Certains logiciels, services, et widgets ne collectent pas de données personnelles. Pour autant, ces services doivent-ils être tout de même inclus dans votre politique de confidentialité ? Qu’en est-il de la politique de cookies ? Cet article répond à ces questions et examine comment le RGPD et la directive ePrivacy considèrent les services qui ne traitent pas de données personnelles.
Certains services populaires, de nature diverse (par exemple à des fins d’analyses ou de cartographie de la fréquentation, ou « heat mapping »), déclarent qu’ils ne traitent pas de données personnelles. Cela signifie que les données personnelles des utilisateurs qui visitent un site web ou utilisent une application qui intègre ces services ne sont ni collectées, ni traitées par lesdits services.
En général, ces déclarations relèvent de deux cas :
Le hachage est une procédure par laquelle des données (comme une adresse e-mail ou une adresse IP) fait l’objet d’un traitement automatisé par un algorithme qui les transforme en une séquence de valeurs unique (des chiffres et des lettres), appelée empreinte. Ces fonctions de hachage cryptographique sont irréversibles : une fois l’empreinte hachée générée, il est virtuellement impossible d’inverser la fonction pour revenir à l’information source. Si vous vous intéressez aux détails techniques, vous pouvez lire l’Avis 05/2014 sur les techniques d’anonymisation publié par l’ancien Groupe de travail « Article 29 » sur la protection des données.
Voyons comment ces cas sont traités par le RGPD et par la directive ePrivacy.
Il n’est pas nécessaire de mentionner ces services dans votre politique de confidentialité. Les articles 13 et 14 du RGPD (qui détaillent les informations que les responsables du traitement doivent donner aux personnes concernées dans leur politique de confidentialité) ne s’appliquent que lorsque des données à caractère personnelsont collectées. Les services qui ne collectent pas ce type de données ne doivent donc pas être mentionnés.
En outre, compte tenu du principe général de transparence, (cf. articles 5 et 12 du RGPD), les services qui ne collectent pas de données personnelles ne devraient pas être mentionnés — car cela pourrait laisser penser aux utilisateurs, à tort, que ces services collectent et traitent des données personnelles.
Compte tenu de ces éléments, nous avons choisi de ne pas inclure ces services dans le générateur. Plus précisément, vous pouvez toujours les ajouter en service personnalisé si vous le souhaitez, mais nous ne les avons pas intégrés à notre document standard (prédéfini).
Pour l’instant, nous appliquons cette politique aux services suivants :
Le raisonnement du paragraphe précédent ne s’applique pas de la même manière aux politiques de cookies. En l’occurrence, le droit de l’Union requiert que les fournisseurs de sites internet ou d’applications informent de la présence de tout cookie ou technologie de tracking similaire, qu’ils collectent ou traitent des données personnelles ou non. Cette approche a été réaffirmée récemment par la Cour de justice de l’UE dans son arrêt Planet49.
Dès lors, les cookies ne sont pas les seules technologies qui doivent être mentionnées dans la politique de cookies : sont également concernées les technologies similaires* qui permettent de consulter ou de déposer des informations sur l’appareil de l’utilisateur, notamment les pixels espions ou les polices installées.
Lorsque vous utiliserez iubenda pour générer votre politique de cookies, vous aurez donc la possibilité d’inclure les services de type, qu’ils traitent des données personnelles ou non.
*Vous n’êtes pas certain de bien comprendre ce que sont les « technologies similaires » aux cookies ? Lisez donc ce qu’en dit l’autorité de protection des données du Royaume-Uni en cliquant ici.
