La revue de web de Kat
Une réforme essentielle de protection des données personnelles entre en vigueur demain. Nous sommes tous inquiets. Mais faisons-nous le nécessaire?
Vos données personnelles sont pillées sur Internet. La donne va-t-elle changer dès ce vendredi en Europe? Ce 25 mai, entre en vigueur le Règlement général de protection des données personnelles (RGPD) qu’il vous faudra valider, un par un, service après service.
Pour filer la métaphore, le New York Magazine a trouvé la bonne formule: c’est comme une colonie de termites habitant depuis longtemps dans votre maison et qu’on obligerait à se présenter à vous, un à un, et à vous demander poliment la permission de rester...
Pourquoi cela reste obscur
Depuis plusieurs jours, vous recevez mails ou alertes vous demandant de valider le RGPD. Cela vous concerne de près, beaucoup plus intimement que vous ne l’imaginez.
Facebook, WhatsApp, Airbnb, associations, collectivités, banque: dès vendredi, aucun de ces acteurs, jusqu’au plus petit, ne pourra traiter vos données personnelles sans votre consentement "clair et explicite". Voilà pour le texte. Dans les faits, c’est plus obscur.
"C’est normal", décrypte Hervé Michelland, expert en sécurité informatique (1). La stratégie de la plupart des entreprises dont le business est de commercialiser votre vie privée, c’est de tout faire pour opacifier les choses." Circulez, y’a rien à voir.
Un business lucratif
La collecte de nos données personnelles est un business mondial extrêmement lucratif, notamment chez les Gafa (Google, Apple, Facebook, Amazon).
Selon la Commission européenne, la valeur de l’économie de la donnée pourrait passer à 739 milliards d’euros en 2020 (285 milliards d’euros en 2015.
"En naviguant sur Internet, en utilisant des services sur nos smartphones, on se trouve dans un eco système dont le but est de collecter des masses d’informations à caractère personnel, comme un mineur (ou un termite donc, ndlr) et de les monétiser. Dites-vous bien que quand un service est gratuit sur Internet, c’est que le produit c’est vous."
Faut-il donc se plonger dans la validation du RGPD que chaque service nous envoie en ce moment?
"C’est comme se poser la question d’acheter un appartement et de se demander si on doit s’intéresser à la vie du quartier. Évidemment, oui", conseille Hervé Michelland. Il s’agit de notre vie privée!"
Que risquent associations, entreprises, etc.?
"Si elles exploitant vos données sans consentement, la sanction est colossale, jusqu’à 4% du chiffre d’affaires mondial. Et cela concerne non seulement les entreprises, associations, etc., mais aussi leurs sous-traitants.
"Et ce sera à l’entreprise d’origine de vérifier que ses sous-traitants appliquent bien les règles, sans cela les deux seront condamnées », explique Hervé Michelland.
Faut-il se méfier de tout?
A des degrés divers, nous sommes tous un peu perdus dans cette jungle. L’expert rappelle deux points importants. "D’un, sur Internet la notion de confidentialité n’existe pas. Deux, Internet n’oublie jamais rien. Quand vous avez ceci à l’esprit, et que vous l’utilisez avec prudence, il ne peut rien vous arriver de désagréable."
En matière de droit à l’oubli, le RGPD apporte des progrès. "Google vient de mettre à disposition un formulaire (2) où l’on peut consulter toutes les infos accumulées sur nous, et offre la possibilité de les purger."
Sur Internet, on sait tout de vous ; noms de vos enfants ou petits-enfants (avec leurs photos), capacité d’emprunt, numéro de sécu, données bancaires, adresse, plats préférés, magasins de prédilection, déplacements, etc.
Alors, laisserez-vous les termites continuer à piller votre vie privée?
Var-Matin 24 mai 2018
A new European law goes into effect on May 25, 2018, that will require changes for almost everyone who publishes information online. In my opinion, this is a very good law. However, if you write a genealogy blog or collect email addresses for those who read your genealogy data online, you need to be aware of the changes that might be required of your web site.
