Introduction
Le RGPD (Règlement Général sur la Protection des Données) n'est ni une révolution ni un big-bang.
En Europe, les données à caractère personnel sont également protégées par des lois nationales.
Ainsi, en France, depuis 1978 et la "loi informatique et liberté" (révisée), la France dispose d'un cadre légal pour la protection des données à caractère personnel, règles s'appliquant également au monde d'Internet. Le RGPD vient harmoniser cela au niveau européen et renforcer/créer certains droits des utilisateurs.
Note
Au Royaume-Uni, le RGPD ne s’appliquera plus à la date de sortie de l’Union Européenne (31/12/2020). La référence légale sera l’ICO, qui disposera de ses propres législations.Le RGPD vient harmoniser les règles au niveau européen et renforcer/créer certains droits des utilisateurs.
Le RGPD définit:
- le Responsable de traitement (Data Controller) = Vous, client de Piano Analytics
- le Sous-traitant (Data Processor) = Nous, Piano Analytics
- les Personnes concernées = les Utilisateurs de vos plateformes (sites web, applications mobiles, TV connectées, assistants vocaux, ...)
- les Données à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable = toutes Données Analytics par défaut car rattaché à un identifiant visiteur pseudonymisé
- le Traitement comme toute opération ou tout ensemble d'opérations ... appliqué à des données ou des ensembles de données à caractère personnel, telles que la collecte, ... , la consultation, l'utilisation, la communication par transmission, la diffusion ...
Voir les définitions de l'article 4.
Le RGPD s'applique:
- au traitement automatisé ou non de données à caractère personnel contenues ou appelées à figurer dans un fichier (article 2. : champ d'application matériel)
- si le traitement est effectué dans le cadre d'activités de responsables de traitement ou sous-traitants établis sur le territoire de l'UE ET/OU le traitement est relatif à des résidents de l'UE (article 3. : champ d'application territorial)
Dans la mesure où Piano Analytics est un acteur établi sur le territoire de l'UE et que, de surcroit, nous collectons des informations relatives à des utilisateurs résidents de l'UE, le texte s'applique bien à notre traitement.
Les autorités nationales de protection des données apportent également des précisions sur la notion de traceurs :
- En France, la CNIL vise les cookies et tous autres traceurs tels que Identifiant mobile, Fingerprinting, Pixels ou tout autre identifiant»
- En Allemagne, la DSK parle de « Pixel, Fingerprinting-Methods, IP-Adresses, Cookie-IDs, Advertising-IDs or Unique-User-IDs »
- Au Royaume-Uni, l’ICO parle de « Cookies and similar technologies »
1. Mise en place d'un DPA
Ce que dit le RGPD
L'article 28 indique que:
"Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique ... qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement."
Est donc visé ici la signature d’un accord de traitement de données à caractère personnel plus communément appelé DPA (Data Processing Agreement) entre le responsable de traitement (Vous) et le sous-traitant (Nous).
Le DPA est donc devenu un élément central et permet de définir les obligations et responsabilités de chaque partie.
D’un point de vue technique, la protection physique et logique des données se fait par Organisation. Une Organisation est ensemble de sites et d’utilisateurs sur nos solutions (voir plus). Il ne peut donc y avoir qu’un DPA par Organisation.
En ce qui concerne Piano Analytics
L'Accord de traitement de données
Dans le but de proposer une mise en conformité au regard de cet article 28., Piano Analytics met à disposition de ses clients un DPA.
Important
Si plusieurs entités sont regroupées au sein d’une même organisation, alors l’accord de traitement s’applique à toute l’organisation.Le DPA de Piano Analytics défini notamment :
- les types et les catégories de données collectées, ainsi que les personnes concernées
- la nature, les finalités et la durée des traitements, ainsi que les conditions de leur licéité
- un point de contact pour échanger sur les thématiques "privacy", sécurité et RGPD
- les responsabilités entre vous et nous
Action
Demandez votre DPA en envoyant cet e-mail, et soumettez le à validation de votre département légal.Renvoyez le nous (signé) à l'adresse dpo@atinternet.com pour prouver votre conformité, nous vous le retournerons contre-signé.
Interactions avec d'autres acteurs
Dans le cadre d'un projet Digital Analytics avec Piano Analytics vous êtes peut-être amené à travailler avec d'autres acteurs, comme:
- d'autres outils de mesure (A/B test par exemple)
- des agences Web
- des intégrateurs
- ...
