Le Digital Analytics

et le RGPD
Un an après : êtes-vous conforme ?

Nouvelle édition 2019

1
#SOMMAIRE

03 Avant-propos

04 1. RGPD : petit rappel…

06 2. Bilan des sanctions

09 3. S’assurer de la
conformité RGPD

14 Checklist

15 Et bientôt –
le règlement ePrivacy

17 Glossaire

2
#AVANT-PROPOS
Un an s’est écoulé depuis l’application du RGPD : 12 mois
qui se sont révélés plutôt intenses !
Avec la violation des données d’Equifax en 2017 et le
scandale Facebook-Cambridge Analytica l’année dernière
(ainsi qu’une multitude d’autres problèmes, comme les
soupçons de ciblage électoral ou la récente fuite de
données d’Instagram), la protection de la confidentialité
et le respect du consentement des utilisateurs n’ont jamais
autant été d’actualité.
Le 28 janvier dernier, journée européenne de la protection
des données, de nouvelles preuves ont été révélées
concernant une fuite importante de données à caractère
personnel d’internautes sur des plateformes d’enchères.
En Pologne, en Irlande et au Royaume-Uni, différents
organismes de protection de la vie privée ont par ailleurs été
appelés à prendre des mesures à l’encontre des systèmes
d’enchères de publicités online et des détournements
endémiques d’informations personnelles.
Selon de récentes plaintes déposées contre des systèmes
d’enchères en temps réel en Belgique, au Luxembourg, aux
Pays-Bas et en Espagne concernant la collecte de données
à caractère personnel à des fins de ciblage publicitaire,
ces informations sont diffusées « plusieurs centaines
de milliards de fois » par jour au sein de bid requests,
occasionnant une fuite « généralisée et systématique ». En
parallèle, le Transparency and Consent Framework de l’IAB
a été un échec à plusieurs égards l’année dernière, dans la
mesure où il était clairement conçu pour servir les intérêts
des publicitaires au détriment des éditeurs.
Il a également été avancé que de nombreuses sociétés
utilisaient les portails gouvernementaux européens et les
services publics pour tracker les utilisateurs et recueillir des
informations privées, destinées à finir entre les mains de
data brokers (du secteur publicitaire ou non).
Selon Michael Veale, chercheur en stratégie technologique
à l’University College de Londres, « Il est pratique courante
d’élaborer des profils intrusifs, d’un niveau de détail
extraordinaire, et de les mettre en vente grâce au système
actuel d’enchères en temps réel. Ce procédé est considéré
comme faisant partie intégrante de l’univers digital. Or,
rien n’est plus faux : il est non seulement possible, mais
impératif d’y mettre un terme. ».
À la lumière de ces scandales et de ces violations
incessantes, le RGPD a-t-il eu le moindre effet ?
3
Malgré le qualificatif d’année de transition choisi par
Mathias Moulin, de la CNIL, les 12 premiers mois d’existence
du RGPD peuvent être considérés comme un vrai pas en
avant vers la réglementation de la protection des données
personnelles. L’amende de 50 millions d’euros infligée à
Google Android (certes une broutille dans le chiffre d’affaires
annuel de 136,8 milliards de dollars de ce géant de la tech)
a non seulement prouvé que la CNIL pouvait agir, mais a
aussi permis de prendre la mesure du caractère « massif
et systématique » des atteintes à la confidentialité des
données personnelles. Le RGPD a également gravé dans le
marbre la notion de données à caractère personnel, ainsi
que les risques d’usage abusif associés, en imposant une
même obligation de signalement à l’ensemble de l’Union
européenne. En découle une meilleure sensibilisation
générale aux différents types de manquement observés.
Il reste malgré tout beaucoup à faire. Pour le moment,
rares ont été les entreprises condamnées à une amende
pour défaut de protection des données de leurs clients :
le montant total des sanctions financières ne s’élève qu’à
56 millions d’euros (dont 50 millions rien que pour Google)
alors que près de 200 000 violations ont été signalées en
Europe au cours de la première année d’application du
RGPD (pratiquement le double de l’année 2017).
Il est également essentiel d’harmoniser les amendes
distribuées par les autorités de protection des données
de différents pays de l’UE, selon l’IAPP (International
Association of Privacy Professionals), qui vient d’organiser
à Londres un bilan de la première année du RGPD. Ses
experts sont en train d’élaborer une « boîte à outils » qui
servira de base au calcul des amendes pour différents
organes de surveillance.
Ce guide a pour but de souligner à nouveau l’importance
du RGPD et de vous rafraîchir la mémoire sur les points
essentiels. En observant la réglementation à la loupe et en
revenant précisément sur l’amende infligée à Google par la
CNIL, nous avons pour ambition de vous orienter dans la
bonne direction. Vous découvrirez également en quoi AT
Internet peut vous assurer une conformité à 100 %.
Bonne lecture !
Par Cyril Mazeau –
Directeur Administratif et Financier,
AT Internet
 RGPD –
PETIT RAPPEL…
Le RGPD, entré en vigueur le 25 mai 2018, a représenté un tournant pour la protection des données person-
nelles dans l’Union européenne. Nous analyserons dans ce guide les effets qu’a eus cette réglementation au
cours de sa première année d’existence. Ce sera pour vous l’occasion de constater qu’il est plus important que
jamais de vérifier que votre solution analytics respecte le RGPD.

