Comment mettre son site web en conformité RGPD : l’interview de Maître Lapôtre

Quel est le rôle d’un avocat dans le droit numérique et RGPD ?

Dans le cadre de son activité, un avocat en droit numérique et RGPD accompagne ses clients dans toutes les problématiques juridiques liées aux nouvelles technologies.

Cet accompagnement se matérialise par la protection, la valorisation et la défense de l’activité de ses clients.

Plus concrètement, cela peut passer, par :

– La rédaction de contrats ;

– La protection de logiciels ;

– La mise en conformité de sites internet ;

– La mise en conformité au RGPD de leur activité ;

– Etc.

De manière globale, les missions qui incombent à l’avocat vont être multiples et entièrement personnalisées pour répondre aux besoins propres de son client. C’est avant tout un suivi sur mesure et adapté à son secteur d’activité.

La CNIL vient de révéler la mise en demeure d’un gestionnaire de site web utilisant Google Analytics, rendant, par conséquent, l’utilisation de l’outil d’analyse illégale. Quelles sont les conséquences de cette décision ?

Il est important de remettre les choses dans leur contexte par rapport à l’outil Google Analytics. Le point de rupture pour la CNIL, est que l’outil du géant américain permet un transfert hors Union européenne, notamment aux États-Unis, des données concernant les résidents européens. Le risque identifié par la CNIL, et soulevé par l’organisation NOYB qui a déposé plainte, est que les services de renseignement américain peuvent accéder aux données à caractère personnel transférées aux États-Unis, sans qu’il soit suffisamment encadré.

La CNIL, après étude, a jugé que les mesures mises en place par Google dans le cadre du traitement des données n’étaient pas suffisantes pour garantir que les données et les informations collectées ne soient pas accessibles par les services américains. En conséquence, la CNIL a condamné l’utilisation de l’outil Google Analytics en considérant que les données à caractère personnel étaient transférées de manière illégale en dehors de l’Union européenne et donc que l’utilisation de l’outil n’était pas conforme au RGPD et au respect de la vie privée des résidents européens.

Aujourd’hui, une très grande partie des sites web utilisent Google Analytics au quotidien. Que signifie cette décision dans l’immédiat ?

Dans l’immédiat, cette décision signifie que le recours à l’outil Google Analytics, en l’état, n’est pas conforme au RGPD. Pour que la conformité au RGPD d’un site web soit assurée, il faut réaliser quelques ajustements puisque, aujourd’hui, les personnes qui utilisent l’outil s’exposent à un risque de sanction.

Toutefois, il faut souligner que la CNIL a une vision pragmatique et que son objectif est aussi d’apporter des solutions. Pour aider les différents acteurs du marché à se mettre en conformité au RGPD, elle a identifié plusieurs alternatives :

1. Avoir recours à un outil de mesure d’audience européen, qui, s’il est bien paramétré, serait conforme au RGPD. La CNIL a publié sur son site une liste des outils pouvant être conforme au RGPD ;
2. Utiliser un proxy qui permettrait de rendre l’usage de l’outil Google Analytics conforme au RGPD. En évitant tout contact direct entre les données personnelles et le terminal des utilisateurs avec Google via la proxyfication, l’utilisation de l’outil Google peut alors être conforme au RGPD.

En rendant publique et en anonymisant sa mise en demeure, la CNIL a fait le choix de rendre visible sa décision afin que chacun, quel que soit son secteur d’activité, puisse la prendre à son compte et entamer les démarches de mise en conformité au RGPD de son site web.

La décision de la CNIL est-elle définitive ? Peut-on s’attendre à une révision de cette mise en demeure ?

En tant qu’autorité indépendante garante du respect du RGPD, la CNIL a une approche très pragmatique du règlement européen. En ce sens, elle conditionne l’application du droit et du RGPD à des recommandations en essayant d’être au plus proche de la pratique et de proposer des solutions. C’est dans cette optique qu’elle fait part de ses guidelines aux acteurs du marché en proposant des pistes d’amélioration des pratiques.

Dans tous les cas, les décisions de la CNIL sont prises à un instant T, face à une situation qui lui est présentée à un moment défini. Si, demain, la situation évolue et que Google Analytics est conforme au RGPD, on peut tout à fait espérer que la CNIL modifie sa prise de position.