Action
Pour l'ensemble de ces acteurs, validez au regard des éventuels traitements si le RGPD s'applique (cf. introduction).Procédez, le cas échéant et au même titre que pour Piano Analytics, à la mise en place d'un DPA.
2.Informations pour vos utilisateurs
La transparence à afficher sur les traitements des données à caractère personnel est une notion fondamentale du RGPD.
Dans le monde des éditeurs de plateformes en lignes (sites, applications mobiles, …) recueillant des données personnelles, les responsables de traitements doivent mettre à disposition de leurs utilisateurs un certain nombre d’information précisant les modalités de la collecte et de l’utilisation des données.
Ce que dit le RGPD
L'article 5 indique que:
"Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée"
L'article 13 et l'article 14 détaillent les informations à fournir, elles comprennent notamment des explications sur la finalité du traitement, sur la durée de conservation des données, etc.
Ces informations doivent être facilement accessibles et formulées en termes clairs.
En ce qui concerne Piano Analytics
Notre Accord de Traitement de Données (DPA) précise les obligations d’information pour répondre aux exigences des articles 13 et 14 du RGPD.
Les informations que vous pouvez indiquer à vos internautes concernant votre utilisation dePiano Analytics comme solution de mesure d’audience, et par l'intermédiaire d'une page d'information (ex : "politique vie privée"), sont notamment les suivantes :
LA BASE LEGALE DU TRAITEMENT : LE CONSENTEMENT
Sauf exception autorisée par la loi, la base légale du traitement repose sur le consentement des utilisateurs de votre plateforme. Les finalités des traceurs doivent être présentés à l’utilisateur avant que celui-ci n’exprime son choix. Aucun traceur ne doit être déposé sur le terminal de l’utilisateur sans son consentement préalable et explicite (le consentement tacite est exclu).
Les modalités de recueil du consentement dans le cadre de notre solution de Digital Analytics sont précisées dans la partie 3. Gestion du consentement.
Par ailleurs, l’internaute doit également être libre de retirer son consentement à tout moment.
En ce qui concerne l'Analytics, les principales options sont :
- l’opt-out (permet à un utilisateur de ne plus être tracé)
Dans votre CMP et/ou page d'information, vous pouvez indiquer cette possibilité en renvoyant à l'un des mécanismes d'Opt-Out dePiano Analytics. - le partage de sa position (permet de désactiver la collecte des données GPS sur application mobile)
Si votre application permet un recueil des données GPS, vous devez en informer vos internautes et fournir un moyen de désactiver ce service.
Pour aller plus loin sur ce sujet :
- Le point Gestion du consentement indique les modalités pratiques de gestion du consentement dans le cadre de notre solution (prise en compte de l'opt-out)
- Le point Préférences de vos utilisateurs dresse un panorama des différentes options à disposition des utilisateurs pour spécifier leurs préférences (dont font partie l'opt-out, r et le partage de la position)
Action
Mettre à jour votre page d'information (Données Personnelles), sur vos sites ainsi que dans les paramètres et informations de vos applications mobiles.Ces sections devraient être un "privacy centre" listant toutes les informations clés sur les données personnelles de vos utilisateurs.
Ce "privacy centre" doit être facilement et rapidement accessible afin notamment de pouvoir permettre la mise à jour de ses préférences de consentement.
LA FINALITE DU TRAITEMENT
En tant que responsable de traitement, vous devez pouvoir expliquer à vos utilisateurs la finalité poursuivie pour l’utilisation de votre solution de mesure d’audience.
Notre solution de mesure d’audience vise la production de données et d’analyses d’audience statistiques et de digital intelligence et leur restitution via une interface web sécurisée ou via export de ces données.
En complément de cette finalité principale, vous pouvez souhaiter utiliser la solution de digital analytics pour des finalités accessoires liées notamment à votre secteur d’activité et/ou aux objectifs stratégiques numériques poursuivis.
