Le RGPD et le digital analytics : Les 5 choses à savoir (partie 1) | Analytics
Êtes-vous prêt pour le Règlement général sur la protection des données (RGPD)?
Que votre réponse à cette question soit un grand « oui » ou bien un « non » prononcé d’une voix inquiète, cela ne changera rien à la date fatidique du 25 mai 2018, à laquelle le Règlement général sur la protection des données (RGPD) de l’Union Européenne entrera en vigueur.
Vous ne savez pas encore vraiment si vous êtes concerné par le RGPD ? La réponse est très probablement « oui » :
Si vous traitez des données personnelles provenant d’utilisateurs qui se trouvent dans l’Union Européenne, et donc si vous utilisez le digital analytics pour analyser les actions de visiteurs de l’UE sur votre site internet ou sur votre application mobile, alors oui, vous êtes concerné par le RGPD.
Ce règlement est complexe, et les entreprises qui ne le respectent pas s’exposent à des amendes colossales). Pour vous aider à préparer vos activités analytics à l’application du RGPD, nous avons donc développé les 5 questions essentielles auxquelles vous devrez être capable de répondre en matière de données digital analytics. Nous aborderons ces 5 points dans cet article en deux parties. Nous y expliquerons également, en toute transparence, pourquoi l’Analytics Suite d’AT Internet est une solution analytics parfaitement conforme au RGPD.
Entrons dans le vif du sujet. Voici la première question à laquelle vous devez être capable de répondre avec certitude :
1. Quels types de « données à caractère personnel » collectez-vous ? Comment sont-elles gérées ?
Selon le RGPD, les « données à caractère personnel » correspondent à « toute information se rapportant à une personne physique identifiée ou identifiable […] qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant […] ».
En termes de digital analytics, les données à caractère personnel correspondent à toute donnée de navigation collectée lors d’une visite d’un internaute sur une plateforme digitale. Par conséquent, toutes les données disponibles dans votre solution digital analytics doivent être considérées comme des données à caractère personnel.
Le RGPD exige que les données à caractère personnel ne soient conservées que tant qu’elles restent nécessaires à leur objectif initial, et que les utilisateurs finaux soient informés de cette période.
Dans la mesure où votre solution analytics peut collecter un large éventail de données personnelles, il est important d’éclaircir plusieurs points avec votre fournisseur : la nature des données recueillies, la façon dont elles sont gérées, leur lieu de stockage et leur période de conservation.
Et n’oubliez pas ! Dans le cadre du RGPD, vous êtes tenu, de même que votre fournisseur de digital analytics, de documenter les informations ci-dessus afin de recenser et de consigner les flux de données personnelles qui circulent dans votre organisation.
Comment le respect du RGPD est-il assuré par AT Internet ?
AT Internet stocke toutes les données analytics collectées dans l’Union Européenne.
Exemples de stockage pour ces données personnelles :
- Les données relatives aux adresses IP sont conservées pendant 6 mois maximum. (En savoir plus sur la façon dont nous traitons et anonymisons les adresses IP)
- Nous stockons les données de géolocalisation pendant 6 mois maximum. (Pendant la collecte, nous tronquons toutes les coordonnées GPS en degrés décimaux à deux décimales ; nous ne les collectons jamais dans leur totalité. Les coordonnées tronquées sont ensuite converties en une carte de densité qui fournit uniquement des informations au niveau national. Les données détaillées ne sont jamais représentées.)
- Nos cookies sont actifs pendant une période fixe de 13 mois, à l’issue de laquelle ils disparaissent de l’ordinateur de l’utilisateur. (Le cookie d’AT Internet ne contient qu’un identifiant alphanumérique ; aucune autre donnée n’y est stockée.)
2. Faites-vous preuve de transparence sur les données des utilisateurs que vous collectez ? Notamment sur l’information relative aux droits des utilisateurs ?
Le RGPD exige une transparence totale de la part des « responsables du traitement des données » (entreprises et des organisations) ; celles-ci doivent utiliser « des termes clairs et simples » pour informer les « personnes concernées » (utilisateurs finaux) sur les données à caractère personnel qui sont collectées, leur lieu de stockage et la période pendant laquelle elles sont conservées (voir la section précédente). Vous êtes également tenu, de même que votre fournisseur analytics, d’aviser clairement les utilisateurs finaux de leurs droits, notamment pour :
- demander l’accès à leurs données personnelles ;
- réclamer leur modification, leur suppression ou la limitation de leur traitement ;
- exercer leur droit à la portabilité des données ;
- retirer leur consentement à tout moment ;
- ouvrir une réclamation auprès d’une autorité de contrôle.
Consultez l’article 13 du RGPD pour en savoir plus sur les informations à fournir explicitement.
Le RGPD exige des organisations qu’elles répondent aux demandes provenant de personnes concernées « dans les meilleurs délais » et au plus tard un mois à compter de leur réception.
Pour résumer, un internaute peut vous demander à tout moment de récupérer, de modifier ou d’effacer toutes les données le concernant : vous devez donc être en mesure de procéder à ces opérations facilement, et au plus vite !
Votre fournisseur analytics a-t-il la possibilité de localiser et d’effacer toutes les données à caractère personnel d’une personne en particulier ? Dispose-t-il d’un responsable de la protection des données, qui garantit le respect des droits des utilisateurs finaux ?
Comment le respect du RGPD est-il assuré par AT Internet ?
AT Internet dispose des ressources nécessaires pour récupérer, modifier ou effacer n’importe quelle donnée personnelle dans un délai convenable. Nous entrons directement en contact avec les utilisateurs finaux à ce sujet lorsque cela s’impose.
Nous communiquons, clairement et dans la plus grande transparence, sur les droits des utilisateurs finaux dans notre politique de confidentialité. Nous proposons également une option de désabonnement, destinée à ceux qui ne souhaitent pas que leur activité soit suivie par notre solution web analytics.
Par ailleurs, AT Internet compte dans ses rangs un Délégué à la Protection des Données, Nicolas Boudillon, chargé entre autres de garantir la conformité d’AT Internet, de faire le lien avec les clients et les utilisateurs finaux au sujet des demandes portant sur la confidentialité, d’assurer la liaison avec les autorités de protection des données et de tenir informés les employés d’AT Internet sur l’évolution des exigences en matière de protection des données.
La semaine prochaine, dans la deuxième partie de cet article, nous aborderons 3 autres points que vous devez impérativement connaître au sujet de votre solution et de vos données digital analytics pour vous préparer à l’application du RGPD. Vous pouvez aussi les découvrir dès maintenant dans ce guide téléchargeable gratuitement :