Le RGPD est un règlement européen exécutoire qui régit l’usage et le maintien de l’intégrité des informations
à caractère personnel manipulées par les organisations et les entreprises. Dans un contexte où les données
jouent un rôle de plus en plus central, il vise à donner aux particuliers la maîtrise de leurs informations per-
sonnelles, tout en simplifiant l’environnement réglementaire des affaires internationales au sein de l’UE. Il
encadre également l’exportation de ces données en dehors de l’UE.

Certaines plateformes
collectent des données de
millions ou même milliards
d’utilisateurs, et en savent
plus sur nous que nos proches.

Selon le RGPD, les données nominatives recouvrent toutes les informations se rapportant à un individu, qu’il
s’agisse de sa vie privée, de sa vie professionnelle ou de sa vie publique : nom, adresse de domicile, photos,
adresse électronique, coordonnées bancaires, publications sur les réseaux sociaux, dossier médical, etc.

Dans le contexte de l’analytics, les données à caractère personnel correspondent aux informations recueillies
sur un utilisateur lors de sa visite sur une plateforme numérique ; en somme, toutes les données accessibles
dans un outil digital analytics : données de navigation, adresse IP, identifiants de cookies, coordonnées GPS,
etc.

Le stockage de ces données doit être limité à une durée « raisonnable » et adaptée à leur finalité. Il est illégal
pour une organisation ou une entreprise d’utiliser des informations personnelles à des fins non déterminées,
c’est-à-dire différentes de celles pour lesquelles elles ont été recueillies à l’origine (reciblage par exemple),
sans le consentement de l’utilisateur. Les sous-traitants doivent avoir la possibilité de repérer, de fournir ou
d’effacer intégralement les données analytics d’un visiteur, sur demande.

Toutes les instances de contrôle qui traitent des informations à caractère personnel dans l’UE sont tenues
de mettre en œuvre les mesures nécessaires pour faire respecter les principes de protection des données. Il
s’agit entre autres de proposer les paramètres de confidentialité les plus stricts possibles afin d’empêcher la

4
diffusion de données personnelles sans consentement explicite et éclairé. Il est également exigé de déclarer
l’ensemble des techniques de collecte appliquées, le motif du traitement et la durée de conservation de ces
données, en précisant si elles sont ou non partagées avec des tiers hors UE.

Les organisations et les entreprises qui traitent des données à caractère personnel ont l’obligation légale d’en-
gager un délégué à la protection des données (DPO), chargé de veiller au respect du RGPD.

La garantie AT Internet

L’Analytics Suite d’AT Internet est à 100 % conforme au RGPD. La protection des données des utilisateurs et le
respect de leur vie privée sont au cœur de notre approche de l’Analytics depuis plus de 20 ans.

Fournisseur européen indépendant, AT Internet a toujours adhéré aux directives strictes de l’UE sur la con-
fidentialité et la protection des données. Notre solution a été développée selon une approche de type Priva-
cy-by-design.
Nous entretenons des relations de longue date avec la CNIL, l’organisme français chargé de la protection des
données et avec la TÜV en Allemagne. Ces organismes reconnus valident le caractère conforme et sécurisé de
l’Analytics Suite et nous décernent leur certificat de conformité année après année.

Pour découvrir comment

respecter le RGPD grâce
à l’Analytics Suite
d’AT Internet, lisez la suite

5
 BILAN DES
SANCTIONS
Le RGPD prévoit des amendes administratives particulièrement élevées : jusqu’à 20 millions d’euros ou 4 % du
chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Depuis sa mise en place en mai 2018, il a donné lieu à de nombreuses sanctions financières pour non-respect
de ses dispositions. L’exemple le plus notable est celui de Google, à qui la CNIL a infligé une amende de 50
millions d’euros.

La décision de la CNIL concernant Google

La sanction prononcée par la CNIL visait spécifiquement Google Android, pour non-respect de deux obliga-
tions prévues par le RGPD : transparence et base légale pour le traitement des données. Plus généralement
cependant, elle met en cause l’approche de la confidentialité de Google dans tous ses champs d’activité, et
notamment l’analytics.
La CNIL a qualifié les traitements de données effectués par Google de « massifs et intrusifs ». Elle a constaté
que les informations fournies « ne sont pas aisément accessibles pour les utilisateurs », car « excessivement
disséminées dans plusieurs documents » et « impliquant parfois jusqu’à cinq ou six actions ».

