GDPR : Cartographier ses traitements de données et les justifier

C'est la première étape opérationnelle de la méthodologie (vade-mecum pdf) recommandée par la CNIL : cartographier. Dans le cas de Spade, nous sommes une agence web, les principaux traitements de données s'opèrent autour de notre vitrine principale, notre site web.

Nous sommes sollicités par nos clients pour leur expliquer certains des traitements induits par le site que nous avons développé pour eux.

Quand on met en oeuvre un site web, très vite, dans la pile de composants techniques, se pose la question du traitement des données et de la justification de ces traitements.

  • Les logs du serveur web (Apache, Ngnix, IIS) collectent des adresses IP et les pages vues.
  • Le serveur web ou l'applicatif peut définir des cookies de langue, de préférences, de suivi…
  • Des formulaires collectent des données pour assurer une prise de contact, alimenter un CRM, permettre une inscription à une newsletter.

Qu'est-ce qui est fait de ces données ? Comment sont-elles collectées ? Pour quoi sont-elle traitées ? Par qui ?

Vous devez l'expliciter et demander son accord à l'utilisateur ou justifier tout au moins d'une raison reconnue d'assurer ce traitement.

Car le consentement de l'utilisateur n'est pas le seul moyen de justifier un traitement de données. Il existe les obligations légales, l'intérêt légitime, les données rendues publiques… Pour un liste complètes des justifications consultez l'article 6 du règlement.

Comment font les autres ?

Voici 2 exemples de ce qui se fait dès à présent et qui envisagent la GDPR dans leurs demandes de consentement.

Philips et les cookies

Philips précise dès le premier écran l'usage qui est fait sur leur site des cookies et propose de régler précisemment le type de données que les cookies peuvent contenir.

Ce choix se fait via un slider entre 4 niveaux de suivi. Les cookies de fonctionnement ne peuvent être évités.

bpost et les formulaires

BPOST est moins claire sur ses intentions quand il s'agit d'utiliser un formulaire pour donner accès à un livre blanc sur le marketing direct à l'ère de la GDRP.

Vous ne savez pas précisément à quoi vous vous engagez, puisque vos données peuvent être disséminées à peu près auprès de tous types de sociétés…

C'est bien le traitement UX d'un impératif légal qui nous stimule dans notre réflexion de concepteurs de sites web. Ce sera d'ailleurs le sujet de notre prochain article.