Un guide pratique de donnees personnelles sensibles RGPD

Ce guide explique donnees personnelles sensibles RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Les règles de données personnelles sensibles GDPR peuvent s'appliquer au suivi Web lorsque le comportement de navigation révèle des caractéristiques protégées. Un cookie ID en lui-même peut paraître technique. Un cookie ID connecté à des visites concernant le traitement du cancer, l'organisation syndicale, les services religieux, les soins de fertilité ou les campagnes politiques peut devenir beaucoup plus sensible.

GDPR appelle ces « catégories spéciales de données personnelles ». L'article 9 couvre les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques utilisées à des fins d'identification, les données de santé et les données concernant la vie sexuelle ou l'orientation sexuelle (GDPR Article 9).

Pourquoi le Web Analytics peut créer des données sensibles

L'analyse Web enregistre souvent :

• Page URLs.
• Termes de recherche.
• Référents.
• Paramètres de campagne.
• Cookie ou dispositif IDs.
• Emplacement dérivé de IP.
• Événements de clic et de conversion.
• Compte IDs ou hachages de courrier électronique dans certaines implémentations.

Sur une page produit ordinaire, cela peut présenter un faible risque. Sur le site Web d'une clinique de santé mentale, d'une ressource en santé reproductive, d'un site de campagne politique, d'un site communautaire religieux ou d'une page de conflit de travail, les mêmes données peuvent révéler des informations sensibles sur le visiteur.

Le risque augmente lorsque les données analytiques sont liées entre des pages, des sessions, des comptes ou des plateformes tierces.

L’avertissement du Meta/Bundeskartellamt

La Cour de justice de l’Union européenne a abordé les préoccupations liées aux catégories particulières dans l’arrêt Meta Platforms contre Bundeskartellamt. Le tribunal a estimé que la visite de sites Web ou d'applications liés à des sujets de catégorie spéciale peut révéler des données sensibles et que le traitement de ces données peut relever de l'article 9 selon les circonstances (affaire CJEU C-252/21).

La leçon pratique ne se limite pas aux réseaux sociaux. Si les systèmes de suivi collectent des comportements au niveau des pages qui révèlent des intérêts sensibles, les organisations doivent traiter ces données avec un soin accru.

Exemples pour les équipes Analytics

Exemples à haut risque :

• Une clinique de santé envoie la page URLs concernant des conditions spécifiques à un fournisseur d'analyses tiers.
• Une organisation à but non lucratif suit les visiteurs des ressources sur la violence domestique avec IDs persistant.
• Une campagne politique partage les pages de participation à des événements avec des plateformes publicitaires.
• Un site de syndicalisation recible les visiteurs en fonction des pages consultées.
• Une application de santé mentale enregistre les pages vues sur des sujets thérapeutiques dans une pile marketing générale.

Exemples à faible risque :

• Nombre total de pages sans identifiants persistants.
• Journaux côté serveur avec conservation courte et minimisation IP.
• Nombre d'événements qui évitent les titres de pages sensibles ou les chaînes de requête.
• Rapports au niveau du pays sans historiques au niveau des utilisateurs.

Le contexte compte. Le même événement analytique peut être inoffensif sur un blog générique et sensible sur une page de santé.

Implications en matière de conformité

Les traitements de catégorie spéciale sont généralement interdits, sauf si une exception de l'article 9 s'applique, telle qu'un consentement explicite ou une autre base juridique spécifique. Le consentement ordinaire pour les cookies analytiques peut ne pas suffire si le traitement implique des données sensibles et un profilage de tiers.

Les équipes peuvent également avoir besoin de :

• Une analyse d’impact sur la protection des données.
• Des contrôles d’accès plus stricts.
• Rétention plus courte.
• Restrictions des fournisseurs.
• Consentement explicite le cas échéant.
• Une interdiction d’utilisation publicitaire.
• Divulgations minutieuses de la vie privée.
• Bilan des virements internationaux.

