Date
Jun 14, 2022
The Landscape in the EU and Beyond
Today, basically any business with a website is affected by General Data Protection Regulation (GDPR) and ePrivacy—even if they only access the most basic of audience data. Recent moves by European regulators are shaping the definition and expectations of digital privacy, challenging the status quo and forcing businesses to reevaluate their digital strategy.
Recently, several governments decried that Google Analytics—and by association, every business that used it—was breaking the European Union’s data privacy regulations. GDPR states that data can’t be exported to countries that don’t have an “adequate level of protection”—i.e., the same level of data privacy legislation as the EU. By transferring European user data into the United States to be processed, Google has been deemed non-compliant.
December 2021- Datenschutzbehörde—the Austrian Data Protection Authority—ruling that a brand’s use of Google Analytics was breaking the European Union’s GDPR.
February 2022- France’s Commission Nationale de l'Informatique et des Libertés (CNIL) made a similar decision against a different company.
March 2022- Liechtenstein announced its own ruling following suite.
GDPR and ePrivacy may be European legislation, but—as we’ve already seen—that doesn’t mean it only affects businesses in the EU. The Internet, after all, is border-free. “When GDPR came into force, one of the immediate results was an increase in the number of US websites denying or restricting access to EU visitors,” Timo Rein, co-founder and former CEO of CRM tool Pipedrive, told Forbes soon after GDPR was brought into effect. “[T]his approach isn’t sustainable.”
The Risk of Non-Compliance
Using data in a way that breaches ePrivacy or GDPR can have consequences. If you’re found noncompliant, you risk a warning, fines, and/or a temporary or permanent ban on processing personal data. You can also be forced to delete all of the data you’ve already collected.
If that’s not a risk you’re willing to take, creating a thought-out data strategy and finding a digital analytics provider that understands GDPR and ePrivacy—with the expertise on hand to stay on top of legislative requirements—can help.
Finding a Privacy-First Analytics Solution
When searching for a privacy-first digital analytics solution, start by considering the following.
How “Personal Data” Is Defined
GDPR definition of “personal data” is specific. If you want a solution that will remain compliant, you require a provider that employs the same definition—including cookie IDs and IP addresses as personal data, for example. If the tool doesn’t designate personal data in the same way, it risks becoming noncompliant.
How Data Is Used and Stored
The rulings happening across Europe have revolved largely around where data is stored and how it’s being used. To adhere to GDPR, then, the private data of European users must stay in Europe or countries with the same level of data protection. Also important to look for: whether audience, navigation, and behavior data is pseudonymized, and anonymized and encrypted.
Consent Exemption
ePrivacy consent exemption is recognized by data protection agencies such as the CNIL. It allows a website or mobile application publisher to bypass the need to obtain prior consent from a consumer before depositing cookies. Consent exemption is only granted to solutions that maintain a high standard of privacy compliance and meet several conditions, including:
General compliance with the GDPR
Collection of data that’s only strictly necessary for the provision of the service requested by the user
A purpose limited to the strict measurement of the audience
As well as ensuring stricter privacy, consent exemption can also be a sign of better quality data. A solution that meets ePrivacy exemption policies can collect 100% of audience data, as opposed to those that don’t, which will only be able to access approximately 50% of the same data.
In-House Expertise
GDPR and ePrivacy legislations are nuanced and the way we use data is ever-changing. That’s why a privacy-first solution needs to have GDPR and ePrivacy experts on their team, and experience guiding companies through their data privacy needs. Look for customer support as well as data and legal expertise to ensure your provider can keep up with new data privacy legislation and help you stay up to date.
Putting Data Privacy First
Prioritizing privacy over cost savings means you’ll be confident that your provider remains on top of regulatory changes, and that you won’t find yourself caught in the middle of decisions like those happening across Europe in 2022.
But moving to any new solution means migrating your data—a step that can make your data vulnerable if you don’t take the right approach. So how do you do that safely while respecting your customers’ privacy needs?
To learn more, including what to consider when migrating to a new data analytics platform, download our Putting Privacy First eBook
Piano Analytics (formerly AT Internet’s Analytics Suite Delta) is a digital analytics solution that offers functionality across a range of use cases, with a unified data model that supports real-time queries and 1,400 event parameters. And at Piano, the privacy and security of user data is one of our highest priorities, with measures in place that ensure user data remains private and that data privacy laws are maintained at all times.
Le contexte, en Europe et ailleurs
Aujourd'hui, toute entreprise possédant un site Web est concernée par le règlement général sur la protection des données (RGPD) et la directive ePrivacy, même si elle n'a accès qu'aux données d'audience les plus élémentaires. Les mesures prises récemment par les autorités de réglementation européennes, qui contribuent à façonner la définition et les prérequis de la confidentialité numérique, remettent en question le statu quo et obligent les entreprises à réévaluer leur stratégie numérique.
Dernièrement, plusieurs gouvernements ont dénoncé le fait que Google Analytics (et par là-même toutes les entreprises qui l'utilisent) enfreignait la réglementation de l'Union européenne en matière de confidentialité des données. Le RGPD stipule en effet que les données ne peuvent être exportées vers des pays qui ne disposent pas d'un « niveau de protection adéquat », c'est-à-dire d'une législation sur la protection des données comparable à celle de l'Europe. La société Google, qui transfère vers les États-Unis des données des utilisateurs européens en vue de leur traitement, a donc été déclarée non conforme.
