Résumé rapide
Les logiciels RGPD, c’est quoi ?
Les gouvernements légifèrent à l’unisson ces dernières années – du RGPD paneuropéen au CCPA californien et au LGPD brésilien, les lois sur la protection des données prennent vie dans ce qui semble être un bouleversement technologique mondial.
Ce que la plupart des nouvelles lois sur la protection de la vie privée ont en commun, c’est une entente claire sur les responsabilités.
Le RGPD est clair : les propriétaires et les opérateurs sont responsables d’assurer un traitement légal des données.
Il s’ensuit donc que, pour être conformes aux lois sur la protection des données, les technologies nécessaires doivent être mises en œuvre par les propriétaires du site web, et non par les utilisateurs – c’est-à-dire un logiciel RGPD qui s’applique aux changements structurels créés par le RGPD, et non des solutions d’auto-défense de fortune pour chaque individu.
Les logiciels RGPD (ou logiciels de conformité au RGPD ou outils de consentement au RGPD) sont des solutions qui permettent de se conformer au RGPD.
Logiciel RGPD pour le consentement et les cookies
Les outils de gestion des consentements sont un autre logiciel RGPD essentiel.
Si vous avez un site web, vous avez probablement besoin d’un outil de gestion des consentements pour contrôler les cookies et le suivi en ligne en vigueur et obtenir le consentement approprié de vos utilisateurs.
Les cookies sont le moyen le plus courant pour les sites web de traiter les données personnelles de leurs utilisateurs. Il peut être très difficile de s’assurer que votre site web utilise les cookies tout en respectant les exigences de consentement du RGPD, étant donné que –
72 % des cookies des sites web sont placés par d’autres cookies tiers.
18 % des cookies des sites web sont chargés dans pas moins de huit autres cookies.
50 % de ces cookies cachés changent entre les visites.
Source : Beyond the Front Page, une étude de 2020 sur les cookies et le suivi des sites web.
Testez votre site web avec le test de conformité RGPD gratuit Cookiebot.
Un site web dans l’UE ou un site web qui traite les données des citoyens de l’UE par le biais de cookies et de traceurs (quel que soit l’endroit dans le monde où ce site web est situé) doit respecter l’une des conditions de traitement licite, spécifiée à l’article 5 du RGPD.
Le consentement est la première condition pour le traitement des informations personnelles selon le RGPD – c’est la base juridique la plus courante pour le traitement des données personnelles dans l’UE. Cette partie du RGPD précise que les sites web doivent obtenir une autorisation claire et non ambiguë de leurs utilisateurs avant de pouvoir collecter et traiter les données des utilisateurs.
Lignes directrices du EDPB sur le consentement valide dans l’UE
Le Comité européen de la protection des données (EDPB) est la principale autorité en matière d’application du RGPD dans l’UE.
Les lignes directrices et les décisions qu’il a adoptées constituent la base sur laquelle chaque autorité nationale de protection des données dans chaque État membre de l’UE applique et fait respecter le règlement général sur la protection des données (RGPD).
Les lignes directrices du EDPB sur le consentement valide adoptées le 4 mai 2020 clarifient en détail ce qui est considéré comme un consentement valide dans l’UE – et donc, comment votre site web doit s’y prendre pour obtenir le consentement de l’utilisateur afin de s’assurer qu’il est fait de manière totalement conforme.
Les lignes directrices du EDPB précisent que :
Votre site web ne peut traiter des données personnelles sur des personnes au sein de l’UE qu’après avoir obtenu l’indication librement donnée, spécifique, informée et non ambiguë des souhaits des utilisateurs.
Cela signifie que les cases cochées par défaut sur les bandeaux cookies ne sont pas valides, c’est-à-dire que les cookies doivent être désélectionnés afin que l’utilisateur puisse les sélectionner de manière claire et affirmative pour donner son consentement.
Cela signifie également que le défilement et la navigation continue sur votre site web ne peuvent pas être considérés comme un consentement valide.
De même, votre site web n’est pas autorisé à utiliser des cookie walls (c’est-à-dire à conditionner l’accès au domaine au consentement), car il s’agit d’un consentement forcé et non libre (valide).
