Un guide pratique de liste des exigences RGPD

Ce guide explique liste des exigences RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Une politique de confidentialité n’est pas une page juridique décorative. C’est l’endroit où un site web explique quelles données personnelles il collecte, pourquoi il les collecte, qui les reçoit, combien de temps elles sont conservées et quels droits les personnes ont.

Pour les sites très analytics, la politique de confidentialité doit être assez spécifique pour décrire le suivi, les cookies, pixels, événements, fournisseurs et usages publicitaires. Un langage vague comme « nous pouvons collecter des informations pour améliorer les services » est rarement suffisant.

Exigences RGPD des notices de confidentialité

Les articles 13 et 14 du RGPD fixent des exigences de transparence pour les données personnelles collectées directement auprès des personnes ou obtenues indirectement. Une politique de confidentialité pratique doit inclure :

• L’identité et les coordonnées du controller.
• Les coordonnées du data protection officer, le cas échéant.
• Les catégories de données personnelles collectées.
• Les finalités du traitement.
• La base légale pour chaque finalité.
• Les intérêts légitimes, si vous vous appuyez dessus.
• Les destinataires ou catégories de destinataires.
• Les transferts internationaux et garanties.
• Les durées ou critères de conservation.
• Les droits des personnes concernées.
• Le droit de retirer le consentement.
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
• Si la fourniture des données est requise et les conséquences de la non-fourniture.
• Si une décision automatisée ou un profilage a lieu.

Le texte du RGPD est le point de départ faisant autorité (article 13 du RGPD, article 14 du RGPD).

Divulgations analytics

Pour l’analytics web, divulguez :

• Quels outils d’analytics vous utilisez.
• Quelles données ils collectent.
• Si des cookies ou technologies similaires sont utilisés.
• Si les identifiants sont persistants.
• Si les adresses IP sont stockées ou tronquées.
• Si les données sont partagées avec des fournisseurs ou plateformes publicitaires.
• Si les données sont utilisées pour la publicité cross-site.
• Comment les utilisateurs peuvent s’opposer ou modifier leur consentement.
• La durée de conservation des données analytics.

Si vous utilisez Google Analytics, Google indique qu’Analytics utilise des cookies comme _ga pour distinguer les visiteurs (Google Privacy and Terms). Votre politique ne doit pas laisser entendre qu’aucun identifiant n’est utilisé si votre implémentation en utilise.

Si vous utilisez une analytics privacy-first sans cookies, dites-le clairement, mais ne surpromettez pas. Expliquez ce qui est encore collecté, comme l’URL de page, le referrer, le navigateur, le type d’appareil et la localisation approximative.

Politique cookies et consentement

De nombreux sites combinent une politique de confidentialité avec une politique cookies séparée. Les deux structures peuvent fonctionner si les utilisateurs comprennent l’information.

Votre divulgation cookies doit inclure :

• Nom du cookie ou de la technologie.
• Fournisseur.
• Finalité.
• Durée.
• S’il est essentiel ou optionnel.
• Si des tiers reçoivent les données.
• Comment les préférences peuvent être modifiées.

Les régulateurs traitent souvent les cookies analytics comme non essentiels sauf si une exemption étroite s’applique. L’ICO britannique indique que les organisations ont besoin d’un mécanisme de consentement qui permet aux utilisateurs de contrôler les cookies et technologies similaires non essentiels (ICO).

Ajouts CCPA/CPRA

Si le CCPA s’applique, votre notice a aussi besoin de divulgations propres à la Californie. Le California Attorney General résume les droits des consommateurs, dont l’accès, la suppression, la correction, l’opt-out de la vente ou du partage et les limites d’utilisation des informations personnelles sensibles (California OAG).

Les entreprises couvertes doivent traiter :

• Les catégories d’informations personnelles collectées.
• Les sources des informations personnelles.
• Les finalités business ou commerciales.
• Les catégories de tiers auxquels elles sont divulguées.
• Les divulgations de vente ou de partage.
• L’utilisation des informations personnelles sensibles.
• Les méthodes de demande de droits.
• La non-discrimination.
• Les mécanismes "Do Not Sell or Share" lorsque requis.

Erreurs courantes de politique de confidentialité

• Lister des outils qui ne sont plus utilisés.
• Omettre des pixels de tag manager ajoutés par le marketing.
• Dire que les données sont anonymes alors qu’elles sont pseudonymes.
• Ne pas mentionner les transferts internationaux.
• Cacher la conservation derrière « aussi longtemps que nécessaire ».
• Oublier session replay, heatmaps, A/B testing et widgets de chat.
• Envoyer des données personnelles dans les URL tout en affirmant une collecte minimale.
• Ne pas expliquer le retrait du consentement.

Workflow de maintenance pratique

Revoyez la politique de confidentialité chaque fois que :

• Un nouvel outil analytics ou publicitaire est ajouté.
• Un conteneur tag manager change.
• Une nouvelle région est ciblée.
• Un fournisseur change de subprocessors.
• Une bannière cookies change.
• Les paramètres de conservation changent.
• De nouveaux événements collectent des données liées aux comptes ou formulaires.

Les politiques de confidentialité dérivent parce que les sites dérivent. Gardez un registre simple des points de collecte de données et comparez-le à la notice publiée chaque trimestre.

La meilleure politique de confidentialité est facile à écrire parce que les pratiques de données sont simples. Une configuration d’analytics privacy-first sans cookies, sans partage publicitaire, sans stockage d’IP complète et avec reporting agrégé est plus facile à expliquer, plus facile à défendre et plus facile à croire pour les visiteurs.

Le wording analytics doit correspondre à la réalité

Évitez les affirmations absolues sauf si l’implémentation les soutient. « Analytics anonyme » n’est exact que si les données ne peuvent pas raisonnablement identifier une personne. De nombreux systèmes analytics sont pseudonymes, pas anonymes, parce qu’ils utilisent des identifiants ou peuvent relier l’activité dans le temps.

Un meilleur wording est spécifique : « Nous utilisons une analytics sans cookies pour compter les visites de pages agrégées, les referrers, le type d’appareil et la localisation au niveau pays. Nous n’utilisons pas de cookies analytics et ne vendons pas les données analytics. » Puis vérifiez régulièrement la configuration.

Faire correspondre la politique à l’inventaire des tags

Avant publication, comparez la politique avec un crawl live de votre site. Listez chaque script, iframe, cookie, clé local-storage, pixel de suivi, widget de chat, fournisseur de polices, outil de formulaire et service média intégré. Vérifiez ensuite si chaque élément apparaît dans la politique de confidentialité, la notice cookies ou le registre fournisseur avec la même finalité et le même récit de conservation.

Cela attrape les dérives courantes. Le marketing peut supprimer un pixel mais le laisser dans la politique, ce qui rend la notice plus inquiétante que la réalité. Ou un nouveau script d’A/B testing peut apparaître sans aucune divulgation. Une revue trimestrielle tag-vers-politique garde la notice publique alignée avec ce que les visiteurs vivent réellement.

Checklist de revue de politique

Avant de publier la politique, documentez chaque événement analytics collecté, la décision qu’il soutient, s’il utilise du stockage ou des identifiants, quels fournisseurs le reçoivent et quand les enregistrements bruts expirent. Testez ensuite le site live dans un profil de navigateur propre.

La politique est prête seulement lorsque la notice, le registre fournisseur, le comportement de consentement et les preuves du navigateur racontent la même histoire. Si le network panel montre un tracker que la politique n’explique pas, corrigez l’implémentation ou le wording avant lancement.