Even though the General Data Protection Regulation (GDPR) is a European law, it affects almost everyone who publishes information online. Just because you live in North America or in Asia doesn’t mean you can ignore this new law. The law covers privacy requirements, and we all live in a digital world where data privacy is of the utmost importance. If you have one or more readers in Europe, you need to comply with the new law. In fact, I would suggest everyone should follow the new guidelines simply as a matter of common sense, regardless of where your readers reside. Compliance should be easy.
The General Data Protection Regulation, otherwise referred to as GDPR, is new legislation that strives to put the control back in the hands of European Union citizens when it comes to their personal information. Since it will require changes to web sites worldwide, the result will be better privacy for all of us, regardless of where we live.
Once the new law goes into effect, an individual can retrieve details on what personal information is being held about him or her, who is using it, how they’re using it, and how it’s being stored. Additionally, information is to be provided on how individuals can request copies of this data, and even more, they can request to be completely deleted from the web site’s database (which goes beyond the simple “Unsubscribe” button).
Will this affect you? The answer is “Yes” if your answer is affirmative for any of these questions:
Do you have a newsletter list with at least one person in the European Union?
Have you posted at least one Facebook ad to advertise your blog or other information you publish online?
Are you maintaining a mailing list to be used on social media?
Do you use PayPal or Square or any other type of eCommerce platform to accept credit card payments your readers or customers?If you answered “Yes” to any of the above questions, you must comply with the new law. That is true with you make money with your web site or not, even nonprofits must comply with the new law. Luckily for you, compliance is easy.
The primary thing to remember is that individuals in the European Union must explicitly opt-in to communications from you. You cannot add anyone in the European Union to your mailing list without that person’s stated permission. You cannot just add someone to your email list because they asked you a question; they must have given explicit permission to be added to the mailing list.
Likewise, when anyone in the European Union asks to be deleted from your mailing list, you must delete that person’s information immediately. That is referred to as “opt-out” of the mailing list. There are to be no exceptions.
With GDPR, you must be able to provide an audit trail of how and when each person opted-in, should you ever be asked to provide substantiation.
Most mailing list software, such as MailChimp or Mailer Lite or FeedBlitz (which is used by the eogn.com web site), already complies with the new GDPR law. The bigger risk is for someone who MANUALLY maintains a mailing list and is unaware of the new law’s requirements. Fines for noncompliance could cost $20 million Euros. And… yes, the European courts have legal methods of collecting those fines from North American violators of the new law.
Purchasing a mailing list online and sending unsolicited emails to the list has always been a poor business practice, but now it will become illegal. Of course, sending spam mail will become illegal, but I suspect the new law won’t impact spam mail very much. Those who send spam mail have always ignored most other laws, and I suspect they will ignore the new law as well.
If you have questions about the General Data Protection Regulation, you should consult your legal counsel for additional information. You can also read more at the new law’s support page at https://www.eugdpr.org/ as well as on hundreds of web sites by starting at https://duckduckgo.com/?q=%22https%3A%2F%2Fwww.eugdpr.org%2F%22&t=hg&ia=web.
Pour l’heure, en France, la loi protège l'intimité génétique de chacun. Mais la Suisse est sur le point de craquer. Et demain, les assurances trieront-elles leurs clients en fonction de leurs gènes? 3 mars 2018
Êtes-vous le seul propriétaire de vos gènes? Qui d’autre que vous peut avoir accès au prodigieux coffre-fort informatif que constitue votre patrimoine génétique? Durant des millénaires ces questions ne se posèrent pas: personne ne disposait de la clef. Et les assurances privées n’avaient pas été inventées. Vint la découverte de l’ADN. C’était dans la seconde partie du siècle dernier. Puis tout s’emballa dans l’ivresse d’une quête scientifique et médicale aux parfums d’eldorado.
