Académique Documents
Professionnel Documents
Culture Documents
et le RGPD
Un an après : êtes-vous conforme ?
1
#SOMMAIRE
03 Avant-propos
09 3. S’assurer de la
conformité RGPD
14 Checklist
15 Et bientôt –
le règlement ePrivacy
17 Glossaire
2
#AVANT-PROPOS
Un an s’est écoulé depuis l’application du RGPD : 12 mois Malgré le qualificatif d’année de transition choisi par
qui se sont révélés plutôt intenses ! Mathias Moulin, de la CNIL, les 12 premiers mois d’existence
Avec la violation des données d’Equifax en 2017 et le du RGPD peuvent être considérés comme un vrai pas en
scandale Facebook-Cambridge Analytica l’année dernière avant vers la réglementation de la protection des données
(ainsi qu’une multitude d’autres problèmes, comme les personnelles. L’amende de 50 millions d’euros infligée à
soupçons de ciblage électoral ou la récente fuite de Google Android (certes une broutille dans le chiffre d’affaires
données d’Instagram), la protection de la confidentialité annuel de 136,8 milliards de dollars de ce géant de la tech)
et le respect du consentement des utilisateurs n’ont jamais a non seulement prouvé que la CNIL pouvait agir, mais a
autant été d’actualité. aussi permis de prendre la mesure du caractère « massif
et systématique » des atteintes à la confidentialité des
Le 28 janvier dernier, journée européenne de la protection données personnelles. Le RGPD a également gravé dans le
des données, de nouvelles preuves ont été révélées marbre la notion de données à caractère personnel, ainsi
concernant une fuite importante de données à caractère que les risques d’usage abusif associés, en imposant une
personnel d’internautes sur des plateformes d’enchères. même obligation de signalement à l’ensemble de l’Union
En Pologne, en Irlande et au Royaume-Uni, différents européenne. En découle une meilleure sensibilisation
organismes de protection de la vie privée ont par ailleurs été générale aux différents types de manquement observés.
appelés à prendre des mesures à l’encontre des systèmes
d’enchères de publicités online et des détournements Il reste malgré tout beaucoup à faire. Pour le moment,
endémiques d’informations personnelles. rares ont été les entreprises condamnées à une amende
pour défaut de protection des données de leurs clients :
Selon de récentes plaintes déposées contre des systèmes le montant total des sanctions financières ne s’élève qu’à
d’enchères en temps réel en Belgique, au Luxembourg, aux 56 millions d’euros (dont 50 millions rien que pour Google)
Pays-Bas et en Espagne concernant la collecte de données alors que près de 200 000 violations ont été signalées en
à caractère personnel à des fins de ciblage publicitaire, Europe au cours de la première année d’application du
ces informations sont diffusées « plusieurs centaines RGPD (pratiquement le double de l’année 2017).
de milliards de fois » par jour au sein de bid requests,
occasionnant une fuite « généralisée et systématique ». En Il est également essentiel d’harmoniser les amendes
parallèle, le Transparency and Consent Framework de l’IAB distribuées par les autorités de protection des données
a été un échec à plusieurs égards l’année dernière, dans la de différents pays de l’UE, selon l’IAPP (International
mesure où il était clairement conçu pour servir les intérêts Association of Privacy Professionals), qui vient d’organiser
des publicitaires au détriment des éditeurs. à Londres un bilan de la première année du RGPD. Ses
experts sont en train d’élaborer une « boîte à outils » qui
Il a également été avancé que de nombreuses sociétés servira de base au calcul des amendes pour différents
utilisaient les portails gouvernementaux européens et les organes de surveillance.
services publics pour tracker les utilisateurs et recueillir des
informations privées, destinées à finir entre les mains de Ce guide a pour but de souligner à nouveau l’importance
data brokers (du secteur publicitaire ou non). du RGPD et de vous rafraîchir la mémoire sur les points
essentiels. En observant la réglementation à la loupe et en
Selon Michael Veale, chercheur en stratégie technologique revenant précisément sur l’amende infligée à Google par la
à l’University College de Londres, « Il est pratique courante CNIL, nous avons pour ambition de vous orienter dans la
d’élaborer des profils intrusifs, d’un niveau de détail bonne direction. Vous découvrirez également en quoi AT
extraordinaire, et de les mettre en vente grâce au système Internet peut vous assurer une conformité à 100 %.
actuel d’enchères en temps réel. Ce procédé est considéré
comme faisant partie intégrante de l’univers digital. Or, Bonne lecture !
rien n’est plus faux : il est non seulement possible, mais
impératif d’y mettre un terme. ». Par Cyril Mazeau –
Directeur Administratif et Financier,
À la lumière de ces scandales et de ces violations AT Internet
incessantes, le RGPD a-t-il eu le moindre effet ?