Quel est le rôle de la CNIL dans l’application du RGPD ?

La CNIL depuis sa création avec la loi informatique et libertés de 1978, a pour mission de veiller à ce que l’informatique soit au service des utilisateurs et du citoyen et qu’il ne porte pas atteinte à l’identité humaine, aux droits de l’Homme, à la vie privée et aux libertés individuelles. Pour s’en assurer, elle assume plusieurs rôles, notamment un rôle d’alerte, de conseil et d’information. En parallèle, elle possède également un pouvoir de contrôle et de sanction, qui en découle naturellement.

En soi, l’entrée en vigueur du RGPD en 2018 n’a pas modifié la raison d’être de la CNIL, il est simplement venu le compléter.

Quelles sont les obligations RGPD ?

Depuis sa création, le RGPD encadre le traitement des données à caractère personnel des citoyens de l’Union européenne. Il s’applique alors à tout organisme, privé ou public, qui est établi dans l’Union européenne ou dont l’activité concerne ses résidents. Par ailleurs, le RGPD s’applique autant aux organismes qui traitent les données pour leur compte qu’à ceux qui le font pour le compte de tiers.

De manière assez simple, le RGPD s’applique à tous les acteurs économiques du marché. Bien entendu, les obligations qui vont leur être imposées dépendent à la fois de l’organisme et des données qui vont être recueillies.

Comment mettre son site web en conformité RGPD ?

Quelques principes simples peuvent être appliqués dans le cadre d’une mise en conformité au RGPD d’un site web en veillant notamment à :

– Traiter des données strictement nécessaires ;

– Constituer un registre de traitements de données ;

– Respecter les droits des personnes dont les données sont traitées (droit d’information, d’opposition, consultation, rectification, etc.) ;

– Sécuriser les données traitées.

La mise en pratique de ces principes impose souvent aux entreprises de mettre en place de nouveaux processus (prise de contact pour les personnes concernées par les traitements de données, respect des droits de ces personnes, gestion des données traitées, mesures de sécurités etc.). Une révision des différents contrats les liant tant avec leurs partenaires, qu’avec leurs salariés, est également nécessaire afin de veiller à ce qu’il y ait des clauses assurant le respect des données personnelles.

Les entreprises doivent prendre le RGPD au sérieux et mettre les moyens nécessaires à leur mise en conformité afin de limiter tout risque de sanction.

Quels sont les risques encourus en cas de non-conformité RGPD ?

Avec cette décision, la conséquence directe est évidemment que le recours à l’outil Google Analytics en l’état n’est plus conforme au RGPD. En conséquence, les utilisateurs s’exposent à des sanctions pour non-respect du règlement RGPD qui peuvent être :

– Une sanction administrative prononcée par la CNIL. Cette sanction peut aller du simple rappel à l’ordre à une injonction, sous astreinte ou non, de mettre le traitement des données à caractère personnel en conformité RGPD ;

– Une sanction sous forme d’amende administrative qui peut atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise ;

– Des sanctions pénales peuvent s’ajouter à ces dernières en cas de non-respect du RGPD portant atteinte à la vie privée et notamment aux libertés fondamentales des individus ;

– Conséquence indirecte pour les entreprises : l’atteinte à leur image de marque. Si la décision de la CNIL est rendue publique, la notoriété et la respectabilité de l’entreprise peuvent être grandement impactées.

En cas de non-conformité RGPD, les répercussions peuvent être considérables.

À qui faire appel pour être accompagné dans sa mise en conformité ?

Sur le marché, plusieurs acteurs et professionnels proposent leurs services pour permettre aux entreprises et à leurs sites web de se mettre en conformité RGPD.

Pour avoir une vision d’ensemble et obtenir une analyse approfondie de son secteur d’activité et de ses besoins, s’entourer d’un avocat expert est essentiel. Avec des connaissances précises et complètes sur les problématiques propres à la protection des données à caractère personnel, les avocats vont avoir une vision plus globale sur l’activité de la société et pourront proposer des actions précises à mener pour se conformer au RGPD.