“Massifs et intrusifs” –
sur les traitements de données
réalisés par Google
Selon la sanction prononcée par la CNIL concernant les manquements au RGPD de Google, soutenue par
l’avocat général de la Cour de justice de l’UE (CJUE), le géant de la tech trahit une erreur d’interprétation fon-
damentale de la notion de consentement des utilisateurs au sujet du traitement de leurs données.
Pour la CNIL, le consentement d’un utilisateur à ce qu’un fournisseur de services exploite ses données à ca-
ractère personnel peut se résumer ainsi :

• Google doit délivrer à l’internaute des informations claires et compréhensibles avant de demander son
consentement.
• L’utilisateur doit effectuer un acte positif et délibéré pour donner son consentement : les cases pré-co-
chées et le consentement implicite sont insuffisants et illégaux.
• Google doit offrir à l’utilisateur la possibilité d’accorder son consentement de manière distincte pour
chaque finalité (plutôt qu’en bloc pour toute une série de services).

6
La CNIL a instruit plusieurs plaintes contre Google concernant des manquements aux obligations de
transparence et d’information :

1
La transparence et l’accès à l’information
L’article 13 du RGPD prévoit que toutes les informations communiquées aux personnes concernées
doivent être faciles d’accès. Lors de l’audit de Google, la CNIL a constaté qu’il fallait cinq actions pour
consulter les informations relatives aux traitements de personnalisation de la publicité, six pour l’ex-
ploitation des données de géolocalisation et quatre pour les périodes de stockage de ces données.

2
Une description claire des finalités du traitement des données personnelles
L’audit de la CNIL a également révélé que la description faite par Google des finalités des opérations
de collecte et de traitement des données était trop générique et ne permettait pas aux personnes
concernées de prendre conscience de l’ampleur du traitement et du niveau d’intrusion dans leur vie
privée qu’il représente.

Google déclare : « Les informations que nous collectons servent à améliorer les services proposés à tous nos
utilisateurs. [Ces informations] et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos
services et dont vous gérez vos paramètres de confidentialité. »

La CNIL demande à Google de se montrer plus précise quant aux finalités du traitement des données.

3
Un consentement délibéré
Lors de la création d’un compte, les utilisateurs ont la possibilité de cliquer sur le bouton « Créer un
compte » ou sur le bouton « plus d’options », qui lui leur permet de paramétrer l’affichage des an-
nonces personnalisées. Cependant, ces paramètres de personnalisation du compte sont pré-cochés
par défaut, ce qui oblige les personnes concernées à les décocher si elles ne souhaitent pas faire l’objet de ce
type de traitement. Par ailleurs, même sans sélectionner « plus d’options », elles restent invitées à cliquer sur
le bouton « Confirmer » pour pouvoir créer leur compte.

Le consentement n’est donc pas valablement recueilli, dans la mesure où il est possible d’utiliser les services
proposés par Google sans donner son consentement explicite au traitement, et où les paramètres de person-
nalisation du compte sont présélectionnés par défaut.

Or, il est impératif de faire en sorte que l’utilisateur effectue un acte délibéré pour consentir à une opération
de traitement spécifique. La pratique de Google consistant à pré-cocher les cases « J’accepte » est à proscrire
formellement.

4
Les niveaux de données
Google a également été invitée à prendre les précautions requises pour traiter plusieurs niveaux
d’informations à caractère personnel à différentes fins, plus précisément dans la mesure où la col-
lecte de données de premier niveau (nom, numéro de téléphone, adresse IP, identifiant unique,
etc.) pour une finalité donnée permet la collecte de données de deuxième niveau qui en découlent pour une
autre finalité (par exemple, en déduisant les centres d’intérêt des utilisateurs de façon à personnaliser les
annonces).

Autre point essentiel, Google ne considère pas les adresses IP et les identifiants pseudonymes (cookies, mo-
biles, publicitaires) comme des données à caractère personnel. La société mentionne également que « les
données exclues de l’interprétation du terme “Informations personnelles” faite par Google peuvent toujours
être considérées comme des données à caractère personnel dans le cadre du RGPD. » La CNIL a confirmé qu’il
ne s’agissait pas là d’une interprétation correcte du RGPD.

7
5
Le consentement à des « finalités spécifiques » (comme la personnalisation
de la publicité)
Lorsque les personnes concernées cochent les cases « j’accepte les conditions d’utilisation de Goo-
gle » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans
les règles de confidentialité », elles ne donnent pas de consentement spécifique et distinct au traitement des
données à caractère personnel les concernant. Au contraire, elles acceptent en bloc et sans distinction toutes
les opérations portant sur leurs informations personnelles.