En savoir plus sur les lignes directrices du EDPB concernant le consentement valide dans l’UE
Cookiebot CMP comme logiciel RGPD
La plateforme de gestion des consentements Cookiebot CMP est la solution de gestion des consentements la plus utilisée au monde.
Cookiebot CMP est un gestionnaire que les sites web utilisent pour obtenir la conformité avec le RGPD, ePrivacy et d’autres législations similaires sur la protection des données en ce qui concerne les cookies et le suivi, pour sécuriser la vie privée de leurs utilisateurs finaux et éviter les amendes élevées en cas de non-conformité.
Cookiebot CMP est une solution plug-and-play simple qui permet de concilier votre site web et la protection de la vie privée de vos utilisateurs. Elle est mise en œuvre directement depuis le Cloud, sans nécessiter de mise en œuvre manuelle ou de déploiement sur site.
Le scanner inégalé Cookiebot examine les profondeurs de votre domaine et trouve tous les cookies et les traceurs en fonctionnement. Cookiebot CMP effectue des scanners mensuels qui rendent votre déclaration de cookies à jour et fiable pour vos utilisateurs.
Cookiebot CMP bloque ensuite automatiquement tous les cookies et interdit toute collecte, traitement ou partage de données personnelles. Cela signifie que vos utilisateurs n’auront aucune information privée récoltée par de grandes entreprises technologiques ou traitée et utilisée pour de la publicité comportementale.
Cookiebot CMP présente ensuite à vos utilisateurs un bandeau de consentement aux cookies qui les informe de tous les traceurs, de leur utilisation et de leur but, et leur permet de contrôler l’activation des cookies en fonction de leur choix de consentement. Seuls les cookies nécessaires seront toujours présélectionnés et ne pourront pas être désactivés par l’utilisateur.
La solution logicielle RGPD de Cookiebot CMP fonctionne par –
- Un scanner qui détecte tous les cookies et le suivi en fonctionnement sur votre site web.
- Le blocage automatique de tous les cookies jusqu’à l’obtention du consentement de l’utilisateur.
- Un consentement granulaire qui garantit le choix libre, informé et spécifique de chaque utilisateur.
- Des bandeaux de consentement qui permettent aux utilisateurs de donner ou de retirer leur consentement aux traceurs..
- La documentation des consentements des utilisateurs.
- La demande régulière de renouvellement du consentement.
Grâce à ces fonctions essentielles de notre produit, dont certaines sont pionnières et uniques dans le secteur de la protection de la vie privée, nous sommes en mesure de proposer une solution de conformité simple et automatique pour les sites web afin de répondre au nouveau paysage mondial de la protection des données.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Le logiciel RGPD en détail
Autres logiciels RGPD
Une gamme de logiciels RGPD pour couvrir différentes dispositions du RGPD telles que :
- La minimisation des données
- L’anonymisation et la pseudonymisation
- La violation de données
- Le stockage sécurisé des données
- L’enregistrement des activités de traitement
- L’intégrité et la confidentialité
Un exemple est le considérant 26 du RGPD qui stipule que les principes de protection des données ne s’appliquent pas aux données anonymisées ou pseudonymisées qui ne permettent pas d’identifier une personne. En d’autres termes, le RGPD ne concerne pas les informations anonymes – à des fins statistiques ou de recherche par exemple.
Des exemples de logiciels RGPD spécialisés dans cet aspect sont :
- Boxcryptor – qui crypte les données des services Cloud comme Google Drive et Dropbox
- Tokenex – une plateforme de sécurité SaaS qui « change les données sensibles en un numéro aléatoire » afin qu’anonymiser les données.
De cette manière, les sociétés et les organisations peuvent garantir la conformité au RGPD lorsqu’elles travaillent avec des informations personnelles sensibles.
Un autre exemple est l’obligation aux entreprises, imposée par le RGPD à l’article 35, de mener des évaluations d’impact sur la protection des données, lorsqu’un type de traitement est susceptible de mettre en danger les droits et libertés des citoyens de l’UE.
Des logiciels RGPD spécialisés dans le respect de cet article du RGPD sont par exemple :
- PrivIQ qui assure le stockage sécurisé des données pour les besoins de protection
- Logicgate, qui sécurise le stockage des données pour les besoins de protection, et gère la réponse d’une entreprise aux violations de données (relative à l’article 33).