Les assureurs sont très intéressés par nos données
Inaccessible, le coffre-fort génétique devint visible. Puis de plus en plus accessible. Se substituant aux cartomanciens, les généticiens annonçaient des miracles prédictifs. L’esprit de conquête, de lucre et la publicité suivirent: vous pouvez aujourd’hui (un prélèvement de salive, quelques cheveux ou une goutte de sang suffisent) connaître quelques aperçus d’une vérité personnelle, génétique et généalogique. Il vous suffit pour cela de contacter 23andme (c’est l’exemple le plus célèbre) ou l’une des entreprises similaires –comme la belge DNAVision du transhumaniste français Laurent Alexandre.
Dans ce nouveau contexte, quid de la préservation de l’intimité biologique héréditaire? Rempart contre cette irrésistible dynamique planétaire au service de la transparence génétique: la France, ses valeurs et son corpus législatif de bioéthique. Officiellement, tout y est verrouillé depuis les premières lois de 1994 transposées dans l’article 16-10 du code civil:
«L'examen des caractéristiques génétiques d'une personne ne peut être entrepris qu'à des fins médicales ou de recherche scientifique. Le consentement exprès de la personne doit être recueilli par écrit préalablement à la réalisation de l'examen, après qu'elle a été dûment informée de sa nature et de sa finalité. Le consentement mentionne la finalité de l'examen.»Or la situation évolue aujourd’hui à très grande vitesse, outre-Atlantique mais aussi en Suisse:
«Notre gouvernement vient de soumettre au Parlement un projet de loi sur l’analyse génétique humaine. C’est un modèle du genre, ce texte prend en compte la subtilité des enjeux en une dentelle juridique destinée à protéger les citoyens de tout abus et à leur garantir la maîtrise de leur génome, explique à Slate.fr le Dr Bertrand Kiefer, rédacteur en chef de la Revue Médicale Suisse. Cette loi fait comme si notre pays était un monde étanche, fermé sur lui-même. La réalité, celle du marché mondial du séquençage et de la loi de la jungle qui y règne, n’est qu’à peine évoquée. Mais il n’y a pas que cela.»
Il poursuit:
« La politique suisse a aussi, comme celle des autres pays, ses forces qui sont loin d’avoir la défense de la personnalité de chacun comme objectif. Ainsi, sous pression du lobby des assureurs, une commission du Parlement chargée d’une première lecture de ce projet de loi lui a infligé un sérieux coup de canif. Elle a demandé que les assurances sur la vie –ou celles couvrant l’invalidité– puissent exiger, à partir d’un certain montant de couverture, d’avoir accès à toutes les analyses génétiques déjà effectuées par la personne. Que ce soit dans un cadre médical ou de manière libre, sur internet par exemple.
Si le Parlement accepte ce que lui propose sa commission, les citoyens suisses feront bien d’éviter toute analyse génétique, y compris sur internet (les clauses de confidentialité n’empêchent pas toujours de vendre la liste des clients). Ils feraient bien aussi de refuser de participer à toute bio-banque et aux recherches susceptibles de séquencer leur génome. Sans indication médicale vraiment impérative, le mieux pour eux serait de rester dans le vieux monde de l’ignorance génétique. Car il est dans l’ordre des choses que si le Parlement ouvre cette brèche, quantité d’autres lobbies voudront aussi accéder à l’intimité génétique de chacun.»
En France
Qu’en est-il en France? Ce questionnement s’inscrit dans le cadre général de la connaissance par les assureurs des «données de santé», données dites «sensibles» et qui, à compter du 25 mai prochain, feront l’objet du «Règlement général sur la protection des données» (RGPD). Pour l’heure ces données sont clairement protégées par un ensemble de dispositions incluant le secret médical et le respect d’un code de bonne conduite. Si l’on excepte les contrats d’assurance complémentaire santé (collectifs ou individuels) qui interdisent la prise en compte de ces données et les indemnisations de dommages corporels, ce sont les contrats d’assurance en cas de décès et ceux inhérents à des emprunts bancaires importants (pour projets immobiliers notamment) qui sont ici concernés.
