Blog GlobalSign

11 janv. 2019

Si Google et Facebook n’étaient pas prêts pour le RGPD, comment l’être ?

Le 25 mai dernier, le Règlement général sur la protection des données (RGPD) a ébranlé le monde numérique en ouvrant une nouvelle ère vers la normalisation des règles de protection des données personnelles. Cette législation historique fixe les lignes directrices pour que la collecte, la manipulation, le traitement et le partage des données utilisateurs soient effectués en bonne et due forme. Bien que le règlement soit basé dans l’Union européenne (UE), toute entreprise qui interagit avec les données de personnes qui résident dans l’UE ou sont résidents européens doit se conformer à l’ensemble de ces règles.

Avec la mondialisation de la vie des affaires, la plupart des grands groupes — ainsi qu’une majorité écrasante de petites et moyennes entreprises — sont concernés par le RGPD.

Même après plusieurs milliards de dollars d’investissements pour se mettre en conformité avec le RGPD, de grandes entreprises sont déjà poursuivies en justice pour certaines de leurs pratiques jugées non conformes aux exigences du règlement.

Même ces entreprises n’étaient pas suffisamment préparées au RGPD. Et vous, l’êtes-vous ?

Étudions ce qui n’a pas fonctionné pour les grands de la planète business pour éviter que vos démarches de mise en conformité au RGPD ne vous condamnent au même sort.

Comment obtenir un consentement en bonne et due forme ?

La question du consentement a été le premier élément déclencheur d’une série d’entorses au RGPD constatées dès les premiers jours de l’entrée en vigueur du Règlement. Ainsi, dans les 24 heures qui ont suivi la prise d’effet du RGPD, des poursuites judiciaires ont été lancées contre Facebook et Google en lien avec le RGPD -- poursuites qui pourraient se traduire par des sanctions avoisinant les 8,8 milliards de dollars.

Mais quelle infraction au RGPD pourrait coûter une somme aussi astronomique à Facebook et Google ?

Vice de consentement

Selon les poursuites engagées contre Google, l’entreprise aurait illégalement recours à un système de « consentement forcé » et empêcherait ainsi les utilisateurs qui refusent de céder préalablement leurs données personnelles d’accéder à certains logiciels Android.

La question du « consentement global » est au cœur de la plainte contre Facebook. Selon les plaignants, le site aurait forcé ses utilisateurs à accepter ses politiques et conditions générales en forçant ceux qui n’avaient pas donné leur consentement d’abandonner totalement la plateforme — une stratégie autoritaire et intransigeante.

Or, au sens de l’article 7 du RGPD, cette forme de consentement n’est pas légitime. En vertu du RGPD, pour que le consentement soit valide il doit être :

  • Positif : la personne concernée doit agir pour manifester son consentement aux pratiques annoncées pour l’utilisation des données. En clair : au lieu de présenter une option par défaut (ex. une case pré-cochée indiquant que la personne accepte les conditions ou donne autorisation pour une utilisation de ses données à des fins marketing), les utilisateurs doivent pouvoir cocher eux-mêmes une case, ou manifester leur consentement par un acte positif clair.
  • Libre : c’est à ce niveau que se pose la question du « consentement global ». La personne concernée doit pouvoir exprimer librement son consentement sans contrainte, ni manipulation ou autre condition. En subordonnant l’utilisation de sa plateforme à l’acceptation de ses conditions, Facebook contrevient à cette règle du RGPD.
  • Spécifique : l’utilisateur doit donner un consentement spécifique pour chaque finalité (collecte ou traitement des données) pour laquelle vous sollicitez son consentement. Lorsqu’il donne son consentement, l’utilisateur doit le faire pour une finalité spécifique de collecte ou de traitement des données, et non de manière globale. Par conséquent, vous ne pouvez pas demander aux utilisateurs d’accepter votre politique de confidentialité et de recevoir une lettre d’information hebdomadaire dans une seule et même option d’adhésion (opt-in). Ils doivent accepter chaque point séparément.

Si votre entreprise compte sur le consentement de ses utilisateurs pour collecter des données personnelles, ne tombez pas dans les mêmes pièges que Facebook et Google. Vérifiez que chaque point pour lequel vous obtenez le consentement des utilisateurs satisfait aux exigences ci-dessus.