La protection de la vie privée n’est pas la responsabilité des utilisateurs
Nous aimons tous la technologie. Celle-ci améliore nos vies de tant de façons et nous ne voulons pas y renoncer. C’est pourquoi un ami qui quitte Facebook y revient généralement peu de temps après.
La technologie n’est pas une mode. Elle façonne de nouvelles infrastructures numériques qui transforment notre façon de nous connecter, de nous rencontrer, de parler, de manger, de dormir, de vivre et de mourir.
La plupart des utilisateurs de sites web n’ont pas le temps ni les compétences techniques pour s’informer de leurs options d’autodéfense. C’est pourquoi nous défendons l’idée que les outils d’autodéfense (comme les navigateurs améliorant la confidentialité ou les bloqueurs de publicités) ne sont pas des solutions viables pour les changements structurels nécessaires par rapport au logiciel RGPD.
La plupart des utilisateurs ne sont pas prêts à abandonner la technologie dont ils se méfient, ce qui se traduit par une situation inconfortable où les utilisateurs craignent à juste titre pour leur vie privée tout en continuant à utiliser les mêmes technologies à l’origine de leur peur.
Outils d’autodéfense vs. Protection dès la conception
Les outils qui permettent aux utilisateurs de prendre en main la protection de la vie privée ne sont pas difficiles à trouver sur Internet.
Ils incluent :
- des navigateurs améliorant la confidentialité, tels que Tor, Epic, Brave et Firefox
- des VPNs (réseaux de confidentialité virtuels) qui masquent les adresses IP des utilisateurs
- des bloqueurs de publicités ou extensions de navigateur, comme Ghostery et AdBlock, qui bloquent les traceurs.
Ceux-ci sont utiles et leurs intentions sont louables : permettre aux gens de se retirer du suivi omniprésent et de l’abus de données abondant sur le web.
Le problème est que ces outils d’autodéfense ne repoussent pas vraiment les géants de la technologie, les traceurs et les abuseurs de données.
Au lieu de cela, ils avancent l’idée qu’il appartient aux utilisateurs de refuser d’être suivis en ligne, plutôt que de pouvoir l’accepter activement.
Cela va à l’encontre de la notion de protection de la vie privée dès la conception dans le RGPD qui oblige les entreprises à développer des logiciels qui ont la protection de la vie privée comme paramètre par défaut, de sorte que les utilisateurs doivent accepter les cookies marketing et autres technologies de suivi – et non les désactiver eux-mêmes.
« Plus une connexion Internet devient indispensable, moins nous avons de choix, ce qui signifie que nous avons de moins en moins d’autonomie, un élément clé pour être en mesure d’exercer un contrôle sur nos vies. Il est difficile de s’attendre à ce que quelqu’un prenne le contrôle de quelque chose qu’il a n’a jamais eu la possibilité de contrôler en premier lieu » – Colin Horgan, journaliste pour le magazine technologique OneZero.
Ne pas obéir à la clause de protection de la vie privée dès la conception du RGPD mais laisser la responsabilité aux utilisateurs finaux de refuser de faire l’objet d’un suivi est un gros problème.
Cela déresponsabilise les entreprises technologiques de leurs pratiques et de la modification de ces pratiques, alors que les utilisateurs sont laissés à eux-mêmes.
Les outils d’autodéfense ne sont pas non plus complets et solides dans leur protection. Ces outils perturbent souvent les sites web et réduisent l’expérience utilisateur et la fluidité sur un domaine, précisément parce qu’ils ne disposent pas de la technologie de scanner nuancé qui leur permet de distinguer les « bons » des « mauvais » cookies.
C’est pourquoi les outils d’autodéfense ne sont que des solutions de pansement – quelque chose que les utilisateurs finaux peuvent utiliser pour une protection supplémentaire, mais qui est incapable de constituer un véritable changement structurel.
Et c’est là que les logiciels RGPD et les solutions de consentement conformes entrent en jeu.
Cookiebot CMP existe pour protéger la vie privée des utilisateurs sur le web, partout dans le monde. Nous pensons qu’il est absolument vital de garantir et de lutter pour un futur libre et privé d’Internet.
