Contact

Contrôle de la CNIL : faites face avec Data On Duty

L’auteur

Eric Dumain

Thème(s)

Publié le

17-02-2022

5 minutes

Contrôle de la CNIL : faites face avec Data On Duty

Vous l’avez peut-être constaté, la CNIL a frappé fort à l’encontre des entreprises utilisant Google Analytics (« …ou toute autre solution similaire… »)1. Elle s’inscrit dans la continuité des décisions de l’administration autrichienne qui interdisent l’usage de Google Analytics, au moins dans sa forme actuelle. De quoi s’agit-il ? Comment se passe un contrôle de la CNIL ? Et comment y faire face ? On vous dit tout !

Le contrôle de la CNIL : de quoi s’agit-il ?

La Commission nationale de l’informatique et des libertés – dit CNIL – est un organisme chargé de réguler l’utilisation des données personnelles. Son rôle est donc de s’assurer de la bonne mise en conformité des entreprises et du respect des informations privées des particuliers.

Pour cela, la CNIL a « le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles »2 et étant localisés en France. 3 marques de renommée nationale ont ainsi été mises sur le banc des accusés pour non-respect de la vie privée et non protection des données des utilisateurs.

Le RGPD comme soutien au contrôle de la CNIL

La CNIL va mettre en demeure les gestionnaires des sites pour assurer la mise en conformité des traitements avec le Règlement Général sur la Protection des Données (ou RGPD). Les entreprises doivent cesser d’avoir recours à la fonctionnalité Universal Analytics (Google Analytics 3).

Ceci doit remettre en mémoire 4 points fondamentaux :

  1. Le RGPD ne comprend pas uniquement des processus et méthodes d’organisation relevant du service juridique ! Il permet d’ailleurs de vérifier le respect des règles auprès des organismes responsables du traitement ou de la gestion des données (hébergement, maintenance, tracking…). Aujourd’hui, le focus est mis sur les environnements technologiques du web : les organismes de régulation pourront y identifier facilement les infractions.
  2. Les cookies sont l’arbre qui cache la forêt ! Le sujet représente à peine 20 % du problème de la conformité des environnements web. Dans le cas présent, c’est bien une technologie de tracking (le tag GA) qui est ciblée… Selon la CNIL, il est indispensable de recueillir valablement le consentement des utilisateurs avant le dépôt ou la lecture des cookies.
  3. La Consent Management Platform (aussi appelée Plateforme de gestion des cookies ou CMP) n’est pas une solution de conformité RGPD en cela qu’elle ne protège en rien des infractions. Si elle permet de collecter rapidement et efficacement le consentement des utilisateurs, se réfugier derrière l’argument CMP n’est plus audible par les organismes de régulation qui alertent sur la nécessité de procéder à des audits réguliers.
  4. Le RGPD ne s’applique pas qu’en France. Ainsi, si une entreprise échappe au contrôle de la CNIL, cela ne signifie pas qu’elle sera épargnée dans les 27 autres pays membres de l’Union Européenne (ni dans plusieurs autres pays non membres mais adhérent au RGPD).

Avant, pendant, après : que se passe-t-il lors d’un contrôle de la CNIL?

Avant

Contrôle sur place, en ligne, sur pièces, ou encore audition sur convocation, le président de la CNIL peut demander au responsable d’effectuer différents types de contrôles. Dans le cadre d’une audition sur convocation, la personne auditionnée doit être tenue informée du contrôle minimum 8 jours avant la date fixée.

L’organisme visé peut également être chargé de communiquer plusieurs informations relatives au traitement des données : outils utilisés, gestion, organisation générale…

Pendant

Un contrôle peut avoir pour objectif de vérifier la conformité des traitements vis-à-vis de la loi Informatique et Libertés et du RGPD. Dans le cadre de ce contrôle, les agents sont chargés d’analyser et de conserver les informations techniques et juridiques transmises. Ils peuvent également interroger le personnel d’entreprise susceptible d’en savoir plus sur la conformité du traitement des données. 

« Un procès-verbal est établi à l’issue du contrôle et fait état de toutes les informations recueillies par la délégation et des constatations qu’elle a réalisées. Il répertorie en annexe tous les documents qui ont été copiés dans le cadre du contrôle. »3

Après

La CNIL va reprendre le procès-verbal établi et examiner l’intégralité des documents fournis. En fonction de ces analyses, différentes actions peuvent être mises en place : fermeture de la procédure (si rien à signaler), fermeture et observations (si quelques améliorations à apporter), mise en demeure pour mise en conformité, mise en place de sanctions…

Comment les solutions Data On Duty peuvent vous aider ?

Privacy Manager

Notre solution Privacy Manager vous fait gagner un temps précieux dans l’identification, la correction et la maintenance de vos écosystèmes web à la conformité sur 100 % du spectre RGPD.

Elle vous soulage du travail fastidieux d’audit et d’analyse, en automatisant au maximum et en vous alertant sur tout ce qui va, ce qui ne va pas. Mais aussi sur le pourquoi et le comment le corriger sur votre écosystème Web.

Visitor Trust Index

Nous vous aiderons également en produisant pour vous l’indice de conformité Visitor Trust Index que vous pourrez publier sur vos sites, comme un label de tiers de confiance. 

Vous pourrez ainsi rassurer vos visiteurs, rétablir la confiance et les engager à donner plus volontiers leur consentement : jusqu’à +32 % d’après nos études.

Governance Manager

Enfin, grâce à la solution Governance Manager, vous serez en mesure d’optimiser la conformité du tracking à vos enjeux business. Et ainsi, tirer profit du regain de consentement. 

Grâce au monitoring de vos sites vous pourrez maintenir la conformité dans la durée, afficher un indice d’excellence sur vos pages d’accueil et ainsi renforcer la confiance de vos consommateurs. N’attendez plus et optimisez votre tracking pour disposer de données fiables de conversion. Toute l’équipe Data On Duty est à votre disposition pour vous aider à sécuriser votre conformité RGPD.

1 Source : CNIL

2 Source : Comment se passe un contrôle de la CNIL ?

 3 Source : Comment se passe un contrôle de la CNIL ?

Vous aimerez aussi…

S’abonner à la Newsletter

Ne manquez aucun contenu Data On Duty et soyez au courant de toutes les actualités Data Privacy et Data Governance !