LE TYPE DE DONNEES A CARACTERE PERSONEL
|
|
Données incluses dans les données brutes et non disponible dans la solution |
Données incluses dans les données processées et disponible dans la solution |
|
|
Type de donnée collectée par défaut par le marqueur Piano Analytics et nécessaire à la finalité principale |
Addresse IP |
✔ option d’anonymisation activable sur demande du client (dernier octet) |
✘ |
|
Cookie ID |
✔ (depend de la plateforme visitée) |
✘ Transformation en Visitor ID |
|
|
Mobile ID |
✔ (depend de la plateforme visitée) |
||
|
User Agent |
✔ |
||
|
Données digital analytics se rapportant aux identifiants ci-dessus |
✔ |
✔ (enrichi) |
|
|
Type de donnée pouvant être collectée par le marqueur Piano Analytics à l’initiative du client et pour des finalités accessoires qui lui sont propres |
GPS (si utilisé avec SDK) |
✔ |
✔ |
|
User ID |
✔ |
✔
|
|
|
Transaction ID |
✔ |
✔ |
|
|
Emailing- recipient |
✔ |
✔ |
|
|
Données digital analytics se rapportant aux identifiants ci-dessus |
✔
|
✔
|
Piano Analytics met également à disposition :
- une liste de dimensions et métriques détaillant les informations de navigation qui sont collectées auprès des internautes via notre solution.
- une liste des cookies utilisés dans le cadre de notre solution pour la partie web.
- pour les identifiants dans le cadre d'applications mobiles, des informations sur les différents identifiants mobile disponibles dans notre guide de marquage pour iOS et Android
S’agissant d’une liste exhaustive, nous vous conseillons de mettre en avant les informations qui vous semblent les plus pertinentes dans le cadre de votre utilisation.
LES TRANSFERTS DE DONNEES
Si le traitement que vous utilisez prévoit un transfert des données hors de l’Union Européenne, vous devez en informer vos internautes et assurer un niveau de sécurité adéquat (cf. articles 13, 14 et chapitre V du RGPD).
Voir "la protection des données dans le monde" sur le site de la CNIL.
En ce qui concerne Piano Analytics, et comme stipulé dans notre DPA, nous nous engageons à ce que toutes vos données Analytics soient traitées et stockées au sein de l’Union Européenne.
LA DUREE DE CONSERVATION
L’ article 5.e du RGPD impose au responsable de traitement de définir une durée de conservation de ses données à caractère personnel, afin qu’elles ne soient conservées que le temps nécessaire au regard des finalités poursuivies.
Dans le cadre d’une transition technologique, écologique et privacy (privacy by default et by design), les données sont maintenant conservées 25 mois à compter de leur collecte.
Si vous êtes dans une ancienne configuration et afin de vous mettre en conformité au regard d’une durée de conservation limitée, nous vous invitons :
- à nous adresser une demande au centre Support par le biais de votre administrateur, (bouton "Aide" en bas à droite)
- à adresser une demande sur papier en-tête en pièce-jointe d'un e-mail à dpo@atinternet.com.
La description et les impacts sur vos données sont précisés dans La personnalisation de l'historique des données à caractère personnel des Fonctionnalités "Privacy" de l'Analytics Suite 2.
Attention cependant à bien distinguer la durée de conservation des données collectées de la durée de vie des traceurs (cookies, identifiants mobiles,etc…). En France, cette durée est fixée à 13 mois fixes conformément aux recommandations de la CNIL.
Un cookie de 13 mois veut dire qu’on ne pourra pas reconnaître un internaute sur site web au-delà de cette durée.
LE DROIT DES PERSONNES CONCERNEES
Sur l’ensemble des données personnelles que vous collectez, vous devez être en mesure d’apporter une réponse aux internautes en ce qui concerne l’application de leurs droits.
Les modalités d’application de ces droits quand ils concernent les données collectées par notre solution sont abordées plus bas dans la partie 4. Droits de vos utilisateurs.
Concernant les informations à donner sur ces droits, il s’agit de préciser leur existence en rappelant le contexte légal et d’indiquer vos points de contact pour leur prise en charge.
3. Gestion du consentement
L'article 6 du RGPD rappelle les conditions de licéité du traitement, c’est à dire la base légale justifiant les traitements réalisés.
En ce qui concerne le traitement de données analytics, il faut retenir que :
"Le traitement n'est licite que si ... la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;"
L'article 7 précise lui que:
"La personne concernée a le droit de retirer son consentement à tout moment. ... La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement."
Nous vous invitons à prendre également connaissance de l'article 8 pour les spécificités du consentement pour les enfants.
Dans le cas de l'Analytics, en Europe, la licéité du traitement est le consentement.
Ce consentement est étroitement lié à la notion de traceurs, information déposée sur le terminal d’un utilisateur dans le but d’obtenir une information persistante (cookies, finger printing, …).