Cookiebot CMP permet au propriétaire du site web de respecter et de protéger ses visiteurs contre un suivi indésirable. Nous le faisons parce que les lois sur la protection de la vie privée sont complexes et difficiles à comprendre pour la plupart des propriétaires de sites web.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Logiciel RGPD : surveillance sur les sites d’actualités aux États-Unis vs. dans l’UE
Une perspective de l’impact du RGPD sur le paysage de la protection de la vie privée sur Internet devient claire lorsque l’on examine la quantité de suivi qui a lieu sur les sites d’actualités en ligne aux États-Unis par rapport à l’UE.
Timothy Libert, créateur du scanner de suivi open-source webXray et membre du corps professoral en informatique à l’Université Carnegie Mellon, a utilisé cet outil pour numériser un article du New York Times intitulé « Un avortement peut-il affecter votre fertilité ? » aux États-Unis et dans l’UE.
L’analyse a révélé qu’aux États-Unis, l’article hébergeait plus de 100 cookies tiers et près de 50 sociétés de technologie publicitaire différentes prêtes à suivre les lecteurs de l’article, y compris des sociétés comme Oracle BlueKai, qui amasse des quantités massives de données d’utilisateurs dans des catégories sensibles (tels que « conditions de santé » et « conditions médicales »), qu’ils utilisent pour offrir des services de type Cambridge Analytica pour des campagnes de marketing ciblées et personnalisées.
Mais l’analyse a également révélé une deuxième découverte importante : l’article, à l’intérieur de l’UE, ne contenait « que » 28 cookies tiers de 16 sociétés de technologie publicitaire différentes. C’est encore beaucoup pour un article susceptible de révéler les convictions politiques des lecteurs ou leur situation médicale.
Mais cela montre également l’importance du RGPD dans le paysage changeant d’Internet.
Le RGPD change ce paysage, et la technologie qui en découle doit être un logiciel RGPD qui prend en charge ces changements structurels.
Internet est un paysage et il change
Internet était quelque chose il y a vingt ans, c’est maintenant quelque chose d’autre.
L’étincelle universelle qui a imprégné l’Internet des années 90 a été remplacée par une commercialisation dense et des structures à plusieurs niveaux, où les utilisateurs sont la marchandise de la grande machine publicitaire cachée et à l’œuvre dans les innombrables niveaux souterrains, aspirant leurs données à des fins lucratives et bien d’autres objectifs inconnus.
Cette évolution est peut-être plus clairement visible lorsque l’on compare la mission originale de Google, formulée à la fin des années 90 comme :
« organiser l’information mondiale, la rendre universellement accessible et utile »
par rapport à l’entreprise en 2020 et à ses pratiques de publicité comportementale et de profilage – leur principale source de revenus qui a été jugée illégale et hors de contrôle par l’autorité britannique de protection des données ICO.
Du rêve d’un Internet égalitaire, plat, infini et universellement démocratique, nous sommes entrés dans un Internet commercial plein d’abus massifs de données, de violations, de désinformation et de chambres d’écho contrôlées par des algorithmes.
D’un paysage plat et ouvert à un terrain dentelé et dangereux, tous les utilisateurs marchent maintenant avec leurs outils d’auto-défense à la main, se débrouillant seuls sur des falaises abruptes et des failles rocheuses pointues, sans jamais savoir quelle créature dangereuse pourrait se cacher dans la prochaine grotte qu’ils passent, prête à dévorer leur vie privée.
Cookiebot CMP et l’Internet à venir
Ce n’est pas ainsi que Cookiebot CMP envisage l’avenir d’Internet.
Au contraire, nous voyons clairement que la responsabilité de sauvegarder la capacité de vivre une vie privée et autonome incombe à ceux qui mettent en péril cette capacité en premier lieu : l’industrie de la technologie.
Une façon d’y penser est que dans ces terres numériques dangereuses et inégalitaires dans lesquelles nous vivons aujourd’hui, il est de la responsabilité des gouvernements et des législateurs de réglementer et de forcer les industries technologiques à changer leurs pratiques. Il leur incombe de tailler dans les rochers acérés et déchiquetés de nouvelles structures capables de protéger les utilisateurs qui parcourent ces paysages.
C’est précisément ce que fait le règlement général sur la protection des données, et le prochain règlement ePrivacy sur la protection de la vie privée en ligne – en mettant l’accent sur les communications électroniques – ira sans aucun doute plus loin.