La CNIL précise que, dans le cas où plusieurs opérations de traitement de données à caractère personnel
sont effectuées pour différentes finalités, sur la base légale du consentement de la personne concernée, le
consentement en question doit être distinct pour chacune de ces opérations dans la mesure où elles servent
un but précis, conformément aux dispositions de l’article 6(1)(a) du RGPD, qui impose le consentement « pour
une ou plusieurs finalités spécifiques ».

6
L’étape d’autorisation d’utilisation des données
Dernier point retenu à son encontre, Google ne demande l’autorisation d’utiliser les données à ca-
ractère personnel qu’après la création d’un compte. Or, l’article 13 du RGPD stipule que l’obligation
de fournir les informations nécessaires doit être remplie « au moment où les données en question
sont obtenues ». Il prévoit également qu’il ne peut être exigé de l’utilisateur aucune action « active » pour
donner son consentement à l’exploitation de ses données.

Les données qui sortent de l’UE

Toutes les données recueillies par Google quittent actuellement l’UE pour être stockées à travers le monde
dans des data centers dont l’emplacement est inconnu. Le Bouclier de protection des données UE – États-
Unis (« Privacy Shield ») autorise en effet le transfert de données en dehors de l’UE (vers des régions ou des
organisations reconnues conformes). Dans le cadre du RGPD cependant, c’est à chaque société ou organisa-
tion de s’assurer d’une protection adéquate des données à caractère personnel qu’elle transfère en dehors
de l’UE.

Les autres amendes imposées depuis l’entrée en vigueur du RGPD

• La CNIL a infligé une amende de 400 000 euros à SERGIC (un administrateur de biens immobiliers français)
en juin 2019 pour défaut de sécurité informatique et conservation illégale de données personnelles des
utilisateurs de leur site internet.
• L’autorité autrichienne de protection des données a infligé une amende de 4 800 € pour activités de vidéo-
surveillance illégales – une grande première.
• Au Portugal, la CNPD a condamné un hôpital à verser une amende de 400 000 €, au motif qu’un membre
du personnel avait consulté illégalement des données patients.
• La France a sanctionné par une amende d’un montant de 30 000 € un employeur qui utilisait un système
biométrique pour contrôler le temps de travail de ses employés sans les en avoir informés.
• En Allemagne, l’une des autorités régionales de protection des données a exigé d’une société spécialisée
dans les réseaux sociaux qu’elle s’acquitte d’une amende de 20 000 € pour avoir manqué à ses obligations
en matière de sécurité des données.
• Si l’ICO (Information Commissioner’s Office), organisme de surveillance du Royaume-Uni, n’a pas encore
distribué d’amendes dans le cadre du RGPD, le nombre de rapports de violation de données qu’il comp-
tabilise a quadruplé depuis l’entrée en vigueur du RGPD.

8
 S’ASSURER DE LA
CONFORMITÉ RGPD
L ’ A N A L Y T I C S S U I T E D ’ AT I N T E R N E T
ET LE RESPECT DU RGPD
Dans le cadre du RGPD, vous êtes tenu, de même que votre fournisseur de digital analytics, de documenter,
de recenser et de consigner les flux de données personnelles qui circulent dans votre organisation. Voici un
guide comparatif qui détaille point par point comment veiller au respect du RGPD avec AT Internet.

Données à caractère personnel

Le RGPD
Dans la mesure où votre solution analytics peut collecter un large éventail de données personnelles, il est
important d’éclaircir plusieurs points avec votre fournisseur : la nature des données collectées, la façon dont
elles sont gérées, leur lieu de stockage et leur période de conservation.
Le RGPD exige que les données à caractère personnel ne soient conservées que tant qu’elles restent néces-
saires à leur objectif initial, et que les utilisateurs finaux soient informés de cette période.

La conformité à 100 % d’AT Internet

AT Internet stocke toutes les données analytics collectées au sein de l’UE.
En ce qui concerne la durée de conservation des données à caractère personnel :
• Les données relatives aux adresses IP sont conservées pendant 6 mois maximum.
• Nous stockons les données de géolocalisation pendant 6 mois maximum. Pendant la collecte, nous tron-
quons toutes les coordonnées GPS en degrés décimaux à deux décimales ; nous ne les collectons jamais
dans leur totalité. Les coordonnées tronquées sont ensuite converties en une carte de densité qui fournit
uniquement des informations au niveau national. Les données détaillées ne sont jamais représentées.
• Nos cookies sont actifs pendant une période fixe de 13 mois, à l’issue de laquelle ils sont supprimés de
l’ordinateur de l’utilisateur.

Transparence des données

Le RGPD
Le RGPD exige une transparence totale de la part des entreprises et des organisations (les « responsables du
traitement des données ») ; celles-ci doivent utiliser « des termes clairs et simples » pour informer les utilisa-
teurs finaux (les « personnes concernées ») sur les données à caractère personnel qui sont collectées, leur
lieu de stockage et la période pendant laquelle elles sont conservées (voir la section précédente). Vous êtes
également tenu, de même que votre fournisseur d’analytics, d’aviser clairement les utilisateurs finaux de leurs
droits, notamment pour :
• demander l’accès à leurs données personnelles ;
• réclamer leur modification, leur suppression ou la limitation de leur traitement ;

9
 • exercer leur droit à la portabilité des données ;
• retirer leur consentement à tout moment ;
• ouvrir une réclamation auprès d’une autorité de contrôle.