3
RGPD –
PETIT RAPPEL…
Le RGPD, entré en vigueur le 25 mai 2018, a représenté un tournant pour la protection des données person-
nelles dans l’Union européenne. Nous analyserons dans ce guide les effets qu’a eus cette réglementation au
cours de sa première année d’existence. Ce sera pour vous l’occasion de constater qu’il est plus important que
jamais de vérifier que votre solution analytics respecte le RGPD.
Le RGPD est un règlement européen exécutoire qui régit l’usage et le maintien de l’intégrité des informations
à caractère personnel manipulées par les organisations et les entreprises. Dans un contexte où les données
jouent un rôle de plus en plus central, il vise à donner aux particuliers la maîtrise de leurs informations per-
sonnelles, tout en simplifiant l’environnement réglementaire des affaires internationales au sein de l’UE. Il
encadre également l’exportation de ces données en dehors de l’UE.
Certaines plateformes
collectent des données de
millions ou même milliards
d’utilisateurs, et en savent
plus sur nous que nos proches.
Selon le RGPD, les données nominatives recouvrent toutes les informations se rapportant à un individu, qu’il
s’agisse de sa vie privée, de sa vie professionnelle ou de sa vie publique : nom, adresse de domicile, photos,
adresse électronique, coordonnées bancaires, publications sur les réseaux sociaux, dossier médical, etc.
Dans le contexte de l’analytics, les données à caractère personnel correspondent aux informations recueillies
sur un utilisateur lors de sa visite sur une plateforme numérique ; en somme, toutes les données accessibles
dans un outil digital analytics : données de navigation, adresse IP, identifiants de cookies, coordonnées GPS,
etc.
Le stockage de ces données doit être limité à une durée « raisonnable » et adaptée à leur finalité. Il est illégal
pour une organisation ou une entreprise d’utiliser des informations personnelles à des fins non déterminées,
c’est-à-dire différentes de celles pour lesquelles elles ont été recueillies à l’origine (reciblage par exemple),
sans le consentement de l’utilisateur. Les sous-traitants doivent avoir la possibilité de repérer, de fournir ou
d’effacer intégralement les données analytics d’un visiteur, sur demande.
Toutes les instances de contrôle qui traitent des informations à caractère personnel dans l’UE sont tenues
de mettre en œuvre les mesures nécessaires pour faire respecter les principes de protection des données. Il
s’agit entre autres de proposer les paramètres de confidentialité les plus stricts possibles afin d’empêcher la
4
diffusion de données personnelles sans consentement explicite et éclairé. Il est également exigé de déclarer
l’ensemble des techniques de collecte appliquées, le motif du traitement et la durée de conservation de ces
données, en précisant si elles sont ou non partagées avec des tiers hors UE.
Les organisations et les entreprises qui traitent des données à caractère personnel ont l’obligation légale d’en-
gager un délégué à la protection des données (DPO), chargé de veiller au respect du RGPD.
La garantie AT Internet
L’Analytics Suite d’AT Internet est à 100 % conforme au RGPD. La protection des données des utilisateurs et le
respect de leur vie privée sont au cœur de notre approche de l’Analytics depuis plus de 20 ans.
Fournisseur européen indépendant, AT Internet a toujours adhéré aux directives strictes de l’UE sur la con-
fidentialité et la protection des données. Notre solution a été développée selon une approche de type Priva-
cy-by-design.
Nous entretenons des relations de longue date avec la CNIL, l’organisme français chargé de la protection des
données et avec la TÜV en Allemagne. Ces organismes reconnus valident le caractère conforme et sécurisé de
l’Analytics Suite et nous décernent leur certificat de conformité année après année.