«Dans certains cas, la déclaration sur l’honneur peut être suffisante, précise-t-on à Slate.fr auprès de la Fédération Française de l’Assurance (FFA). Dans d’autres situations, en fonction des montants, une visite médicale peut être demandée ainsi que des investigations complémentaires. Mais dans tous les cas le cadre général de la protection des données est impérativement respecté.»
On peut y ajouter les récentes «dispositions relatives au “droit à l’oubli”», dont peuvent désormais théoriquement bénéficier les malades guéris de pathologies qui, hier, leur interdisaient l’accès aux assurances.
Cette situation apparaît d’autant plus solide que l’interdiction qui est faite aux assureurs français d’avoir recours aux tests génétiques est inscrite à la fois dans le code de la santé publique, dans le code des assurances et dans le code pénal (sanctions prévues: jusqu’à 225.000 euros d’amende).
«Tous les traitements de données de santé sont fortement encadrés, outre le respect de la loi informatique et libertés du 6 janvier 1978 et du pack de conformité assurance de la CNIL, tous les traitements de données de santé sont couverts par le secret professionnel, ce qui implique l’intervention d’un médecin conseil ou d’un membre du personnel spécifique, souligne-t-on auprès de la FFA. Et l’entrée en application du RGPD ne modifiera pas le fondement légal de ces traitements.»
«Vous cibler pour vous vendre tel ou tel produit, ou éventuellement vous refuser telle ou telle assurance»
Il est difficile d’imaginer que cette situation restera très longtemps figée. Les puissants opérateurs français de l’assurance (et ceux, internationaux, de la réassurance) ne cachent nullement leur intérêt pour l’évolution du cadre et des pratiques dans le monde anglo-saxon.
«Pour notre part, si nous devions exprimer un regret, ce serait celui de ne pas pouvoir avoir accès aux données publiques françaises anonymisées dont dispose notamment aujourd’hui l’Assurance Maladie», nous explique-t-on auprès de la FFA. Une Assurance Maladie qui vient d’ailleurs d’être mise en demeure par la Commission nationale de l’informatique et des libertés (CNIL) d’améliorer sous trois mois son système de protection informatique des milliards de données personnelles de santé qu’elle détient.
Aucune volonté chez les assureurs français de violer les libertés individuelles et le secret médical. Mais bien le souci assurantiel consubstantiel d’ajuster au mieux leurs calculs pour des prises maximales de profit fondées sur une connaissance approfondie du risque.
De ce point de vue les assureurs français sont dans une situation paradoxale, corsetés dans leur impossibilité d’avoir une connaissance des risques prédictif –et ce alors que ces mêmes risques sont de plus en plus fréquemment et planétairement affichés par les premiers concernés (voir «Nebula Genomics» ou «Patientslikeme»). Cette dynamique est d’autant plus rapide que les prix des tests génétiques ne cessent de s’effondrer et que chacun peut y avoir accès (y compris en France où ils sont officiellement interdits).
«Il faut ici faire la part entre les simples “analyses génétiques” désormais facturées une centaine d’euros et les “séquençage complet” de l’ADN, de l’ordre du millier d’euros, auxquels il faut ajouter le coût des interprétations, nous explique le généticien moléculaire Bertrand Jordan. Outre-Atlantique les premiers succès ont été assurés à 23andMe par l’engouement massif pour la quête génétique généalogique de ses origines –et ce alors que la solidité des informations à prétention médicale pouvait aisément être mises en doute. Puis vinrent les contrats entre ces firmes et celles des entreprises pharmaceutiques.»
Au final, selon Bertrand Jordan, «23andMe» aura réussi à accumuler un ensemble de données génétiques et cliniques auxquelles l’industrie pharmaceutique accorde aujourd’hui une grande valeur –tout en faisant financer cette collecte par les patients eux-mêmes.