Le consentement conditionne donc le dépôt, ou utilisation, des traceurs.
Important
Le RGPD ne pose que les bases de la nécessité et de la validité du consentement.Les conditions de recueil de consentement dans le cas de l’utilisation de traceurs sont détaillées dans la directive sur les cookies (directive 2009/136/CE), qui a été transposée en droit national dans chacun des états membres.
En France, il s’agit par exemple en France de la loi “informatique et libertés” et en Allemagne de la loi XXX.
La Commission Européenne travaille sur le règlement “ePrivacy”, qui remplacera à terme la directive 2009/136/CE et les transpositions nationales sur les problématiques de données personnelles en lien avec les communications électroniques (incluant donc la partie “traceurs”). Tant que le projet de règlement ePrivacy n'est pas adopté et entré en vigueur, il faut prendre en compte chaque recommandation de chaque autorité nationale pour la gestion des traceurs (cookies, identifiant mobile, etc.).
Vous accéderez à liste des autorités de protection de la donnée des membres du comité européen de la protection des données (CEPD) européennes en cliquant ici.
Comment se mettre en conformité ?
Dans le cadre de l'Analytics, toutes les informations rattachées à un visiteur sont considérées comme des données personnelles (voir introduction).
La gestion du consentement pour les données Analytics de Piano Analytics s'effectue via le dépôt ou non de cookie pour la partie "web".
Pour les applications et autres plateformes « natives », elle s'appuie sur la transmission ou non de l'identifiant mobile.
Ce sont exclusivement les valeurs transmises via le cookie ou l'identifiant mobile qui nous permettront de créer le Visiteur ID, présent dans Data Query notamment et permettant de rattacher des données de navigation à un individu.
Nous vous invitons donc à vous tourner vers nos configurations afin de mettre en place les méthodes permettant le nondépôt de cookie, réconciliation,mise en opt-out.
Note
Il existe sur le marché de nombreuses solutions de Consent Management Platform (CMP) qui vous permettent de gérer le recueil du consentement.Elles peuvent avoir différentes logiques de fonctionnement et être rattachées à Tag Management System (TMS) ou non.
Dans tous les cas nous vous recommandons de bien analyser les modalités d'application, les impacts potentiels sur votre solution d'Analytics ainsi que les possibilités de paramétrages offertes.
Pour toutes les autres données personnelles transmises à Piano Analytics, comme les visiteurs identifiés ou les propriétés par exemple (voir les finalités dites "accessoires" définit dans le DPA décrit dans le point 2), un consentement spécifique pourra être nécessaire.
Actions
Pour les sites web :- proposer un bandeau d'information clair et suffisamment détaillé sur l'utilisation faites des traceurs
- laisser la possibilité à vos utilisateurs de retirer leur consentent à tout moment et de façon simple
Pour les applications natives :
- proposer, à l'activation de l'application par exemple, un écran d'information clair et suffisamment détaillé sur l'utilisation faites de l'identifiant utilisateur
- laisser la possibilité à vos utilisateurs de retirer leur consentent à tout moment et de façon simple
Le contexte juridique en France
Comme expliqué dans la partie “Ce que dit le RGPD”, la directive sur les cookies est transposée en France par la loi “informatique et libertés”.
Faisant suite à la mise en place du RGPD en mai 2018, la CNIL a rendu publique ses nouvelles lignes directrices en Juillet 2019, et devrait rendre officiel son projet de “recommandations pratiques“ en Septembre 2020.
Pour les sites Web
L’utilisation de traceurs ne peut se faire qu'après consentement explicite ou peut être exemptée sous certaines conditions dans le cadre de l’Analytics (article 5 de la délibération du 4 juillet 2019).
Voir ce que dit la loi concernant les "traceurs", par l'intermédiaire de la CNIL.
Les méthodes suivantes présentées dans "les fonctionnalités Privacy de Piano Analytics" vous permettent de mettre votre solution en conformité:
- L'Exemption CNIL
- La réconciliation des données après consentement, pour cookies 1st exclusivement
- Le non dépôt de cookies
Notez que vous devez laisser la possibilité à vos utilisateurs de retirer leur consentent à tout moment et de façon simple grâce à l'un des mécanismes d'Opt-Out à votre disposition.
Pour les applications natives (mobiles, TV, …)
Dans le cadre des applications natives, il est important de rappeler que c'est vous, client, par l'intermédiaire du chef de produit/projet et/ou des développeurs, qui choisissez, au moment de l'implémentation de notre SDK dans votre application, quel identifiant sera utilisé pour le suivi de vos utilisateurs.
