La transparence à afficher sur les traitements des données à caractère personnel est une notion fondamentale du RGPD.
Dans le monde des éditeurs de plateformes en lignes (sites, applications mobiles, …) recueillant des données personnelles, les responsables de traitements doivent mettre à disposition de leurs utilisateurs un certain nombre d’informations précisant les modalités de la collecte et de l’utilisation des données.
Ce que dit le RGPD
L'article 5 indique que :
"Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée"
L'article 13 et l'article 14 détaillent les informations à fournir, elles comprennent notamment des explications sur la finalité du traitement, sur la durée de conservation des données, etc.
Ces informations doivent être facilement accessibles et formulées en termes clairs.
En ce qui concerne Piano Analytics
Notre Accord de Traitement de Données (DPA) précise les obligations d’information pour répondre aux exigences des articles 13 et 14 du RGPD.
Les informations que vous pouvez indiquer à vos internautes concernant votre utilisation de Piano Analytics comme solution de mesure d’audience, et par l'intermédiaire d'une page d'information (ex : "politique vie privée"), sont notamment les suivantes :
La base légale du traitement : le consentement
Sauf exception autorisée par la loi, la base légale du traitement repose sur le consentement des utilisateurs de votre plateforme. Les finalités des traceurs doivent être présentés à l’utilisateur avant que celui-ci n’exprime son choix. Aucun traceur ne doit être déposé sur le terminal de l’utilisateur sans son consentement préalable et explicite.
Note
En France, le consentement tacite est exclu. Comme indiqué au sein de la délibération du 17 septembre 2020 : "Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable."
Les modalités de recueil du consentement dans le cadre de notre solution de Digital Analytics sont précisées dans la partie Gestion du consentement.
Par ailleurs, l’internaute doit également être libre de retirer son consentement à tout moment.
En ce qui concerne l'Analytics, les principales options au retrait du consentement sont :
- l’opt-out (permet à un utilisateur de ne plus être tracé)
Dans votre CMP et/ou page d'information, vous pouvez indiquer cette possibilité en renvoyant à l'un des mécanismes d'Opt-Out de Piano Analytics. - le partage de sa position (permet de désactiver la collecte des données GPS sur application mobile)
Si votre application permet un recueil des données GPS, vous devez en informer vos internautes et fournir un moyen de désactiver ce service.
Pour aller plus loin sur ce sujet :
- Notre guide de mise en conformité indique les modalités pratiques de gestion du consentement dans le cadre de notre solution (prise en compte de l'opt-out)
- Le point Préférences de vos utilisateurs dresse un panorama des différentes options à disposition des utilisateurs pour spécifier leurs préférences (dont font partie l'opt-out et le partage de la position)
Action
Mettre à jour votre page d'information (Données Personnelles), sur vos sites ainsi que dans les paramètres et informations de vos applications mobiles.Ces sections devraient être un "privacy centre" listant toutes les informations clés sur les données personnelles de vos utilisateurs.
Ce "privacy centre" doit être facilement et rapidement accessible afin notamment de pouvoir permettre la mise à jour de ses préférences de consentement.
La finalité du traitement
En tant que responsable de traitement, vous devez pouvoir expliquer à vos utilisateurs la finalité poursuivie pour l’utilisation de votre solution de mesure d’audience.
Notre solution de mesure d’audience vise la production de données et d’analyses d’audience statistiques et de digital intelligence et leur restitution via une interface web sécurisée ou via export de ces données.
En complément de cette finalité principale, vous pouvez souhaiter utiliser la solution de digital analytics pour des finalités accessoires liées notamment à votre secteur d’activité et/ou aux objectifs stratégiques numériques poursuivis.
Type de donnée à caractère personnel
Les types de données à caractère personnel sont présents dans l'article suivant.
Les transferts de données
Si le traitement que vous utilisez prévoit un transfert des données hors de l’Union Européenne, vous devez en informer vos internautes et assurer un niveau de sécurité adéquat (cf. articles 13, 14 et chapitre V du RGPD).
Voir "la protection des données dans le monde" sur le site de la CNIL.
En ce qui concerne Piano Analytics, et comme stipulé dans notre DPA, nous nous engageons à ce que toutes vos données Analytics soient traitées et stockées au sein de l’Union Européenne.
La durée de conservation
L’ article 5.e du RGPD impose au responsable de traitement de définir une durée de conservation de ses données à caractère personnel, afin qu’elles ne soient conservées que le temps nécessaire au regard des finalités poursuivies.
Afin d'en savoir plus concernant la durée de rétention de vos données analytics, n'hésitez pas à consulter notre article "Rétention des données".
Le droit des personnes concernées
Sur l’ensemble des données personnelles que vous collectez, vous devez être en mesure d’apporter une réponse aux internautes en ce qui concerne l’application de leurs droits.
Les modalités d’application de ces droits quand ils concernent les données collectées par notre solution sont abordées dans l'article Droits de vos utilisateurs.
Concernant les informations à donner sur ces droits, il s’agit de préciser leur existence en rappelant le contexte légal et d’indiquer vos points de contact pour leur prise en charge.