5
BILAN DES
SANCTIONS
Le RGPD prévoit des amendes administratives particulièrement élevées : jusqu’à 20 millions d’euros ou 4 % du
chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Depuis sa mise en place en mai 2018, il a donné lieu à de nombreuses sanctions financières pour non-respect
de ses dispositions. L’exemple le plus notable est celui de Google, à qui la CNIL a infligé une amende de 50
millions d’euros.
“Massifs et intrusifs” –
sur les traitements de données
réalisés par Google
Selon la sanction prononcée par la CNIL concernant les manquements au RGPD de Google, soutenue par
l’avocat général de la Cour de justice de l’UE (CJUE), le géant de la tech trahit une erreur d’interprétation fon-
damentale de la notion de consentement des utilisateurs au sujet du traitement de leurs données.
Pour la CNIL, le consentement d’un utilisateur à ce qu’un fournisseur de services exploite ses données à ca-
ractère personnel peut se résumer ainsi :
• Google doit délivrer à l’internaute des informations claires et compréhensibles avant de demander son
consentement.
• L’utilisateur doit effectuer un acte positif et délibéré pour donner son consentement : les cases pré-co-
chées et le consentement implicite sont insuffisants et illégaux.
• Google doit offrir à l’utilisateur la possibilité d’accorder son consentement de manière distincte pour
chaque finalité (plutôt qu’en bloc pour toute une série de services).
6
La CNIL a instruit plusieurs plaintes contre Google concernant des manquements aux obligations de
transparence et d’information :
1
La transparence et l’accès à l’information
L’article 13 du RGPD prévoit que toutes les informations communiquées aux personnes concernées
doivent être faciles d’accès. Lors de l’audit de Google, la CNIL a constaté qu’il fallait cinq actions pour
consulter les informations relatives aux traitements de personnalisation de la publicité, six pour l’ex-
ploitation des données de géolocalisation et quatre pour les périodes de stockage de ces données.
2
Une description claire des finalités du traitement des données personnelles
L’audit de la CNIL a également révélé que la description faite par Google des finalités des opérations
de collecte et de traitement des données était trop générique et ne permettait pas aux personnes
concernées de prendre conscience de l’ampleur du traitement et du niveau d’intrusion dans leur vie
privée qu’il représente.
Google déclare : « Les informations que nous collectons servent à améliorer les services proposés à tous nos
utilisateurs. [Ces informations] et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos
services et dont vous gérez vos paramètres de confidentialité. »
La CNIL demande à Google de se montrer plus précise quant aux finalités du traitement des données.
3
Un consentement délibéré
Lors de la création d’un compte, les utilisateurs ont la possibilité de cliquer sur le bouton « Créer un
compte » ou sur le bouton « plus d’options », qui lui leur permet de paramétrer l’affichage des an-
nonces personnalisées. Cependant, ces paramètres de personnalisation du compte sont pré-cochés
par défaut, ce qui oblige les personnes concernées à les décocher si elles ne souhaitent pas faire l’objet de ce
type de traitement. Par ailleurs, même sans sélectionner « plus d’options », elles restent invitées à cliquer sur
le bouton « Confirmer » pour pouvoir créer leur compte.
Le consentement n’est donc pas valablement recueilli, dans la mesure où il est possible d’utiliser les services
proposés par Google sans donner son consentement explicite au traitement, et où les paramètres de person-
nalisation du compte sont présélectionnés par défaut.
Or, il est impératif de faire en sorte que l’utilisateur effectue un acte délibéré pour consentir à une opération
de traitement spécifique. La pratique de Google consistant à pré-cocher les cases « J’accepte » est à proscrire
formellement.
4
Les niveaux de données
Google a également été invitée à prendre les précautions requises pour traiter plusieurs niveaux
d’informations à caractère personnel à différentes fins, plus précisément dans la mesure où la col-
lecte de données de premier niveau (nom, numéro de téléphone, adresse IP, identifiant unique,
etc.) pour une finalité donnée permet la collecte de données de deuxième niveau qui en découlent pour une
autre finalité (par exemple, en déduisant les centres d’intérêt des utilisateurs de façon à personnaliser les
annonces).