Pour les sites liés à la santé aux États-Unis, HIPAA peut également s'appliquer si l'organisation est une entité couverte ou un associé commercial. Le HHS a publié des orientations et des mesures d'application concernant les technologies de suivi en ligne utilisées par les entités réglementées par HIPAA (Guide des technologies de suivi en ligne du HHS). Mise en garde importante pour 2024 : le HHS note qu'un tribunal fédéral a annulé le bulletin dans la mesure où il traitait une adresse IP ainsi qu'une visite à certaines pages de santé publique non authentifiées comme déclenchant automatiquement les obligations HIPAA. Cela ne supprime pas les risques liés aux portails, aux flux de rendez-vous, d’admission, de paiement, d’authentification ou de divulgation des PHI.

Réduction pratique des risques

Utilisez une liste de contrôle d'analyse de contexte sensible :

1. Identifiez les pages qui révèlent la santé, la religion, la politique, la sexualité, le statut syndical, les enfants ou d'autres sujets sensibles.
2. Désactivez les pixels publicitaires sur ces pages.
3. Évitez les rediffusions de sessions et les heatmaps sur les flux sensibles.
4. Supprimez les chaînes de requête avant la collecte d’analyses.
5. N'envoyez pas de titres de pages contenant des termes sensibles si des catégories globales suffisent.
6. Évitez les identifiants persistants lorsque cela est possible.
7. Gardez les rapports agrégés.
8. Restreindre l’accès.
9. Réduisez la conservation des données brutes.
10. Examinez les fournisseurs et les sous-traitants.

Mesure axée sur la vie privée

Les analyses axées sur la vie privée sont particulièrement utiles dans les contextes sensibles. Une clinique, une organisation à but non lucratif, un groupe de défense ou un service public peuvent souvent répondre à des questions opérationnelles sans suivre les parcours identifiables.

Les mesures utiles à faible risque incluent :

• Nombre total de visites dans une catégorie de ressources.
• Domaines référents dans leur ensemble.
• Classe d’appareil pour les contrôles d’utilisabilité.
• Termes de recherche uniquement lorsqu’ils sont anonymisés et examinés.
• Nombre de conversions pour les actions non sensibles.

S’il est impossible de répondre à une question sans recueillir les comportements sensibles, demandez-vous si la question en vaut le risque. Dans de nombreux cas, une mesure, une enquête ou un enregistrement opérationnel côté serveur moins détaillé est plus sûr et plus respectueux.

Drapeaux rouges dans la conception d’événements

Vérifiez les noms et les propriétés des événements avant le lancement. Des événements tels que depression_quiz_started, union_contact_form_submitted ou pregnancy_help_clicked peuvent être utiles en interne, mais ils peuvent révéler une signification sensible s'ils sont envoyés à des outils d'analyse générale ou de publicité.

Utilisez des catégories neutres lorsque cela est possible, restreignez l'accès et gardez les analyses sensibles hors des écosystèmes publicitaires tiers. Dans des contextes sensibles, « plus granulaire » n’est souvent pas préférable.

Exemples de dénomination plus sûre

La dénomination des événements peut réduire les risques sans rendre les rapports inutiles. Au lieu d'envoyer pregnancy_options_page_viewed, envoyez resource_category_viewed avec une large catégorie visible uniquement dans son ensemble. Au lieu de therapy_for_grief_video_75_percent, envoyez video_progress avec un contenu non sensible ID que seule une table interne restreinte peut interpréter.

Le même principe s'applique à URLs. Évitez les chemins et les chaînes de requête qui exposent un diagnostic, un statut juridique ou des préoccupations personnelles lorsqu'une structure de page plus simple suffit. Si des mots sensibles doivent apparaître pour des raisons de convivialité ou SEO, configurez l'analyse pour supprimer le chemin ou créer un rapport à un niveau de catégorie plus large. Le but n’est pas de cacher le service aux utilisateurs ; il s’agit d’éviter de diffuser des significations sensibles aux systèmes d’analyse à usage général.

Examen du contexte sensible

Avant de suivre les pages sensibles, documentez la catégorie de page, les noms d'événements, le comportement de URL, les identifiants, les fournisseurs, la conservation, les contrôles d'accès et si l'article 9 ou une autre loi sectorielle pourrait s'appliquer. Testez ensuite la page dans un profil de navigateur propre et inspectez les appels réseau, les cookies, le stockage et les événements côté serveur.

Si l'analyse envoie toujours des noms de conditions, des termes de recherche sensibles, des IDs persistants ou des appels publicitaires à partir de pages sensibles, le problème ne vient pas de la formulation de l'avis de vie privée. La conception des données doit être réduite.