L’intégration des dispositifs d’adhésion appropriés sur vos formulaires, dans vos e-mails et sur vos pages Web n’a pas à constituer une contrainte de temps ou peser sur vos ressources. Le Web regorge d’outils de formulaires axés sur la conformité qui sont disponibles parfois gratuitement et qui permettent d’ajouter les cases à cocher nécessaires au recueil de consentement.

Les politiques que vous appliquez sont-elles conformes au RGPD ?

Alors que le gros des plaintes déposées contre Facebook et Google portait sur leur incapacité à obtenir un consentement en bonne et due forme, se posait aussi la question du consentement autour de leurs politiques juridiques. En vertu du RGPD, les utilisateurs doivent non seulement consentir à la collecte de leurs données, mais ils doivent également avoir la possibilité de consentir aux dispositions de la politique et des conditions de protection de la vie privée de l’entreprise.

Le RGPD a donné un tour de vis sur les modalités de recueil du consentement des utilisateurs aux politiques juridiques des entreprises, et relevé les exigences vis-à-vis de ces politiques — et plus précisément des politiques de protection de la vie privée.

Pour éviter les faux pas, on devra tenir compte de ce qui suit pour élaborer une politique de protection de la vie privée conforme au RGPD :

Privilégiez l’exhaustivité

Vous l’aurez probablement remarqué : le RGPD exige un niveau inédit d’attention aux détails de la part des entreprises. Le Règlement oblige les chefs d’entreprises et responsables Web à analyser en détail leurs pratiques de collecte de données et à les expliquer clairement aux utilisateurs et aux organes de réglementation.

Exemples de questions à vous poser :

  • Quelles données recueillez-vous ?
  • A quelles fins utilisez-vous ces données ?
  • Pour quelles raisons traitez-vous des données ? (L’article 6 du RGPD énonce six fondements possibles au traitement des données : consentement, intérêts légitimes, sauvegarde des intérêts vitaux, obligation légale, exécution d’un contrat et mission d’intérêt public.)
  • Partagez-vous des données avec des tiers ?
  • Transférez-vous des données en dehors de l’UE ? (C’est le cas des entreprises américaines qui s’adressent aux citoyens de l’UE. Vous devez également préciser la localisation de vos serveurs et de la destination de transfert des données.)
  • Avez-vous un délégué à la protection des données ?
  • Avez-vous un représentant de l’Espace économique européen (EEE) ?

Il ne s’agit là que d’exemples d’informations à inclure dans votre politique de protection de la vie privée pour être en règle avec le niveau de détail exigé par le RGPD. Précisez idéalement dans votre politique de confidentialité toutes vos interactions avec les données des utilisateurs.

Faites le choix de la transparence

Avant le RGPD, les politiques de protection de la vie privée n’étaient pas nécessairement élaborées en pensant au public. Malgré une volonté de communiquer sur leurs modalités de traitement des données personnelles de leurs clients, les entreprises ne considéraient pas toujours la lisibilité de leurs politiques comme une priorité — du moins jusqu’à maintenant.

L’article 12 du RGPD tente de rendre les politiques de protection de la vie privée plus lisibles et compréhensibles aux utilisateurs, sans qu’ils aient besoin d’être diplômés en droit ou en gestion et administration des entreprises. Cet article du règlement prône l’utilisation d’un « langage clair et simple » et « d’une transparence de l’information et de la communication » dans les politiques de confidentialité des entreprises.

Examinez vos politiques et règlements, et posez-vous la question suivante : « En lisant ce document, mes clients peuvent-ils vraiment comprendre comment nous interagissons avec leurs données ?»

Conseil : Si le document que vous lisez est truffé de jargon juridique, de sens cachés et de formulations alambiquées, ce n’est clairement pas le cas.

Rendez votre politique accessible

Revenons à vos politiques juridiques et sur la façon dont vous recueillez le consentement de vos utilisateurs. Le temps et les efforts que vous consacrez à l’amélioration de votre politique de protection de la vie privée pour sa mise en conformité au RGPD sont stériles si vous ne faites rien pour en faciliter l’accès à vos utilisateurs.

Sur les pages, les formulaires, les fenêtres contextuelles et/ou les e-mails dans lesquels vous demandez à vos utilisateurs d’accepter ces politiques, pensez à inclure des liens vers vos politiques. Maintenez également des liens vers vos politiques de confidentialité, conditions de service et autres conditions contractuelles à partir du menu ou du pied de page de votre site pour que les utilisateurs y accèdent facilement.