Le RGPD est sans ambiguïté lorsqu’il s’agit de régler la responsabilité de protéger la vie privée : ce n’est pas aux utilisateurs, mais aux propriétaires de sites web, aux opérateurs, aux contrôleurs, ainsi qu’à l’industrie de la technologie dans son ensemble, de développer la protection de la vie privée dès la conception.
Les lois sur la confidentialité qui surgissent partout dans le monde reflètent le RGPD. Ce sont les propriétaires de sites web et les entreprises technologiques qui doivent façonner un futur protégeant la vie privée, et non les utilisateurs.
Les technologies qui poussent Internet vers la protection de la vie privée et l’autonomie, la démocratie et l’universalité doivent alors refléter ces lois et les efforts qu’elles visent.
Il est très difficile de prédire exactement à quoi ressemblera le paysage d’Internet dans dix ou vingt ans. Mais si nous ne faisons rien, il est facile d’imaginer un territoire impénétrable pour la plupart, appartenant à quelques-uns, coûteux et dangereux.
Cependant, il existe d’autres futurs possibles pour les terres numériques. L’équipe Cookiebot s’engage activement pour les atteindre. Il est dans notre ADN même de travailler vers des plaines numériques plus larges, plus libres et plus sûres.
Un Internet où les aléas et les inégalités ont été apprivoisés et nivelés pour refléter une fois de plus les premiers jours des terrains – plats, ouverts et infinis. Un Internet où l’humanité peut s’épanouir dans les sandboxes du numérique.
FAQ
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une loi européenne qui régit le traitement des données personnelles par les sites web, les entreprises et les organisations du monde entier. Si votre site web compte des utilisateurs dans l’UE, vous êtes tenu d’obtenir leur consentement avant d’activer sur votre site web des cookies et des traceurs qui collectent, traitent ou partagent leurs données personnelles.
Qu’est-ce qu’un logiciel RGPD ?
Les logiciels RGPD pour la gestion des consentements et l’utilisation de cookies sur les sites web sont souvent appelés « plateformes de gestion des consentements » ou CMP. Les CMP fonctionnent en scannant votre site web pour détecter et contrôler les cookies et les traceurs en fonctionnement, puis en laissant les utilisateurs interagir avec un bandeau de consentement qui leur permet de sélectionner ou de désélectionner les cookies qu’ils veulent activer.
En savoir plus sur les plateformes de gestion des consentements
Comment un logiciel RGPD aide-t-il mon site web à se mettre en conformité ?
Le RGPD exige que votre site web obtienne l’indication librement donnée, spécifique, informée et non ambiguë des souhaits d’un utilisateur avant que vous ne soyez autorisé à activer les cookies et les traceurs qui traitent leurs données personnelles. Un logiciel RGPD qui gère le consentement et le contrôle des cookies aide votre site web à satisfaire aux exigences du RGPD qui protège les utilisateurs contre la collecte de données non consenties par des traceurs tiers.
Quelles sont les exigences du RGPD concernant les cookies sur les sites web ?
Le RGPD exige que votre site Internet informe les utilisateurs du type de cookies et du type de données personnelles traitées par ces cookies, dans quel but, par quels fournisseurs et pendant combien de temps ils restent actifs. Le RGPD exige que votre site web obtienne le consentement de l’utilisateur avant d’activer tout cookie qui n’est pas strictement nécessaire au fonctionnement de base de votre site web.
Ressources
Règlement général sur la protection des données (RGPD)
RGPD et consentement aux cookies
Lignes directrices du EDPB sur le consentement valide dans l’UE
Le California Consumer Privacy Act (CCPA)
Le CCPA et les cookies (en anglais)
Royaume-Uni – RGPD et conformité avec Cookiebot CMP (en anglais)
Loi 208 sur la protection des données et conformité avec Cookiebot CMP (en anglais)
Timothy Libert, créateur de webXray, sur le suivi des utilisateurs et le RGPD (en anglais)
J’ai essayé de quitter Facebook. Je ne pouvais pas (en anglais)
Il n’y a pas de jeu technologique (en anglais)
La protection de la vie privée n’est pas votre responsabilité (en anglais)
La technologie n’est pas vulnérable – vous l’êtes (en anglais)