La conformité à 100 % d’AT Internet

AT Internet dispose des ressources nécessaires pour récupérer ou effacer n’importe quelle donnée person-
nelle dans un délai convenable. Nous entrons directement en contact avec les utilisateurs finaux à ce sujet
lorsque cela s’impose.

Nous communiquons, clairement et dans la plus grande transparence, sur les droits des utilisateurs finaux
dans notre politique de confidentialité. Nous proposons également une option de désabonnement, destinée
à ceux qui ne souhaitent pas que leur activité soit suivie par notre solution web analytics.

Par ailleurs, AT Internet compte dans ses rangs un responsable de la protection des données, Nicolas Bou-
dillon, chargé entre autres de garantir la conformité d’AT Internet, de faire le lien avec les clients et les uti-
lisateurs finaux au sujet des demandes portant sur la confidentialité, d’assurer la liaison avec les autorités
de protection des données et de tenir informés les employés d’AT Internet sur l’évolution des exigences en
matière de protection des données.

Données stockées dans l’UE

Le RGPD
Si les données à caractère personnel sont transférées en dehors de l’Union européenne, le RGPD exige que le
ou les pays concernés disposent d’un niveau adéquat de protection des données, c’est-à-dire qu’ils appliquent
des mesures de protection équivalentes aux normes européennes. L’utilisateur final doit également être aver-
ti du fait que ses données sont transférées ou stockées hors de l’Union européenne.

Là encore, dans la mesure où les solutions digital analytics recueillent et stockent des données à caractère
personnel (souvent hors de l’Union européenne), il est essentiel de demander à son fournisseur d’analytics à
quel endroit il les conserve, si elles sont transférées ailleurs et si les utilisateurs finaux sont clairement infor-
més de ces emplacements de stockage et de transfert.

La conformité à 100 % d’AT Internet

AT Internet traite et stocke toutes les données analytics au sein de l’Union européenne ; jamais elles ne sont
transférées en dehors de l’UE. Ces informations sont facilement accessibles dans notre politique de confiden-
tialité, ainsi que dans les contrats de nos clients.

Périmètre de responsabilité
Le RGPD
Il est crucial de vous assurer que votre fournisseur d’analytics (« sous-traitant ») a clairement défini la portée
de sa responsabilité dans votre contrat. Dans la mesure où les amendes peuvent s’élever à 20 millions d’euros
ou à 4 % de votre chiffre d’affaires mondial annuel (le montant le plus élevé des deux !), mieux vaut ne pas
se retrouver avec tout sur les bras parce que votre fournisseur n’a pas bien défini ce qui relève de sa mission
dans le contrat de traitement des données (ou, pire encore, parce qu’il vous fait porter toute laresponsabilité !).

10
En tant que responsable du traitement des données, vous êtes également tenu de choisir soigneusement
un sous-traitant et de décider du type d’activités de traitement des données que vous mènerez. En d’autres
termes, sélectionnez judicieusement vos fournisseurs : ils doivent être conformes au RGPD !

La conformité à 100 % d’AT Internet

L’Analytics Suite d’AT Internet respecte le RGPD, tout comme la société AT Internet elle-même. Nous nous en-
gageons par conséquent à entretenir une transparence totale vis-à-vis de nos clients dans notre contrat de
traitement des données.

Ce contrat, que nous fournissons à chacun de nos clients, définit précisément notre périmètre de respon-
sabilité en tant que sous-traitant et le vôtre en tant que responsable du traitement des données à caractère
personnel.

Si vous travaillez avec un autre fournisseur de digital analytics, nous vous recommandons vivement de vérifier
les termes de votre contrat pour vous assurer que la responsabilité ne vous est pas automatiquement trans-
férée (par le biais de limitations dans les clauses de responsabilité) et qu’il indique clairement les modalités
de gestion et de protection des données à caractère personnel.

Finalités du traitement des données analytics et profilage

Le RGPD
Dans le cadre du RGPD, les données personnelles doivent uniquement être « collectées pour des finalités
déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec
ces finalités ».

En d’autres termes, les données de vos visiteurs doivent exclusivement être utilisées dans le but d’atteindre
le ou les objectifs dont vous les avez informés, par exemple (dans le cas de l’analytics), améliorer leur expé-
rience sur votre site ou leur proposer des contenus personnalisés. Elles ne doivent PAS servir à des fins pour
lesquelles ils n’ont pas donné leur consentement.

