance des services et réseaux numériques et à stimuler la croissance de l’économie numérique européenne.

La stratégie Europe 2020 vise à résoudre les problèmes tels que :

  • réformer la loi européenne sur les droits d’auteur (copyright)
  • revoir les règles des médias audiovisuels
  • géoblocage
  • ventes transfrontalières
  • réformer les règles européennes sur les télécommunications
  • traitement des données à caractère personnel par les services numériques
  • bâtir une économie pilotée par les données

L’arrivée du CCPA (California Consumer Privacy Act)

Le CCPA devrait entrer en vigueur le 1er janvier 2020. Bien que le CCPA s’inscrive dans la tendance mondiale sur la confidentialité des données, il diffère du RGPD de plusieurs manières. Premièrement, le CCPA requiert que les entreprises mettent en place des canaux de communication spécifiques, par exemple des numéros de téléphone et des sites Web, afin que les résidents de Californie puissent demander des informations sur leurs données. Il élargit la définition des données à caractère personnel en Californie pour inclure les données et informations domestiques provenant d’appareils connectés à l’Internet des objets (IoT). Le CCPA établit un ensemble distinct d’exigences quant à la suppression des données et impose de nouvelles exigences pour la vente de données à des fins commerciales.

Cette nouvelle loi est encore en grande partie en cours d’élaboration, notamment en ce qui concerne la définition des informations personnelles. Malgré tout, elle devrait avoir un impact significatif car elle obligera les entreprises américaines à prendre en compte la notion de confidentialité des données pour la première fois. Étant la réglementation américaine sur la confidentialité la plus stricte à ce jour, sa tâche sera ardue. En effet, seuls 14 % des entreprises californiennes indiquent être en conformité avec le CCPA à ce jour…


Pour un digital analytics conforme au RGPD !

 L’Analytics Suite d’AT Internet est à 100 % conforme au RGPD. La protection des données et le respect de la confidentialité des utilisateurs constituent le cœur de notre approche analytics depuis plus de 20 ans.

Fournisseur européen indépendant depuis le tout début, AT Internet a toujours adhéré à des directives européennes strictes sur la confidentialité et la protection des données, qui ont contribué à façonner l’entreprise. Notre solution a été développée selon une approche de type Privacy by design.

Nos relations de longue date avec la CNIL, l’autorité française de protection des données, et la TÜV en Allemagne valident la conformité de l’Analytics Suite. Ces organismes de confiance nous décernent, année après année, leur certificat de conformité.

Les règles de protection des données évoluent ! Lisez notre dernier guide GRATUIT : Digital Analytics et le RGPD – un an après, êtes-vous conforme ?

Guide RGPD 2019
Author

Bilingual Editorial & Translation manager (Londonien !) Rédacteur expérimenté en BtoB et BtoC, Chris est un expert en création de contenu éditorial ciblé (communication interne et externe). Il sait délivrer des messages clés sur les sites web et mettre en place des outils éditoriaux impactant dans le but de captiver et fidéliser le lecteur. Sa mission : dompter le flux d'informations et proposer du contenu pointu et intéressant pour les publications d'AT Internet et ses clients internationaux.

Comments are closed.