- Pour iOS, vous avez le choix entre 4 éléments : UUID, IDFV, IDFA ou un identifiant personnalisé
- Pour Android, vous avez le choix entre 4 éléments : UUID, Android ID, Advertising ID ou un identifiant personnalisé
La CNIL définit les obligations des éditeurs d'applications mobiles.
Soulignons notamment l’obligation de recueillir le consentement pour la collecte des données de géolocalisation.
Le contexte des applications natives, par l'intermédiaire de leur téléchargement et de leur installation, vous permet, à priori, de récupérer les informations nécessaires sur le consentement de votre utilisateur en amont du tout premier chargement d'écran.
En France, à l'activation de l'application, il vous faudra donc:
- récupérer la configuration éventuelle du "Suivi de Publicité Limité" dans les paramètres du téléphone
- demander le consentement de l'utilisateur à l'utilisation de l'identifiant mobile pour le suivi de sa navigation (voir exemple ci-dessous)
En fonction de la configuration du téléphone et/ou du recueil du consentement de votre utilisateur, vous pourrez désactiver le suivi utilisateur grâce à l'un des mécanismes d'Opt-Out pour Application à votre disposition.
Notez que vous devez laisser la possibilité à vos utilisateurs de retirer leur consentent à tout moment et de façon simple.
N'hésitez pas à contacter votre centre support (bouton "Aide" en bas à droite) pour toute précision ou aide complémentaire sur ces configurations de mise en conformité.
4. Droits de vos utilisateurs
Ce que dit le RGPD
Les droits des personnes concernées sont abordés dans les articles suivants :
- Droit d'accès (article 15) et droit à l'effacement (article 17 et article 19)
- Droit de rectification (article 16 et article 19)
- Droit à la limitation (article 18 et article 19)
- Droit à la portabilité (article 20)
- Droit d'opposition (article 21)
En tant que responsable de traitement, il vous appartient de répondre à toute demande d’exercice d’un droit dans un délai maximum de trente jours. Nous vous assistons dans cette démarche.
En ce qui concerne Piano Analytics
Notre DPA précise les rôles et les responsabilités en ce qui concerne l’exercice des droits des personnes concernées.
Ce chapitre a pour objectif de vous fournir des informations quant à nos process et de vous indiquer la marche à suivre dans le cas où l’internaute s’adresse à vous pour exercer ses droits.
D’un point de vue Analytics, les modalités de prise en charge de ces droits sont les suivantes :
- Droit d’accès et droit à l’effacement : voir tableau ci-après.
- Droit à la limitation et droit d’opposition : ces droits sont relatifs aux options données aux internautes pour limiter le suivi de leur navigation notamment via le refus du dépôt de cookie et l’opt-out.
- Droit de rectification et droit à la portabilité : nous considérons que ces possibilités ne sont pas applicables au regard du service fourni.
Gestion du droit à l'accès et du droit à l'effacement dans le cadre d'AT Internet:
|
|
Site web 1st et 3rd party cookies |
App mobile |
|
Identification de l'internaute |
Pour accéder aux données personnelles collectées à partir d’un site web, il faut que l’internaute soit en mesure de fournir son identifiant cookie. cookie first : il faudra que l’internaute puisse accéder aux fichiers cookie de chacun des sites pour lesquels il souhaite exercer ces droits et nous transmettre la liste des identifiants correspondants. cookie third : il faudra que l’internaute récupère et nous transmette l’identifiant du cookie Piano Analytics (la démarche lui sera expliquée) |
Pour accéder aux données personnelles collectées à partir d’une application mobile, il faut que l’internaute soit en mesure de fournir son identifiant mobile. C’est au développeur/chef de projet de l'application de déterminer l’identifiant mobile à utiliser. Pour l’internaute, seuls certains de ces identifiants sont disponibles : l’IDFA pour iOS et AndroidID + AdvertisingID pour Android. |
|
Requêtes en base |
Avec ces identifiants, nous pourrons rejouer l’algorithme permettant de générer son Visiteur Unique ID (Data Query 2). Pour le droit d’accès, nous fournirons un fichier .csv contenant ses informations personnelles disponibles. Pour le droit à l’effacement, nous procéderons à une anonymisation irréversible de ses données. |
|
|
Limites |
Les informations disponibles seront donc limitées à celles rattachées aux identifiants cookies et mobile que l’internaute sera en mesure de nous fournir ainsi qu'à la disponibilité de celle-ci en fonction de la période de rétention des données brutes (voir article 1. de notre DPA). |
|
Action
Transmettre, sous un délais de cinq (5) jours ouvrés suivant sa réception, la demande d'accès et/ou d'effacement à l'adresse dpo@atinternet.com.