Autre point essentiel, Google ne considère pas les adresses IP et les identifiants pseudonymes (cookies, mo-
biles, publicitaires) comme des données à caractère personnel. La société mentionne également que « les
données exclues de l’interprétation du terme “Informations personnelles” faite par Google peuvent toujours
être considérées comme des données à caractère personnel dans le cadre du RGPD. » La CNIL a confirmé qu’il
ne s’agissait pas là d’une interprétation correcte du RGPD.
7
5
Le consentement à des « finalités spécifiques » (comme la personnalisation
de la publicité)
Lorsque les personnes concernées cochent les cases « j’accepte les conditions d’utilisation de Goo-
gle » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans
les règles de confidentialité », elles ne donnent pas de consentement spécifique et distinct au traitement des
données à caractère personnel les concernant. Au contraire, elles acceptent en bloc et sans distinction toutes
les opérations portant sur leurs informations personnelles.
La CNIL précise que, dans le cas où plusieurs opérations de traitement de données à caractère personnel
sont effectuées pour différentes finalités, sur la base légale du consentement de la personne concernée, le
consentement en question doit être distinct pour chacune de ces opérations dans la mesure où elles servent
un but précis, conformément aux dispositions de l’article 6(1)(a) du RGPD, qui impose le consentement « pour
une ou plusieurs finalités spécifiques ».
6
L’étape d’autorisation d’utilisation des données
Dernier point retenu à son encontre, Google ne demande l’autorisation d’utiliser les données à ca-
ractère personnel qu’après la création d’un compte. Or, l’article 13 du RGPD stipule que l’obligation
de fournir les informations nécessaires doit être remplie « au moment où les données en question
sont obtenues ». Il prévoit également qu’il ne peut être exigé de l’utilisateur aucune action « active » pour
donner son consentement à l’exploitation de ses données.
• La CNIL a infligé une amende de 400 000 euros à SERGIC (un administrateur de biens immobiliers français)
en juin 2019 pour défaut de sécurité informatique et conservation illégale de données personnelles des
utilisateurs de leur site internet.
• L’autorité autrichienne de protection des données a infligé une amende de 4 800 € pour activités de vidéo-
surveillance illégales – une grande première.
• Au Portugal, la CNPD a condamné un hôpital à verser une amende de 400 000 €, au motif qu’un membre
du personnel avait consulté illégalement des données patients.
• La France a sanctionné par une amende d’un montant de 30 000 € un employeur qui utilisait un système
biométrique pour contrôler le temps de travail de ses employés sans les en avoir informés.
• En Allemagne, l’une des autorités régionales de protection des données a exigé d’une société spécialisée
dans les réseaux sociaux qu’elle s’acquitte d’une amende de 20 000 € pour avoir manqué à ses obligations
en matière de sécurité des données.
• Si l’ICO (Information Commissioner’s Office), organisme de surveillance du Royaume-Uni, n’a pas encore
distribué d’amendes dans le cadre du RGPD, le nombre de rapports de violation de données qu’il comp-
tabilise a quadruplé depuis l’entrée en vigueur du RGPD.
8
S’ASSURER DE LA
CONFORMITÉ RGPD
L ’ A N A L Y T I C S S U I T E D ’ AT I N T E R N E T
ET LE RESPECT DU RGPD
Dans le cadre du RGPD, vous êtes tenu, de même que votre fournisseur de digital analytics, de documenter,
de recenser et de consigner les flux de données personnelles qui circulent dans votre organisation. Voici un
guide comparatif qui détaille point par point comment veiller au respect du RGPD avec AT Internet.
9
• exercer leur droit à la portabilité des données ;
• retirer leur consentement à tout moment ;
• ouvrir une réclamation auprès d’une autorité de contrôle.
Nous communiquons, clairement et dans la plus grande transparence, sur les droits des utilisateurs finaux
dans notre politique de confidentialité. Nous proposons également une option de désabonnement, destinée
à ceux qui ne souhaitent pas que leur activité soit suivie par notre solution web analytics.
Par ailleurs, AT Internet compte dans ses rangs un responsable de la protection des données, Nicolas Bou-
dillon, chargé entre autres de garantir la conformité d’AT Internet, de faire le lien avec les clients et les uti-
lisateurs finaux au sujet des demandes portant sur la confidentialité, d’assurer la liaison avec les autorités
de protection des données et de tenir informés les employés d’AT Internet sur l’évolution des exigences en
matière de protection des données.
