Avec des centaines d’audit menés dans les secteurs du commerce en ligne, bancaire, e-tourisme, réseaux sociaux, jeux, e-santé, éduction, etc. les CNIL européennes préparent activement l’entrée en vigueur du Règlement Général Européen pour la Protection des Données (RGPD – Cf. www.avocat-rgpd.com). Dès le 25 mai 2018 c’est en effet toute une nouvelle panoplie de règles et de sanctions qui viendra régir les traitements de données des ressortissants de l’Union. Face au « tsunami de données » le législateur Européen entend en effet imposer rapidement digues et ponts, gardes corps et autres protections afin de canaliser les flux d’information et assurer la protection de le vie privée dans l’univers digital. De nombreux indicateurs (Cf. les récentes sanctions prononcées dans le domaine de la location de véhicule ou encore la communication CNIL du 11 juillet à destination des collectivités territoriales – cf. www.cnil.fr) nous permettent aujourd’hui d’anticiper des prises de positions attendues en France : sanctions et changements profonds de paradigmes sont à attendre dans le monde digital.
Le Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant au sein de l’OCDE pour la protection de la vie privée) a ainsi diligenté une série d’audits portant principalement sur l’un des axes clés du RGPD : l’information des personnes. Dans tous les secteurs précités, 455 sites et applis mobiles ont été audités pour vérifier si les personnes concernées par des traitements de données (consommateurs, internautes, mobinautes) sont correctement informées sur :
– La finalité de la collecte
– Les droits dont elles disposent
– Le partage de leurs données avec des tiers
– Les mesures de sécurité et de confidentialité appliquées à leurs données
– La possibilité d’accéder à leurs données et d’en demander l’effacement
Des résultats alarmants
Les résultats, publiés sur le site de la CNIL sont alarmants :
– 82% des sites et applications informent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers ;
– 80% des sites et applications ne donnent pas ou peu d’information sur les modalités de stockage des données et les mesures prises pour en garantir la sécurité et la confidentialité ;
– environ un tiers des sites et applications ne facilitent pas l’accès des utilisateurs aux données les concernant ;
– environ un tiers des sites et applications ne fournissent pas de moyens simples et conviviaux aux utilisateurs pour permettre l’effacement de leurs données.
Si l’information quant aux finalités est quant à elle plutôt bien délivrée, la CNIL annonce d’ores et déjà que les différents audits menés donneront lieu à des contrôles formels accompagnés de sanctions pour les éditeurs en situation de manquement à leurs obligations.
Quelle réaction adopter en attendant le RGPD ?
Procéder à un audit juridique de son site web et de son application mobile constitue aujourd’hui un prérequis important destiné à préparer son activité digitale à passer à l’ère GDPR. En tant que source importante de collecte de données, la plateforme Web ou l’application mobile sont également les premiers éléments susceptibles de contrôles. Un audit juridique complet permettra notamment de vérifier :
- la conformité des supports de collecte (formulaires d’inscription, tunnel de vente, création de compte etc.)
- la nature des informations données aux utilisateurs (politique de confidentialité, charte Cookies, CGU etc.)
- les modalités de mise en œuvre des traitements effectués (opt in, transferts hors UE, transfert à des tiers etc.)
- les mesures de sécurité mises en œuvre pour garantir la sécurité et la confidentialité
- les points d’anticipation à prévoir au regard du RGPD (par ex. la mise en œuvre de la portabilité)
Depuis plus de 20 ans, le Cabinet HAAS, triplement labélisé CNIL, accompagne ainsi ses clients dans la mise en conformité de leur activité digitale et mobile au travers de ce type de prestation.
Vous souhaitez en savoir plus sur nos prestations d’audit ? Cliquez ICI.