«Profils génétiques, informations médicales, et bientôt séquence d’ADN (obtenue dans le cadre des contrats passés avec Genentech, Pfizer ou d’autres), tout cela intéresse beaucoup de monde, assurances, marketing pharmaceutique, qui peuvent, au vu de ces informations, vous cibler pour vous vendre tel ou tel produit, ou éventuellement pour vous refuser telle ou telle assurance, écrivait déjà Bertrand Jordan dans la revue Médecine/Sciences en 2015.
Les garanties que donne l’entreprise ne peuvent être totalement rassurantes: on a vu avec Google et Facebook comment ces promesses pouvaient se diluer au fil du temps, ou même être carrément oubliées, et on sait aussi qu’une séquence d’ADN “anonyme” peut assez facilement être rattachée à une personne précise. Notre “intimité génétique’” est en danger (…), le problème est général, mais particulièrement aigu pour ce qui concerne notre santé et notre génome. Oui, décidément, nous risquons bien d’assister à la fin de la vie privée, ou tout au moins d’une certaine idée de l’intimité.»
Trois ans plus tard, la menace ne cesse de croître. Et le citoyen français informé des menaces et des enjeux, ne peut que regretter que le sujet soit étrangement absent de l’agenda de ses États généraux de la bioéthique –une entreprise pourtant démocratique qui nous interroge officiellement sur «le monde que nous voulons pour demain».
À dire vrai, depuis un siècle ou presque, assureurs ou pas, l’alternative finale ne change guère: Aldous Huxley ou George Orwell.
0 - La question à vous poser pour tout traitement
Pour toutes les données que vous souhaitez collecter et/ou que vous conserver la question principale à vous poser c'est : "Est-ce pertinent de conserver cette information et pourquoi la collectez-vous ?", si la réponse et non supprimez là ou ne la collectez pas. On reviendra plus loin dans l'article sur cette question à se poser et vous verrez que ça aide à clarifier certain point très particuliers.
1 - Consentement à demander
Comme c'est déjà le cas pour les cookies, vous devez demander le consentement de manière explicite à l'internaute pour la collecte/traitement de données personnelles telles que l'adresse IP, prénom, nom, etc. C'est valable pour tous les services : Google Analytics/Adsense/Adwords, Facebook, Twitter, AddThis, etc.
Vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de tous les services, soit de le faire un service à la fois. Vous pouvez aussi grouper cookies et collecte de données, mais attention vous risquez de nuire à la lisibilité de l'information et une information floue est souvent cause de rejet par l'internaute. Attention toutefois à demander un consentement en bloc vous risquez de voir un refus de l'internaute juste pour un traqueur de moindre importance pour votre site, par exemple, le pixel Facebook, mais il est vrai que c'est tout de même plus simple pour l'internaute de devoir valider une seule fois.
Consentement explicite : vous n'avez pas le droit de mettre des messages du genre : "Si, vous continuez à naviguer sur notre site, vous acceptez etc." où la plupart du temps si vous ne cliquez pas sur "OK" et que vous consultez une autre page du site les cookies se mettent en place automatiquement. Vous devez donc avoir un bouton "Autoriser" et "Refuser", les termes devant être compréhensibles par un enfant, vous n'aurez pas le droit de faire des tournures très compliquées pour embrouiller l'internaute et le faire cliquer sur OUI.
Il y a toutefois des exceptions aux demandes d'acceptation de cookie, tout cookie servant au bon fonctionnement de l'application ne doivent pas être nécessairement stipulés dans les mentions légales et ne fait pas l'objet de consentement préalable à l'internaute. Cela aussi ne change pas par rapport à la précédente réglementation déjà en vigueur.
2 - Logs de serveur : un cas particulier
On est tous d'accord que dans les logs serveur d'Apache, Nginx ou IIS il y a des données personnelles tel que l'adresse IP de la personne et dans d'autres logs l'adresse e-mail de l'internaute (mail.info par exemple). Ma question à la CNIL a été de savoir si je devais demander là aussi un consentement préalable à la collecte de ces données, ce qui entre nous serait une tâche complexe à mettre en œuvre.