Là encore, dans la mesure où les solutions digital analytics recueillent et stockent des données à caractère
personnel (souvent hors de l’Union européenne), il est essentiel de demander à son fournisseur d’analytics à
quel endroit il les conserve, si elles sont transférées ailleurs et si les utilisateurs finaux sont clairement infor-
més de ces emplacements de stockage et de transfert.
Périmètre de responsabilité
Le RGPD
Il est crucial de vous assurer que votre fournisseur d’analytics (« sous-traitant ») a clairement défini la portée
de sa responsabilité dans votre contrat. Dans la mesure où les amendes peuvent s’élever à 20 millions d’euros
ou à 4 % de votre chiffre d’affaires mondial annuel (le montant le plus élevé des deux !), mieux vaut ne pas
se retrouver avec tout sur les bras parce que votre fournisseur n’a pas bien défini ce qui relève de sa mission
dans le contrat de traitement des données (ou, pire encore, parce qu’il vous fait porter toute laresponsabilité !).
10
En tant que responsable du traitement des données, vous êtes également tenu de choisir soigneusement
un sous-traitant et de décider du type d’activités de traitement des données que vous mènerez. En d’autres
termes, sélectionnez judicieusement vos fournisseurs : ils doivent être conformes au RGPD !
Ce contrat, que nous fournissons à chacun de nos clients, définit précisément notre périmètre de respon-
sabilité en tant que sous-traitant et le vôtre en tant que responsable du traitement des données à caractère
personnel.
Si vous travaillez avec un autre fournisseur de digital analytics, nous vous recommandons vivement de vérifier
les termes de votre contrat pour vous assurer que la responsabilité ne vous est pas automatiquement trans-
férée (par le biais de limitations dans les clauses de responsabilité) et qu’il indique clairement les modalités
de gestion et de protection des données à caractère personnel.
Le RGPD
Dans le cadre du RGPD, les données personnelles doivent uniquement être « collectées pour des finalités
déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec
ces finalités ».
En d’autres termes, les données de vos visiteurs doivent exclusivement être utilisées dans le but d’atteindre
le ou les objectifs dont vous les avez informés, par exemple (dans le cas de l’analytics), améliorer leur expé-
rience sur votre site ou leur proposer des contenus personnalisés. Elles ne doivent PAS servir à des fins pour
lesquelles ils n’ont pas donné leur consentement.
Il est également important de comprendre la notion de « profilage » telle qu’elle est définie dans le RGPD : «
toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à
caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment
pour analyser ou prédire des éléments concernant [...] le comportement, la localisation ou les déplacements
de cette personne physique ». Si vous exploitez des données analytics pour mener des activités de profilage,
vous avez l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD) qui garan-
tisse et prouve votre transparence et votre conformité.
Une AIPD s’impose également pour évaluer les risques présentés par d’autres types d’opérations de traite-
ment des données sur les droits et libertés des utilisateurs. Si l’analyse fait apparaître un risque résiduel élevé,
rapprochez-vous de l’autorité de contrôle compétente pour connaître la marche à suivre
11
Dans la mesure où notre solution digital analytics permet d’effectuer des activités de profilage (comme
d’autres solutions similaires), nous avons mené une AIPD de notre service, dont voici les résultats : dès lors
que notre solution est utilisée normalement (selon les modalités définies dans notre contrat de traitement
des données), le traitement des données effectué par AT Internet ne présente pas de risque particulier pour
les droits et libertés des personnes concernées.
Nous fournissons également à nos clients une documentation claire, des méthodes spécialement adaptées
(refus de collecte des données et de recours aux cookies) et toute l’aide nécessaire.
Dans la mesure où notre solution digital analytics permet d’effectuer des activités de profilage (comme
d’autres solutions de ce type), nous avons mené une AIPD de notre service, dont voici les résultats : dès lors
que notre solution est utilisée normalement (selon les modalités définies dans notre contrat de traitement
des données), le traitement des données effectué par AT Internet ne présente pas de risque particulier pour
les libertés des personnes concernées.