Note
Dans le cas où l’internaute s’adresse à vous pour exercer ses droits sur les données collectées par notre solution, nous vous invitons à revenir vers nous avec le visiteur unique ID ou user ID de l’internaute afin de traiter sa demande.
5. Préférences de vos utilisateurs
Cette partie revient sur les différentes options à disposition des internautes pour spécifier leurs choix quant à la collecte et l’utilisation de leurs données personnelles. Pour la mise en pratique concrète vis-à-vis de la solution AT Internet (voir le point 3. Gestion du consentement).
Tour d’horizon des différents outils et applications:
L'opt-out de mesure d'audience - Sites Web
Principes:
L'opt-out de mesure d'audience consiste à utiliser un "cookie d'opt-out" (ou "cookie d'exclusion") à la place du cookie de mesure d'audience normalement utilisé.
Ce cookie est anonymisé dans la mesure où il ne contient pas d'identifiant propre à l'internaute. Grace à ce cookie, les données de navigation de l'internaute ne pourront pas être analysées par l'organisme de mesure d'audience. Des informations sont bien envoyées mais dans la mesure où le cookie est anonymisé, elles ne permettent pas l'identification de cet internaute. Dans le cadre de la solution AT Internet, ces données intègrent un indicateur global mesurant le nombre de visiteurs s'étant positionnés en opt-out. Il revient à l'internaute de spécifier son choix d'utiliser un cookie d'opt-out plutôt qu'un cookie de mesure d'audience.
Comment spécifier son choix :
Il est de la responsabilité des propriétaires des cookies de mesure d'audience de proposer une page web à partir de laquelle les internautes peuvent facilement spécifier leur choix (généralement par l'intermédiaire d'une case à cocher). En règle générale, cette possibilité doit être disponible depuis la page d'information sur la vie privée.
Champs d'application :
La prise en compte du choix de l'internaute est valable uniquement sur le device et le navigateur à partir desquels ce choix a été spécifié.
L'opt-out de mesure d'audience - Applications mobiles
Principes :
Comme c'est le cas pour les sites Web, il existe des solutions pour que l'internaute utilisant des applications mobiles puisse spécifier sa volonté de ne pas être comptabilisé dans les mesures d'audience.
Comment spécifier son choix :
Depuis les paramètres généraux du téléphone, chaque internaute peut choisir l’option « Suivi Publicitaire Limité » et/ou Réinitialiser son identifiant publicité.
Limites :
cela n’a d’effet que pour les applications qui utilisent les identifiants "publicitaires" pour effectuer la reconnaissance visiteur (ID de type IDFA pour IOS et Advertising ID pour Android). En complément, chaque éditeur d’application peut configurer une gestion de la Privacy dans les paramètres de l’application en mettant à disposition une solution de opt-out. Il faudra alors que l'internaute se rendre sur ces paramètres pour spécifier son choix.
Champ d'application :
La prise en compte du choix de l'internaute n'est valable que sur le device à partir duquel les paramètres ont été saisis.
La protection contre le pistage
Principes :
Fonctionnalité proposée par le navigateur FireFox et qui permet de bloquer certains traqueurs se basant sur une liste maintenue par la société Disconnect (détails en cliquant ici). Il revient à l'internaute de spécifier sa volonté d'utiliser cette fonctionnalité.
Comment spécifier son choix :
Elle est disponible dans les options / Vie privée et sécurité du Navigateur FireFox.
Champ d'application :
Ne concerne par les Applications dans la mesure où elles ne reposent pas sur l'utilisation d'un navigateur. Seul le navigateur FireFox propose pour l'heure cette fonctionnalité, mais chaque internaute peut directement se rendre sur le site de Disconnect pour appliquer cette liste à sa navigation. La prise en compte du choix de l'internaute est valable uniquement sur le device et le navigateur à partir desquels ce choix a été spécifié.