Du coup la réponse a été : "Pourquoi l'a collectez-vous et dans quel but ?" (mon fameux point 0), pour ma part ce n'est jamais dans des cas statistiques, c'est généralement pour faire de la recherche incident notamment en cas d'attaques ou de tentatives d'attaques informatiques. C'est important si vous utilisez un SIEM.
La durée de conservation maximale des logs ? 1 an après les données doivent être détruites (code des télécommunications), car on le voit souvent le délai de détection des APT est généralement de 3 à 6 mois, il paraît donc inutile de les conserver plus d'une année.
Doit-on demander le consentement à l'internaute ? Étant donné la finalité du traitement et la durée, vous n'êtes pas obligé de demander le consentement, mais comme vous y oblige déjà la loi informatique et libertés, vous devez en faire mention dans vos mentions légales. Ces données échappent à la CNIL sauf, si vous l'utilisez à des fin statistiques, il faudra donc en demander le consentement.
3 - Preuve du consentement
Le RGPD demande aussi que tout responsable de traitement puisse apporter la preuve du consentement de la personne qui aurait accepté un traitement, ce n'est pas nouveau c'est déjà le cas dans le droit commun. Sur ce point, je n'ai eu pour réponse uniquement : "La formalisation de la preuve de consentement pour être recevable n'a pas encore été transposée en droit Français", ce n'est en effet pas nécessaire de l'être, car c'est un règlement.
Grosso modo vous devez conserver la preuve du mieux que vous pouvez, car il y a peu de chances que nous ayons plus d'informations à ce sujet. Pour le moment, aucun texte de loi de figure à l'agenda du Parlement. Vous noterez aussi que la loi CNIL a déjà été modifiée pour se conformer au RGPD.
Il faudra notamment apporter un éclaircissement sur la preuve de consentement par les parents pour un mineur, car via un simple clic "Moi parent autorise..." ça me paraît léger.
4 - Durée du consentement
Une fois le consentement donné il n'y a pas de limite de validité, il est valable tant que l'utilisateur ne change pas d'avis. Cela concerne la collecte et le traitement des données, mais le consentement pour les cookies lui à toujours une durée maximale de 13 mois...
Attention toutefois, si vous ajoutez un nouveau service à votre site Internet, par exemple AddThis, vous devrez demander le consentement pour ce service. Si vous faites des consentements par bloc, le risque est de voir un utilisateur qui avait consenti à les refuser suite à cet ajout.
Cela va vous obliger à bien réfléchir la mise en place de nouveaux services pour vos internautes.
5 - Les formulaires
C'est aussi un cas un peu particulier, car l'internaute les remplis de son plein gré et de ça propre volonté. Cependant, vous devez tout de même pour chaque formulaire indiqué la durée de conservation des données et leurs finalités. N'oubliez pas de mentionner si vous conservez l'adresse IP, car on ne lui demande pas de manière explicite à la saisie dudit formulaire.
Pour un formulaire de demande de contact, comme me l'a dit la CNIL, si vous avez répondu à la demande, vous pouvez le supprimer directement la conservation n'étant plus pertinente le plus souvent. Bien entendu si vous souhaitez le conserver en tant que prospects dans vos bases vous en avez le droit tout en respectant la loi CNIL et le RGPD. C'est d'ailleurs souvent le cas sur les sites WordPress avec Flamingo et Contact Form 7 qui sauvegarde automatiquement les messages. Il faut juste indiquer dans vos mentions légales combien de temps seront conservées les données, honnêtement 6 mois seront largement suffisants, avec toujours un maximum d'une année.
Si l'échange doit avoir une valeur de preuve pas besoin de traitement particulier par contre comme me l'a fait remarquer Pierre Desmarais c'est surtout une question de : "degré de force probante".
Ne gardez pas les formulaires plus d'un an, le consentement lui est sans limite de validité. Au final, reprenez la question au point 0 et vous saurez si ces informations issues d'un formulaire doivent être conservées.