Autre aspect important d’une approche qualitative, les données sont recueillies en toute légalité et avec le
consentement des utilisateurs ! En évitant tout risque de violation, vous préservez votre ROI. En prime, la
perception de votre entreprise s’en trouvera sensiblement améliorée, car vos clients sauront que vous gérez
convenablement leurs données : de bonnes pratiques en matière de confidentialité signifient aussi un meil-
leur chiffre d’affaires !
12
Des certifications officielles et une exemption accordée par la CNIL
La filiale allemande d’AT Internet est certifiée tous les ans depuis 2010 par TÜV Saarland, un organisme de
certification allemand indépendant. TÜV Saarland reconnaît que les procédures de collecte et de traitement
des données associées à la solution d’AT Internet respectent les standards de sécurité et de protection des
informations.
À Singapour, AT Internet applique le Personal Data Protection Act 2012 (PDPA), qui régit la collecte, l’utilisa-
tion, la divulgation et l’entretien des données à caractère personnel.
En ce qui concerne la qualité des données toujours, nous détenons d’autres certifications : ABC au Royaume-
Uni, l’ACPM/l’OJD en France et KIA-index en Suède.
AT Internet entretient depuis 2014 des relations étroites avec la CNIL (l’autorité française de protection des
données). Pour preuve de la confiance qu’elle place dans notre solution, elle nous a accordé une exemption
de consentement pour les cookies en France. Dans la pratique, certains de nos clients n’ont donc qu’à avertir
leurs utilisateurs avant d’utiliser un cookie analytics de tracking, sans nécessairement afficher une bannière
de consentement aux cookies.
Pour connaître la liste des solutions (dont fait partie AT Internet) qui n’utilisent pas Google, lisez l’article
Alternatives to Google Products – the Complete List (en anglais) de Restore Privacy !
13
#CHECKLIST
LES 12 ENGAGEMENTS D’AT INTERNET
3. Nos cookies sont actifs pour une période fixe de 13 mois et sont ensuite supprimés.
4. Nous avons les ressources nécessaires pour extraire et effacer toutes données personnelles
en temps voulu.
5.Nous communiquons clairement et de manière transparente à propos des droits des utilisa-
teurs finaux dans notre politique de confidentialité.
6. Un DPO (Data Protection Officer), Nicolas Boudillon, s’assure de la conformité d’AT Internet,
la liaison avec les clients et les utilisateurs finaux sur les questions de vie privée, ainsi que la
liaison avec les autorités de protection des données.
7. Nous traitons et stockons toutes les données analytiques au sein de l’Union Européenne, au-
cune donnée personnelle n’étant transférée en dehors de l’UE.
8. Notre Suite Analytics est conforme au RGPD, tout comme AT Internet en tant qu’organisation.
Nous nous engageons pour une entière transparence envers nos clients dans notre DPA.
9. Nous fournirons à chacun de nos clients un Data Processing Agreement (DPA) pour définir
précisément notre domaine de responsabilité en tant qu’entreprise de traitement des données,
et le vôtre en tant que gestionnaire des données, concernant le traitement des données person-
nelles.
10. Avec AT Internet, vous restez toujours le propriétaire de vos données. Jamais nous n’utilisons
ni ne fusionnons les données analytics de nos clients dans notre propre intérêt.
11. Nous nous engageons à ne jamais partager les données que nous collectons à une tierce
partie, à moins qu’un client ne nous l’ai explicitement demandé, notamment dans le cas des
partenariats technologiques.
12. Nous proposons également à nos clients une documentation claire, des méthodes spéci-
fiques (opt-out & no-cookie) et une assistance si nécessaire.
14
#ET BIENTÔT…
LE RÈGLEMENT EPRIVACY
Le règlement ePrivacy, qui s’inscrit dans la droite ligne du RGPD, devrait être prêt en 2019. Abrogeant la
directive ePrivacy de 2002, il vise à atteindre le même niveau de protection que le RGPD pour les citoyens
européens, concernant l’ensemble des communications électroniques. Il s’appliquera aux entreprises qui pro-
posent des services de communication en ligne, utilisent des technologies de tracking online ou mènent des
activités de marketing électronique direct.
Par ailleurs, le règlement ePrivacy simplifiera et clarifiera les règles relatives aux cookies : les utilisateurs
pourront, en paramétrant leur navigateur, accepter ou refuser les cookies de tracking et d’autres identifiants.
