Les violations du RGPD par les GAFAM sont, en ce début 2022, au cœur des préoccupations liées à la confidentialité des données.

La CNIL, en coopération avec ses homologues européens, a déclaré “illégaux les transferts de données personnelles européennes par Google Analytics” et a ordonné à plusieurs gestionnaires de sites web français de prendre les mesures nécessaires dans le cadre du RGPD et, le cas échéant, de cesser d'utiliser Google Analytics en l’état actuel.

Non seulement les GAFAM sont dans l'incapacité de garantir un stockage des données européennes au sein de l’UE, mais les lois de surveillance du gouvernement américain exigent spécifiquement des fournisseurs américains comme Google ou Facebook qu'ils transmettent les données à caractère personnel des internautes aux autorités américaines.

D'autres décisions des autorités chargées de la protection des données de différents États membres de l'UE devraient être annoncées prochainement et les régulateurs ont formé une « task force » du Conseil européen de la protection des données.

Cette démarche innovante de la CNIL revêt une importance particulière à la lumière de la proposition de règlement ePrivacy et de l'impact qu'il pourrait avoir sur la collecte, le stockage et la sécurité des données européennes par les GAFAM.

Quels sont les risques pour les entreprises françaises qui continuent à utiliser Google Analytics ?

La CNIL a conclu que les transferts vers les États-Unis ne sont actuellement pas suffisamment encadrés. Malgré l’adoption de mesures supplémentaires par Google pour encadrer les transferts de données dans le cadre du service Google Analytics, les processus actuels ne répondent toujours pas aux exigences du RGPD.

Ainsi, si les entreprises continuent à utiliser Google Analytics et, par extension, à exporter leurs données de manière illégale, la CNIL considérera ces transferts comme une violation du RGPD. Les gestionnaires de site web français sont appelés à se conformer immédiatement au règlement et, le cas échéant, à cesser d'utiliser Google Analytics en l'état actuel.

Une violation du RGPD peut entraîner une amende à hauteur de 20 millions d'euros ou de 4 % du chiffre d'affaires mondial. Elle peut également engendrer des coûts à long terme, tels que des mesures d'investigation et d'escalade, des coûts de communication des notifications, des actions de réponse à la violation des données, une perte d'activité et nuire à la réputation de l'entreprise. Pour rappel, une autorité de contrôle peut également demander la suppression des données collectées de manière illicite, ou la suspension des traitements sur ces données.

Comment les entreprises peuvent-elles s’assurer de respecter le RGPD ?

Les entreprises qui utilisent des données couvertes par le RGPD doivent travailler avec un fournisseur qui respecte la réglementation. Contrairement à Google Analytics, c’est le cas de Piano Analytics, dont la stratégie est en parfait alignement avec les dispositions du RGPD.

Voici les 5 règles relatives à la confidentialité des données que chaque entreprise doit comprendre pour respecter les règles du RGPD.

Avec Piano Analytics, votre entreprise est entre de bonnes mains

Le RGPD est complexe et comprend des dizaines d'articles présentant les règles et les normes que les entreprises doivent respecter pour protéger la vie privée des utilisateurs. Piano Analytics vise à simplifier la compréhension des articles essentiels de la réglementation actuelle en matière de protection de la vie privée afin que les entreprises puissent décider en toute confiance de la solution analytics qui leur convient.

Données stockées au sein de l’UE et transferts transparents

En vertu du RGPD, dont l'Article 5 stipule que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée », les entreprises sont contraintes de faire preuve d'une transparence totale sur la manière dont elles collectent, traitent et utilisent les données.

Autrement dit, elles doivent démontrer clairement leur engagement à protéger les informations des clients, mettre en place une politique de confidentialité solide, demander le consentement explicite pour l’utilisation des informations des clients et s'engager à ne pas partager leurs informations sans leur permission.

Piano Analytics s'engage pleinement à respecter la vie privée des utilisateurs et à protéger leurs données, en divulguant la manière dont nous recueillons, traitons et utilisons les données, tant sur nos sites web que sur ceux de nos clients utilisant notre solution de digital analytics.

Par ailleurs, toutes les données de Piano Analytics sont traitées et stockées au sein de l’UE. Il s'agit d'un engagement contractuel pris avec nos prestataires  et envers nos clients.

Gestion simple de l'opt-out

Le consentement des utilisateurs pour le traitement de leurs données est l'un des piliers du RGPD, qui exige qu'il soit « en préalable. » Autrement dit, le consentement doit être librement donné, spécifique, éclairé et fourni par une action affirmative claire et doit pouvoir être retiré par la personne concernée à tout moment. Le consentement ne peut être obtenu en l'absence d'action de la part de la personne concernée ou à travers des « cases pré-cochées ».

Piano Analytics met à la disposition des propriétaires de plateformes des méthodes opt-out first-party. Si nécessaire, un lien third-party est également disponible. Ainsi, les utilisateurs peuvent facilement et intuitivement « opt-out » du suivi des données, conformément au RGPD.

Définition des données à caractère personnel par Piano

Dans le RGPD, les données à caractère personnel sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable […], directement ou indirectement, notamment par référence à un identifiant. » L’Article 5 du règlement stipule également que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. » Autrement dit, tous les éditeurs de sites web et d'applications qui recueillent des données à caractère personnel doivent indiquer précisément comment ces informations sont collectées et utilisées.

Piano Analytics est explicite dans les informations fournies à nos clients pour leurs utilisateurs finaux et veille à ce que ces informations soient facilement accessibles et clairement exprimées. Nous fournissons à nos clients un Accord de traitement des données à caractère personnel définissant les rôles et les responsabilités de chacune des parties ainsi que des fonctions techniques spécifiques liées à la confidentialité garantissant une stratégie optimale pour le traitement des données à caractère personnel.

Les droits des utilisateurs finaux

De nombreux articles du RGPD traitent de la protection des droits des utilisateurs et sont applicables à toutes les entreprises qui y sont soumises. Il s'agit notamment du droit pour les utilisateurs d'accéder aux données, ou de les supprimer, de limiter ou de s’opposer à leur traitement. Les dispositions de ces articles permettent aux utilisateurs d’être véritablement en possession de leurs données à caractère personnel et de les récupérer et les gérer en tout temps.

Conformément au RGPD, Piano Analytics expose clairement la manière dont nous respectons la réglementation concernant les droits finaux de ses utilisateurs. Notre Accord de traitement des données à caractère personnel prévoit des dispositions spécifiques pour les droits des utilisateurs finaux relatifs aux éléments mentionnés précédemment.

Respectez la réglementation avec Piano Analytics

Piano Analytics s'est engagée il y a longtemps déjà à respecter la vie privée des utilisateurs et à promouvoir les valeurs fondamentales de la protection des données. Nous respectons le RGPD et sommes totalement transparents sur la manière dont nous collectons, traitons et utilisons les données, tant sur nos sites web que sur ceux de nos clients utilisant notre solution de digital analytics.

Demandez une démo pour découvrir comment Piano peut protéger votre entreprise contre les préjudices financiers et les atteintes à l’image causés par une violation du RGPD.

Lisez ces articles pour plus de détails sur les récentes amendes dont a fait l'objet Google pour ses violations du RGPD :

• Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros (2021)
• Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros et FACEBOOK à hauteur de 60 millions d’euros pour non-respect de la loi (2020)