Vous n'êtes pas obligé d'afficher les informations au niveau du formulaire, mais un lien vers les mentions légales sur la section traitant du formulaire et une preuve de transparence en facilitant l'accès aux explications. Vous n'êtes pas obligé de faire une section par formulaire, sauf si l'un ou l'autre donne lieu à une autre finalité du traitement et/ou de sa durée.
Typiquement pour les newsletters la durée de conservation sera jusqu'à la demande de suppression de l'internaute ou si vous jugez qu'il n'est plus pertinent de lui envoyer des e-mailings, car il ne les ouvre jamais.
6 - Mise en place technique
Le plus gros chantier, vous devez l'avoir déjà fait en théorie, en effet la plus grosse difficulté pour la mise en place sur votre site Internet du consentement de l'internaute est à 90% près celui qui doit être en place pour l'acceptation des cookies.
Sur un site réalisé avec WordPress, je vous le concède, ça devient vite compliqué, il vous faudra faire le deuil de la majorité de vos plugins favoris tant qu'ils n'ont pas eu de mise à jour pour être conforme. Et d'ailleurs ne rêvez pas car il devrait déjà l'être pour les cookies, notamment AddThis, Yoast pour ne parler que de ces deux-là.
Il faut aussi voir que la simple utilisation de fonctionnalités natives de WordPress deviennent compliquées, notamment l'insertion d'une Twitter Card, il devient dorénavant impossible d'utiliser l'ajout natif de WordPress, vous devrez utiliser une autre solution... Ce sera de même pour l'insertion de vidéo Youtube, de player calameo et de carte Google Maps... En effet, ces insertions natives insèrent directement le code des services en question et il y aura collecte des données et de cookie sans consentement préalable.
Pour vous simplifier la vie vous pouvez notamment utiliser des gestionnaires de tag tel que Tarteaucitron (open-source) qui vous permettra de gérer plus de 50 services. C'est d'ailleurs ce dernier qu'utilise la CNIL pour gérer consentement et cookie sur son site Internet.
7 - Les sites de vos clients ?
Vous êtes une agence de communication et vous avez réalisé de très nombreux sites et vous commencez à vous dire : "La charge de travail pour mettre nos clients en conformité va être énorme". Vous avez raison, mais vous avez l'obligation de l'en informer, car c'est lui qui est gestionnaire de son site donc responsable du traitement des données.
Attention toutefois si vous n'avez pas livré un site conforme à la législation sur les Cookies, vous êtes en tort, car vous n'avez pas averti votre client et n'avez pas fourni une solution conforme.
Pour rappel seul le gestionnaire du site Internet est responsable de sa déclaration à la CNIL ou non. Avec le RGPD vous serez aussi responsable en tant que sous-traitant, bonne nouvelle les déclarations à la CNIL elles disparaissent en mai 2018 avec l'application du RGPD.
Remerciements :
Je tiens à remercier la CNIL pour le temps accordé, sachez d'ailleurs qu'ils sont à votre disposition pour toutes questions liées à leurs domaines et c'est vraiment appréciable.
Un très grand merci à Pierre Desmarais (@DesmaraisPierre) pour sa relecture et ses commentaires sur l'article, sans lui je l'avoue, il n'aurait pas été aussi précis et aurait laissé passer une ânerie ou deux.
Cet article n'engage bien sûr pas ces personnes, mais je tenais à les remercier.
Conclusion
Étant donné l'état actuel de la formalisation du RGPD en droit Français tout n'est pas clairement défini ni applicable en l'état. Par contre, ce que vous devez faire dès a présent c'est suivre les 6 étapes proposées par la CNIL (cf : Se préparer en 6 étapes), notamment la cartographie et les actions à mener.
D'un point de vue personnel, je comprends le but de ces réglementations et je trouve que c'est une bonne chose que de donner le droit aux usagers de pouvoir simplement se protéger. Par contre, que ce soit à nous gestionnaire du site Internet de demander l'accord pour les services externes je dois bien avouer que je trouve ça limite. Car au final c'est surtout le service externe qui va tirer le plus grand bénéfice de ces données de tracking.