Il est également important de comprendre la notion de « profilage » telle qu’elle est définie dans le RGPD : «
toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à
caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment
pour analyser ou prédire des éléments concernant [...] le comportement, la localisation ou les déplacements
de cette personne physique ». Si vous exploitez des données analytics pour mener des activités de profilage,
vous avez l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD) qui garan-
tisse et prouve votre transparence et votre conformité.

Une AIPD s’impose également pour évaluer les risques présentés par d’autres types d’opérations de traite-
ment des données sur les droits et libertés des utilisateurs. Si l’analyse fait apparaître un risque résiduel élevé,
rapprochez-vous de l’autorité de contrôle compétente pour connaître la marche à suivre

La conformité à 100 % d’AT Internet

Avec AT Internet, vous restez toujours propriétaire de vos données. Nous n’utilisons ni ne fusionnons jamais
les données analytics de nos clients à nos propres fins.

11
Dans la mesure où notre solution digital analytics permet d’effectuer des activités de profilage (comme
d’autres solutions similaires), nous avons mené une AIPD de notre service, dont voici les résultats : dès lors
que notre solution est utilisée normalement (selon les modalités définies dans notre contrat de traitement
des données), le traitement des données effectué par AT Internet ne présente pas de risque particulier pour
les droits et libertés des personnes concernées.

Notre engagement pour le respect de la vie privée

Nous ne partageons jamais vos données

Nous nous engageons à ne jamais partager avec des tiers les données que nous collectons, sauf à la demande
expresse du client (notamment dans le cadre de partenariats technologiques). Nous n’utilisons ni ne fusion-
nons jamais les données analytics de nos clients à nos propres fins.

Nous fournissons également à nos clients une documentation claire, des méthodes spécialement adaptées
(refus de collecte des données et de recours aux cookies) et toute l’aide nécessaire.

Dans la mesure où notre solution digital analytics permet d’effectuer des activités de profilage (comme
d’autres solutions de ce type), nous avons mené une AIPD de notre service, dont voici les résultats : dès lors
que notre solution est utilisée normalement (selon les modalités définies dans notre contrat de traitement
des données), le traitement des données effectué par AT Internet ne présente pas de risque particulier pour
les libertés des personnes concernées.

Qualité des données et ROI : les autres avantages du RGPD

En veillant au respect du RGPD, vous vous assurez par la même occasion une meilleure qualité des données
et une augmentation du ROI. Là où d’autres fournisseurs analytics arrêtent net toute collecte d’informations
en cas de non-consentement, AT Internet propose toute une palette d’outils qui permettent à ses clients
de collecter des données anonymisées si l’utilisateur n’a pas encore donné son autorisation ou a refusé de
l’accorder. Il reste ainsi possible de conserver un tableau complet du trafic qui se produit réellement sur une
plateforme donnée, tout en respectant à coup sûr les exigences de confidentialité.

Autre aspect important d’une approche qualitative, les données sont recueillies en toute légalité et avec le
consentement des utilisateurs ! En évitant tout risque de violation, vous préservez votre ROI. En prime, la
perception de votre entreprise s’en trouvera sensiblement améliorée, car vos clients sauront que vous gérez
convenablement leurs données : de bonnes pratiques en matière de confidentialité signifient aussi un meil-
leur chiffre d’affaires !

Un meilleur respect de la vie

privée génère de meilleurs revenus

12
 Des certifications officielles et une exemption accordée par la CNIL
La filiale allemande d’AT Internet est certifiée tous les ans depuis 2010 par TÜV Saarland, un organisme de
certification allemand indépendant. TÜV Saarland reconnaît que les procédures de collecte et de traitement
des données associées à la solution d’AT Internet respectent les standards de sécurité et de protection des
informations.

À Singapour, AT Internet applique le Personal Data Protection Act 2012 (PDPA), qui régit la collecte, l’utilisa-
tion, la divulgation et l’entretien des données à caractère personnel.
En ce qui concerne la qualité des données toujours, nous détenons d’autres certifications : ABC au Royaume-
Uni, l’ACPM/l’OJD en France et KIA-index en Suède.

AT Internet entretient depuis 2014 des relations étroites avec la CNIL (l’autorité française de protection des
données). Pour preuve de la confiance qu’elle place dans notre solution, elle nous a accordé une exemption
de consentement pour les cookies en France. Dans la pratique, certains de nos clients n’ont donc qu’à avertir
leurs utilisateurs avant d’utiliser un cookie analytics de tracking, sans nécessairement afficher une bannière
de consentement aux cookies.

Pour connaître la liste des solutions (dont fait partie AT Internet) qui n’utilisent pas Google, lisez l’article
Alternatives to Google Products – the Complete List (en anglais) de Restore Privacy !