Communiquez-vous correctement sur vos mesures en faveur du respect de la vie privée ?

Jusqu’à présent, les échecs sur la voie de la conformité au RGPD ne se sont pas uniquement traduits par des actions en justice de plusieurs milliards de dollars, comme celles intentées contre Facebook et Google. En fait, les entreprises dont les échecs ont été les plus médiatisés sur Twitter sont celles qui ont tenté d’obtenir à nouveau l’accord de leurs clients ou annoncé leurs démarches de conformité par courriel.

Vous prévoyez d’envoyer un e-mail à vos clients pour obtenir leur consentement ? Vous souhaitez les informer des modifications apportées à vos politiques ? Le chemin du RGPD est un véritable champ de mines ; pour éviter de tomber, suivez les conseils suivants :

1. Joignez le geste à la parole

Lorsque la société WeBuyAnyCar a adressé un e-mail à ses utilisateurs pour leur demander d’accepter ses nouvelles conditions de service et d’indiquer s’ils souhaitaient continuer à recevoir des messages de l’entreprise, les clients ayant choisi de ne pas recevoir ces messages n’ont trouvé qu’un lien cassé. Or, offrir aux utilisateurs la possibilité de contrôler leurs données sans leur donner les moyens efficaces d’exercer ce contrôle va à l’encontre des objectifs de conformité du RGPD

2. Respectez les préférences de vos clients

L’an dernier, pour anticiper l’entrée en vigueur du RGPD, Flybe et Honda ont sollicité l’accord de leurs clients par e-mail pour pouvoir utiliser leurs données à des fins d’e-mailing. Malgré leur volonté de se mettre en conformité, les deux entreprises ont manqué leur coup puisqu’elles ont envoyé leurs e-mails en masse à leurs listes de désabonnement.

Coût total de ce fiasco : 83 000 GBP. Tombée avant la prise d’effet du RGPD, la sanction aurait probablement été beaucoup plus lourde si elle avait été imposée en vertu du règlement. La leçon à retenir ? Respectez les souhaits de vos clients et ne les contactez plus lorsqu’ils se sont déjà désabonnés.

3. Ne faites pas plus de mal que de bien

Dans la course au RGPD, certains échecs sont particulièrement cuisants. C’est le cas d’entreprises qui, en voulant respecter la vie privée de leurs utilisateurs, se sont tiré une balle dans le pied. Prenons par exemple les revers subis par Ghostery et VITL. Ces deux sociétés ont envoyé des courriels pour crier haut et fort qu’elles se mettaient en conformité et donner aux utilisateurs les moyens de contrôler leurs préférences. En omettant cependant de masquer les contacts des autres destinataires de leur liste de diffusion, elles ont ainsi communiqué des milliers d’adresses électroniques sans autorisation.

On retiendra donc qu’en cas d’envois multiples, il est indispensable d’ajouter vos listes de diffusion dans le champ Cci ! Moins évident, mais tout aussi important : restez prudent et ne prenez pas la conformité RGPD à la légère. C’est un parcours qui ne se fait pas du jour au lendemain ; d’ailleurs, mieux vaut ne pas essayer. Les entreprises doivent prendre le temps d’établir les mesures nécessaires, et le faire avec soin, puis faire évoluer leurs pratiques en matière de traitement des données afin de respecter les normes établies par le RGPD.

Conclusion

Si le Règlement général sur la protection des données marque un véritable tournant, ce n’est pas la seule législation à faire bouger les lignes. Jamais la barre n’avait été mise aussi haut dans le domaine de la protection de la vie privée des utilisateurs. D’autres règlements allant dans le même sens seront bientôt adoptés.

Pour éviter les amendes salées et les atteintes à la réputation dues à certaines erreurs de parcours, prenez les devants : revoyez vos pratiques de gestion des données et offrez à vos clients plus de transparence et de contrôle sur les informations les concernant.

À propos de l’auteur

KJ Dearie est spécialiste de la gestion de produits et consultante en protection de la vie privée pour le site Termly. Elle conseille les patrons de petites entreprises sur les bonnes pratiques dans le domaine de la vie privée numérique et de la conformité aux dernières lois pour la protection des données.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

par KJ Dearie

Partager ce blog

Bilan post-RGPD: leçons de transformation numérique d’un délégué à la protection des données