Note
A mars 2018, AT Internet est présent dans la liste Disconnect sous les noms de domaines suivants : atinternet.com, xiti.com. Ce qui veut dire que lorsque cette fonctionnalité est activée, AT Internet ne collecte pas de données pour les internautes navigant sur des sites utilisant des noms de domaine de collecte en atinternet.com et xiti.com. Pour contourner ce problème, nous proposons une solution de collecte sous votre propre nom de domaine (détails en cliquant ici).
La fenêtre de navigation privée des navigateurs
Principes :
Chaque navigateur propose des sessions de navigation en mode "privé" et les modalités peuvent varier selon les navigateurs : FireFox, Opera, Edge, Chrome, Safari.
Comment spécifier son choix :
Depuis le menu général du navigateur, un lien direct permet d'ouvrir une session de navigation privée.
Champ d'application :
Ne concerne par les Applications dans la mesure où elles ne reposent pas sur l'utilisation d'un navigateur. La prise en compte du choix de l'internaute est valable uniquement sur le device et le navigateur à partir desquels ce choix a été spécifié et pendant le temps de la session.
Le suivi publicitaire limité
Principe :
Le suivi publicitaire limité et la réinitialisation de l'identifiant de publicité sont des fonctionnalités mises à disposition par les systèmes d'exploitation sur device mobile (IOS / Android). Elles agissent sur des identifiants de device qui sont utilisées pour des opérations de publicité ciblées. Désactiver ce suivi et réinitialiser l'identifiant permet d'arrêter l'envoi d'informations aux acteurs de la publicité. Concernant le Web Analytics, ces identifiants peuvent être utilisés dans le cadre de la reconnaissance du visiteur. L'utilisateur qui aura procédé à ces réglages se positionnera donc de fait en "opt-out" sur les applications qui utilisent l'identifiant de publicité pour la reconnaissance visiteur.
Comment spécifier son choix :
- Android (paramètres Google / activer l’option « désactiver les annonces par centre d’intérêt » et "réinitialiser l’identifiant publicitaire")
- iOS (réglages de confidentialité / accéder à l’option « publicité » / activer le "suivi publicitaire limité" et "réinitialiser l’identifiant de publicité").
Champ d'application :
Ne concerne que les Applications. La prise en compte du choix de l'internaute est valable uniquement sur le device à partir desquels ce choix a été spécifié (voir le point 3. Gestion du consentement pour plus de précision sur le contexte Piano Analytics).
Refuser la géolocalisation
Principe :
Certaines applications sur mobile peuvent enregistrer la localisation des utilisateurs en temps réel en utilisant les coordonnées GPS. L'utilisateur peut faire le choix de ne pas transmettre ces informations.
Comment spécifier son choix :
- Android (au niveau des réglages généraux)
- iOS (pour chaque application au niveau des réglages généraux iOS avec deux choix : ne jamais envoyer la localisation ou seulement quand l'application est active).
Champ d'application :
Ne concerne que les Applications. La prise en compte du choix de l'internaute est valable uniquement sur le device et le navigateur à partir desquels ce choix a été spécifié.
Adblocker
Principe :
Il est possible sur certains navigateurs de charger des modules de blocage de publicité (ex : Adblock Plus). Ces modules fonctionnent sur le principe de listes de blocage de nom de domaine dont certaines peuvent contenir des noms de domaine relatifs à la collecte de données de solutions de Web Analytics comme AT Internet. Dans ce contexte, la collecte des données peut donc être affectées pour les utilisateurs ayant activé ces modules.
Comment spécifier son choix :
Les principaux navigateurs donnent accès à une liste de modules téléchargeables via leur menu.
Champ d'application :
La prise en compte du choix de l'internaute est valable uniquement sur le device et le navigateur à partir desquels ce choix a été spécifié et pendant le temps de la session.
Pour contourner ce problème, nous proposons une solution de collecte sous votre propre nom de domaine (n'hésitez pas à contacter nos équipes pour plus d'informations sur le CDDC).
Rendez-vous privacy
Ces sujets peuvent être complexes à prendre en main, vous avez peut-être encore des questions sur le RGPD, la gestion du consentement, l'Exemption CNIL, l'Hybrid Analytics...
Pour les couvrir et vous assurer d'être conforme sur les données personnelles et le consentement, demandez un rendez-vous privacy à nos consultants.
Ils étudieront avec vous vos questions, ou vous donneront un récapitulatif des informations essentielles sur ces sujets.
Vous pouvez les contacter dès à présent grâce au bouton du coin inférieur droit de cette page.