13
 #CHECKLIST
LES 12 ENGAGEMENTS D’AT INTERNET

1. AT Internet conserve toutes les données Analytics collectées au sein de l’UE.

2. Concernant les données personnelles les plus sensibles, nous conservons :

- L’adresse IP durant 6 mois maximum
- La localisation GPS location durant 6 mois maximum

3. Nos cookies sont actifs pour une période fixe de 13 mois et sont ensuite supprimés.

4. Nous avons les ressources nécessaires pour extraire et effacer toutes données personnelles
en temps voulu.

5.Nous communiquons clairement et de manière transparente à propos des droits des utilisa-
teurs finaux dans notre politique de confidentialité.

6. Un DPO (Data Protection Officer), Nicolas Boudillon, s’assure de la conformité d’AT Internet,
la liaison avec les clients et les utilisateurs finaux sur les questions de vie privée, ainsi que la
liaison avec les autorités de protection des données.

7. Nous traitons et stockons toutes les données analytiques au sein de l’Union Européenne, au-
cune donnée personnelle n’étant transférée en dehors de l’UE.

8. Notre Suite Analytics est conforme au RGPD, tout comme AT Internet en tant qu’organisation.
Nous nous engageons pour une entière transparence envers nos clients dans notre DPA.

9. Nous fournirons à chacun de nos clients un Data Processing Agreement (DPA) pour définir
précisément notre domaine de responsabilité en tant qu’entreprise de traitement des données,
et le vôtre en tant que gestionnaire des données, concernant le traitement des données person-
nelles.

10. Avec AT Internet, vous restez toujours le propriétaire de vos données. Jamais nous n’utilisons
ni ne fusionnons les données analytics de nos clients dans notre propre intérêt.

11. Nous nous engageons à ne jamais partager les données que nous collectons à une tierce
partie, à moins qu’un client ne nous l’ai explicitement demandé, notamment dans le cas des
partenariats technologiques.

12. Nous proposons également à nos clients une documentation claire, des méthodes spéci-
fiques (opt-out & no-cookie) et une assistance si nécessaire.

14
#ET BIENTÔT…
LE RÈGLEMENT EPRIVACY
Le règlement ePrivacy, qui s’inscrit dans la droite ligne du RGPD, devrait être prêt en 2019. Abrogeant la
directive ePrivacy de 2002, il vise à atteindre le même niveau de protection que le RGPD pour les citoyens
européens, concernant l’ensemble des communications électroniques. Il s’appliquera aux entreprises qui pro-
posent des services de communication en ligne, utilisent des technologies de tracking online ou mènent des
activités de marketing électronique direct.

Le règlement en quelques mots

Ce règlement a pour objectif de protéger les données de communication des utilisateurs, et notamment leurs
métadonnées. Avec l’apparition de nouveaux services, comme WhatsApp, Facebook Messenger et Skype, qui
manipulent ce genre d’informations, le nouveau règlement ePrivacy offrira aux utilisateurs une bien meil-
leure maîtrise du type de métadonnées stocké. En l’absence de consentement, les entreprises devront sup-
primer ces informations et ne pourront plus les recueillir par défaut.

Par ailleurs, le règlement ePrivacy simplifiera et clarifiera les règles relatives aux cookies : les utilisateurs
pourront, en paramétrant leur navigateur, accepter ou refuser les cookies de tracking et d’autres identifiants.
Il prévoit également qu’il ne sera pas nécessaire de recueillir leur consentement pour les cookies suivants :
• les cookies non intrusifs qui améliorent l’expérience Internet (par exemple, en stockant l’historique du
panier) sans atteinte à la vie privée ;
• les cookies permettant à un site de compter le nombre de visiteurs.
Le règlement ePrivacy comporte une autre proposition importante pour la protection contre le spam : il in-
terdira les communications électroniques non sollicitées par e-mail, SMS et téléphone (systèmes d’appel au-
tomatisés). Selon la législation nationale en vigueur, les particuliers bénéficieront d’une protection par défaut
ou pourront s’inscrire sur une liste d’exclusion pour ne plus recevoir d’appels téléphoniques de marketing. Les
appelants seront tenus soit d’afficher leur numéro de téléphone, soit d’utiliser un indicatif spécial indiquant
un appel marketing.

Les conséquences du règlement

• Pour les droits des utilisateurs : contrairement au RGPD, dont la création répond à un objectif de protec-
tion des données à caractère personnel, le règlement ePrivacy est conçu pour préserver la vie privée des
utilisateurs dans toutes leurs interactions Internet.
• Pour l’activité commerciale : une fois qu’ils auront recueilli le consentement des utilisateurs au traitement
des données de communication, les opérateurs de télécommunications classiques auront le champ libre
pour proposer des services complémentaires et développer leur activité.
• Pour l’application des dispositions : il s’agit d’un règlement et non plus d’une directive, ce qui signifie qu’il
ne laissera aucune place à l’interprétation. Comme avec le RGPD, les pénalités pour non-respect du règle-
ment sont à la fois élevées et exécutoires : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel
mondial total, le montant le plus élevé étant retenu.

