Photo DR

Ces derniers mois, l’actualité liée au RGPD s’est fortement intensifiée. Quatre ans après sa mise en œuvre au niveau européen, des nouveautés ont vu le jour. En 2022, la CNIL va prioriser ses contrôles sur la prospection commerciale et l’hébergement des données hors UE via le cloud. Elle a également mis en demeure un gestionnaire de site web pour l’utilisation de Google Analytics et transfert de données vers les Etats-Unis. Vous avez besoin d’y voir plus clair ? Nous vous accompagnons vers la conformité de votre site web.

Parmi les thèmes de contrôle prioritaires de la CNIL cette année, la plupart des directions commerciales des entreprises ont remarqué que la prospection commerciale était l’une des trois thématiques retenues. Bien sûr, prospecter pour une entreprise fait partie du quotidien et reste incontournable afin d’acquérir de nouveaux clients. Selon que votre prospection s’adresse aux particuliers ou d’entreprises à entreprises, les règles sont différentes.

La prospection demeure autorisée mais elle doit respecter certaines règles : à commencer par le consentement de la personne, laquelle doit pouvoir s’y opposer facilement, que ce soit par mail, SMS, téléphone ou courrier.

Autre sujet sensible : la conservation des fichiers clients. Même si ce sont vos clients, vous devez conserver ces fichiers sur une durée précise et consentir à les actualiser, les effacer dès lors qu’ils ne sont plus clients passé un certain délai ; et surtout éviter de croiser vos fichiers en prospectant vos clients sur un autre service vendu par votre société dès lors qu’ils ont déjà souscrit un contrat pour un produit chez vous (ex : un client d’une banque à qui on proposerait une assurance…) La CNIL a déjà condamné à plusieurs reprises des sociétés pour ce type de pratiques.

En ce qui concerne les données sensibles (des données de santé par exemple), vous devez impérativement mettre en œuvre tous les moyens informatiques nécessaires afin de sécuriser ces données et vous assurer qu’elles seront à l’abri de tout traitement commercial. Un éditeur de logiciels pour laboratoires médicaux français vient de se voir infliger par la CNIL une amende de 1,5 million d’euros pour une fuite de données de 500 000 patients, due à une mauvaise sécurisation.

Hébergement de vos données : chiffrage et localisation

Second thème d’actualité : le cloud et les transferts massifs de données hors Union européenne (UE). Toutes les DSI suivent l’actualité liée au cloud de près. Le marché du cloud est fortement basé aux Etats-Unis. Vu qu’il n’y a pas d’accord stable concernant la sécurisation des données européennes vers ce type de cloud, depuis l’invalidation du Privacy Shield (en 2020), il existe de nombreuses procédures à mettre en place pour continuer à héberger légalement vos données (BCR, codes de conduite, clauses contractuelles type). De plus, en tant que responsable de traitement (votre entreprise), vous devez vous assurer que vos données sont hébergées dans des pays bénéficiant d’un niveau de protection adéquat dès lors qu’elles sortent de l’UE. Que vos données relèvent du secteur privé ou du secteur public, vous êtes concernés. Actuellement, 22 organismes de contrôles (dont la CNIL) vont lancer des investigations pour l’utilisation par le secteur public des services utilisant le cloud.

Afin d’être en règle lors d’un contrôle, vous aurez à justifier que tous vos contrats entre vous et vos sous-traitants (s’occupant de votre hébergement cloud, par exemple) sont en conformité.

Sur ces deux aspects qui font le quotidien de votre activité d’entreprise, faîtes-vous accompagner pour vous aider à être en conformité avec le RGPD. Chaque aspect relève à la fois du juridique, de l’informatique et doit être traçable par la mise à jour conforme de votre registre du traitement.

Nous pouvons grâce à un service de délégation à la protection des données (DPO externalisé) accompagner votre entreprise, après un audit réalisé avec vos équipes (DSI, RH, marketing, commerciales, direction).

Mise en demeure d’un gestionnaire web sur l’utilisation de Google Analytics

Suite à 101 réclamations de l’association NOYB auprès d’organismes de contrôle européens concernant les risques de confidentialité portant sur des données non anonymisées depuis l’outil Google Analytics vers les Etats-Unis, la CNIL a conclu que les transferts vers les Etats-Unis n’étaient pas suffisamment encadrés actuellement, en violation de l’article 44 et suivants du RGPD.

Comme nous le savons, en France et ailleurs, l’immense majorité des sociétés utilisent l’outil Google Analytics au quotidien pour des analyses très précises de fréquentation de leur site internet. Les services marketing et informatiques utilisent cet outil gratuit de Google au quotidien.

La CNIL a mis en demeure des gestionnaires de sites web depuis Février 2022 pour le transfert de données hors Union européenne vers les Etats-Unis car le risque que les services de renseignements américains aient accès à ces données n’est pas écarté.

Elle préconise à ce stade « que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement s’il n’ y a pas de transferts illégaux . »

Certains professionnels commencent à regarder des solutions alternatives à Google Analytics afin d’anticiper une utilisation restreinte de l’outil Google. Et continuer à analyser les statistiques des sites dont ils ont la charge et à produire des analyses similaires, où l’usage soit compatible avec le RGPD.

Comme vous pouvez le constater, la mise en conformité d’un site internet au regard du RGPD devient de plus en plus technique. A l’heure où vos clients sont majoritairement présents sur internet, et où la CNIL, comme tous les organismes de contrôle européens, va être de plus en plus exigeante sur le respect du RGPD, il est crucial de vous faire accompagner.

Grâce à une formation solide de DPO (délégué à la protection des données personnelles) et une connaissance fine du secteur numérique depuis de nombreuses années, nous sommes à votre écoute pour analyser, à vos côtés, tous les axes vous permettant d’atteindre cette conformité au RGPD à travers une mission d’accompagnement personnalisée.

Contactez-nous par mail à frederic@contenusetstrategies.com pour voir, à vos côtés, les chantiers prioritaires à mettre en place pour votre site.

Plus d’informations : Contenus et Stratégies- www.contenusetstrategies.com– Tél : 06 62 12 84 30-Mail : frederic@contenusetstrategies.com