Décembre 2021 : La Datenschutzbehörde (l'autorité autrichienne de protection des données) a statué que l'utilisation que faisait une marque de Google Analytics était contraire au RGPD de l'Union européenne.
Février 2022 : La Commission nationale de l'informatique et des libertés (CNIL) de France a prononcé une décision similaire à l'encontre d'une autre société.
Mars 2022 : Le Liechtenstein a annoncé son propre verdict dans la foulée.
Même si le RGPD et la directive ePrivacy sont des législations européennes, cela ne signifie pas, comme nous l'avons déjà vu, qu'elles concernent uniquement les entreprises de l'UE. Après tout, l'Internet ne connaît pas de frontières. « Lorsque le RGPD est entré en vigueur, l'un des résultats immédiats a été une augmentation du nombre de sites américains refusant ou restreignant l'accès aux visiteurs européens, a déclaré à Forbes Timo Rein, cofondateur et ancien PDG de la solution de CRM Pipedrive, peu après la mise en place du RGPD. [C]ette approche n'est pas viable. »
Les risques posés par la non-conformité
Toute utilisation des données qui enfreint la directive ePrivacy ou le RGPD peut être lourde de conséquences. En cas de non-conformité avérée, vous risquez un avertissement, des amendes et une interdiction temporaire ou permanente de traiter des données à caractère personnel. Il peut également vous être demandé de supprimer toutes les données que vous avez déjà collectées.
Si un tel risque vous semble inacceptable, vous pourriez juger utile d'élaborer une stratégie bien pensée de gestion des données. Il peut également se révéler intéressant de trouver un fournisseur Digital Analytics qui comprenne le RGPD et la directive ePrivacy, et qui dispose de l'expertise nécessaire pour rester au fait des exigences législatives.
Trouver une solution analytics respectueuse de la confidentialité
Pour trouver une solution Digital Analytics respectueuse de la confidentialité, prenez d'abord en compte les points suivants.
La définition des « données à caractère personnel »
Le RGPD formule une définition précise des « données à caractère personnel ». Si vous voulez une solution qui reste en règle, vous devez vous tourner vers un fournisseur qui emploie la même définition, et place notamment dans cette catégorie les identifiants de cookies et autres adresses IP. Une solution qui ne désigne pas les données personnelles de la même manière risque de devenir non conforme.
L'utilisation et le stockage des données
Les décisions prises dans l'Union européenne portent essentiellement sur le lieu de stockage des données et la manière dont elles sont exploitées. En vertu du RGPD, les données privées des utilisateurs européens doivent rester en Europe ou dans des pays offrant le même niveau de protection des données. Il est également important de vérifier si les données des internautes (audience, navigation et comportement) sont pseudonymisées, de même qu'anonymisées et chiffrées.
La dispense de consentement
La dispense de consentement ePrivacy est reconnue par les agences de protection des données, et notamment la CNIL. Elle permet à un éditeur de site ou d'application mobile de contourner l'obligation de recueillir le consentement d'un consommateur avant de déposer des cookies. Cette exemption n'est accordée qu'aux solutions qui maintiennent un niveau élevé de confidentialité et qui remplissent plusieurs conditions :
Conformité générale au RGPD
Collecte des données strictement nécessaires à la prestation de service demandée par l'utilisateur (et d'aucune autre donnée)
Finalité limitée à la seule mesure de l'audience
Outre la garantie d'une protection plus rigoureuse de la vie privée, la dispense de consentement peut également être le signe d'une meilleure qualité des données. Une solution conforme aux critères d'exemption ePrivacy peut collecter 100 % des données d'audience, contre environ 50 % pour les autres solutions.
L'expertise en interne
Le RGPD et la directive ePrivacy sont des réglementations subtiles, et les usages des données évoluent en permanence. C'est pourquoi un fournisseur de solution axé sur la confidentialité doit compter dans son équipe des experts du RGPD et de la directive ePrivacy. Il doit posséder l'expérience nécessaire pour guider les entreprises dans leur démarche de protection des données. Veillez également à ce qu'il mette à votre disposition une assistance à la clientèle et des spécialistes des données et du droit : autant de prérequis essentiels qui vous permettront de rester en phase avec la législation.
Donner la priorité à la confidentialité des données
En privilégiant la protection de la vie privée plutôt que la réduction de vos dépenses, vous vous assurez de pouvoir compter sur votre fournisseur. En effet, celui-ci restera au fait des évolutions réglementaires, ce qui vous évitera de vous retrouver aux prises avec des décisions comme celles que l'on voit fleurir cette année en Europe.
Mais adopter une nouvelle solution signifie migrer vos données : une étape qui, à défaut d'une approche adéquate, peut les rendre vulnérables. La question qui se pose donc est la suivante : comment passer à un nouveau fournisseur tout en respectant les impératifs de confidentialité de vos clients ?
Pour en savoir plus, et notamment pour connaître les points à prendre en compte dans la migration vers une nouvelle plateforme Data Analytics, téléchargez notre e-book intitulé Guide pour une approche centrée sur la confidentialité.
Piano Analytics (anciennement Analytics Suite Delta d'AT Internet) est une solution Digital Analytics qui offre des fonctionnalités pour toute une série de cas d'utilisation, avec un modèle de données unifié prenant en charge les requêtes en temps réel ainsi que 1 400 paramètres d'événements. La protection de la vie privée et la sécurité des données des utilisateurs figurent en tête de nos priorités. Nous avons ainsi mis en place des mesures visant à préserver la confidentialité des données et à garantir en permanence le respect de la législation.
[:]