15
Et ensuite ?
Le RGPD et le règlement ePrivacy font partie de la stratégie de marché unique numérique de l’UE, une initia-
tive dont le but est d’ouvrir de nouvelles perspectives numériques pour les particuliers et les entreprises, tout
en consolidant la position de leader de l’Europe dans l’économie numérique mondiale.

Il est plus important que jamais de vérifier que vos activités analytics respectent par-
faitement le RGPD. Pour savoir comment at internet peut vous aider, n’hésitez pas à
contacter notre délégué à la protection des données à l’adresse dpo@atinternet.com.

16
#GLOSSAIRE
# L E S T E R M E S À CO N N A Î T R E

ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)

Analyse d’impact visant à déterminer et à analyser la façon dont la confidentialité serait affectée par certains
projets ou certaines activités ; obligatoire dans certains cas.

AUTORITÉ DE PROTECTION DES DONNÉES

Organisme public indépendant chargé de faire appliquer la législation en matière de protection des données.

CNIL
Commission nationale de l’informatique et des libertés (l’autorité française de protection des données).

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Fonction, au sein d’une entreprise ou de tout autre organisme, dont la mission est de veiller à ce qu’elle pro-
tège convenablement les données personnelles des individus, conformément à la législation en vigueur.

DONNÉES À CARACTÈRE PERSONNEL

Tout type de données utilisable pour identifier directement ou indirectement un individu.

ICO (INFORMATION COMMISSIONER’S OFFICE)

Organisme de réglementation indépendant dont la mission est de défendre les droits des individus se rap-
portant à leurs informations.

PERSONNE CONCERNÉE
Personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple, un
nom, un numéro d’identification ou des données de localisation) ou d’un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

PROFILAGE
Toute forme de traitement automatisé de données à caractère personnel qui consiste à utiliser ces données
pour évaluer certains aspects de la personne en question, et analyser ou prédire ses intérêts, son comporte-
ment et d’autres attributs.

RESPONSABLE DU TRAITEMENT DES DONNÉES

Personne, entreprise ou autre organisme qui détermine (seul ou conjointement) la finalité et les moyens du
traitement des données à caractère personnel.

SOUS-TRAITANT
Personne, entreprise ou autre organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement.

TRAITEMENT
Toute opération (automatisée ou non) appliquée à des données à caractère personnel. Exemples : collecte,
enregistrement, organisation, structuration, conservation, modification, consultation, utilisation, diffusion, in-
terconnexion, effacement, destruction.

Pour en savoir plus, lisez les définitions détaillées de l’article 4 du RGPD !

17
MENTIONS LÉGALES:
Les informations contenues dans le présent document ne sont fournies qu’à titre
d’information. Les auteurs et éditeurs de ce contenu ne sauraient être engagés à de la
fourniture de prestations légales ou autres. AT Internet n’est responsable ni des erreurs, ni
des omissions ni des résultats obtenus du fait de l’utilisation des présentes informations.
Toutes les informations contenues dans le présent document sont fournies sans garantie
aucune quant à leur exhaustivité, leur exactitude, leur actualité ou aux résultats issus de
l’utilisation dudit document et sont diffusées sans garantie d’aucune sorte, explicite ou
non. Les marques et logos figurant dans ce document sont des marques enregistrées ou
non appartenant à la société AT Internet ou à des tiers. Toute utilisation, non autorisée
explicitement par les titulaires des marques précitées, est strictement interdite. Toute
reproduction partielle ou totale de ce document, sans autorisation expresse d’AT Internet
est interdite. AT Internet se réserve le droit de mettre à jour le présent document à tout
moment et sans préavis. Document et informations non contractuels.

© AT INTERNET - 2019

18
 À propos d’AT Internet
AT Internet, acteur mondial dans le domaine du Digital Analytics depuis 1996,
aide les entreprises à mesurer leur audience et optimiser leur performance
digitale sur tous les canaux marketing. De la collecte, en passant par l’activa-
tion des données, jusqu’à la diffusion d’insights, l’Analytics Suite offre une fia-
bilité maximale pour des décisions efficaces. La qualité de l’offre d’AT Internet
a été mondialement reconnue dans de récentes études indépendantes. AT
Internet mesure plus de 20 000 sites et applications à travers le monde dans
tous les secteurs d’activité. Avec plus de 200 collaborateurs, elle est présente
à l’international via ses bureaux, clients et partenaires.

DEMANDEZ UNE DÉMO SUR WWW.ATINTERNET.COM

Découvrez le véritable potentiel de vos données

Suivez-nous sur Suivez-nous sur Suivez-nous sur Suivez-nous sur Suivez-nous sur

TWITTER LINKEDIN YOUTUBE DA BLOG SLIDESHARE

BORDEAUX - LONDRES - MUNICH - NEW YORK - PARIS - SÃO PAULO - SINGAPOUR

19