Il prévoit également qu’il ne sera pas nécessaire de recueillir leur consentement pour les cookies suivants :
• les cookies non intrusifs qui améliorent l’expérience Internet (par exemple, en stockant l’historique du
panier) sans atteinte à la vie privée ;
• les cookies permettant à un site de compter le nombre de visiteurs.
Le règlement ePrivacy comporte une autre proposition importante pour la protection contre le spam : il in-
terdira les communications électroniques non sollicitées par e-mail, SMS et téléphone (systèmes d’appel au-
tomatisés). Selon la législation nationale en vigueur, les particuliers bénéficieront d’une protection par défaut
ou pourront s’inscrire sur une liste d’exclusion pour ne plus recevoir d’appels téléphoniques de marketing. Les
appelants seront tenus soit d’afficher leur numéro de téléphone, soit d’utiliser un indicatif spécial indiquant
un appel marketing.
15
Et ensuite ?
Le RGPD et le règlement ePrivacy font partie de la stratégie de marché unique numérique de l’UE, une initia-
tive dont le but est d’ouvrir de nouvelles perspectives numériques pour les particuliers et les entreprises, tout
en consolidant la position de leader de l’Europe dans l’économie numérique mondiale.
Il est plus important que jamais de vérifier que vos activités analytics respectent par-
faitement le RGPD. Pour savoir comment at internet peut vous aider, n’hésitez pas à
contacter notre délégué à la protection des données à l’adresse dpo@atinternet.com.
16
#GLOSSAIRE
# L E S T E R M E S À CO N N A Î T R E
CNIL
Commission nationale de l’informatique et des libertés (l’autorité française de protection des données).
PERSONNE CONCERNÉE
Personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple, un
nom, un numéro d’identification ou des données de localisation) ou d’un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
PROFILAGE
Toute forme de traitement automatisé de données à caractère personnel qui consiste à utiliser ces données
pour évaluer certains aspects de la personne en question, et analyser ou prédire ses intérêts, son comporte-
ment et d’autres attributs.
SOUS-TRAITANT
Personne, entreprise ou autre organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement.
TRAITEMENT
Toute opération (automatisée ou non) appliquée à des données à caractère personnel. Exemples : collecte,
enregistrement, organisation, structuration, conservation, modification, consultation, utilisation, diffusion, in-
terconnexion, effacement, destruction.
17
MENTIONS LÉGALES:
Les informations contenues dans le présent document ne sont fournies qu’à titre
d’information. Les auteurs et éditeurs de ce contenu ne sauraient être engagés à de la
fourniture de prestations légales ou autres. AT Internet n’est responsable ni des erreurs, ni
des omissions ni des résultats obtenus du fait de l’utilisation des présentes informations.
Toutes les informations contenues dans le présent document sont fournies sans garantie
aucune quant à leur exhaustivité, leur exactitude, leur actualité ou aux résultats issus de
l’utilisation dudit document et sont diffusées sans garantie d’aucune sorte, explicite ou
non. Les marques et logos figurant dans ce document sont des marques enregistrées ou
non appartenant à la société AT Internet ou à des tiers. Toute utilisation, non autorisée
explicitement par les titulaires des marques précitées, est strictement interdite. Toute
reproduction partielle ou totale de ce document, sans autorisation expresse d’AT Internet
est interdite. AT Internet se réserve le droit de mettre à jour le présent document à tout
moment et sans préavis. Document et informations non contractuels.
© AT INTERNET - 2019
18
À propos d’AT Internet
AT Internet, acteur mondial dans le domaine du Digital Analytics depuis 1996,
aide les entreprises à mesurer leur audience et optimiser leur performance
digitale sur tous les canaux marketing. De la collecte, en passant par l’activa-
tion des données, jusqu’à la diffusion d’insights, l’Analytics Suite offre une fia-
bilité maximale pour des décisions efficaces. La qualité de l’offre d’AT Internet
a été mondialement reconnue dans de récentes études indépendantes. AT
Internet mesure plus de 20 000 sites et applications à travers le monde dans
tous les secteurs d’activité. Avec plus de 200 collaborateurs, elle est présente
à l’international via ses bureaux, clients et partenaires.
Suivez-nous sur Suivez-nous sur Suivez-nous sur Suivez-nous sur Suivez-nous sur
19