Enquête Universem: beaucoup de sites Internet de grandes entreprises toujours pas conformes au RGPD

Pratique
Par · 25/05/2022

Quatre ans après l’entrée en vigueur effective du RGPD, une majorité de grandes entreprises belges ne sont toujours pas conformes aux contraintes posées par le Règlement général européen sur la protection des données. En tout cas au niveau des dispositifs et informations à mettre en oeuvre pour la collecte, l’utilisation, le traitement et le stockage de données personnelles récoltées en-ligne via leur site Internet.

Sont notamment concernées, les fameux cookies, ces petits espions qui pistent le “comportement” de l’internaute afin de pouvoir lui adresser des publicités, propositions, messages ciblés (voir encadré en fin d’article pour un rappel des différents types de cookies).

En Belgique, les cookies ne peuvent être installés sur un quelconque site Internet qu’avec l’autorisation préalable explicite de la société ou de toute entité ou personne disposant d’un site Internet.

L’étude d’Universem et Lexing, réalisé en janvier 2022, a analysé 100 sites Internet de grandes entreprises reprises dans le Top 5000 de Trends Tendances (édition 2020). Critères de sélection utilisés: le duo a simplement sélectionné les sociétés figurant tout en haut du classement Trends, selon leur chiffre d’affaires, en veillant à une une répartition équilibrée par province (10 entreprises par province) et en ne retenant que les sociétés disposant d’un site .be. Par contre, aucune sélection par secteur n’a été effectuée.
Pour les scores, les sociétés ont été classées selon leur degré de conformité au RGPD pour la manière dont la notification et la gestion des cookies sont implémentées sur leur site Internet et sur l’existence, sur ce site, d’une politique de confidentialité.
Certains critères permettaient d’obtenir davantage de point et, à rebours, étaient fortement pénalisants si la société ne satisfaisait pas à ce critère. Parmi les éléments considérés comme les plus pénalisants: l’absence de bannière informant sur le recours à des cookies ; le déclenchement automatique de cookies (celles de Facebook, Google et consorts…), sans avertissement pour l’utilisateur ; l’impossibilité de refuser directement et aisément l’activation de cookies.

C’est là la conclusion d’une enquête réalisée par Universem, agence namuroise de marketing en-ligne en collaboration avec Lexing, cabinet juridique spécialisé dans le droit des technologies.

Pas moins de deux tiers des entreprises étudiées (voir méthodologie ci-contre) “n’ont pas installé de contrôles et de mesures de protection suffisants”. Leur site est donc considéré comme “peu conforme” (28%) ou “pas du tout conforme au RGPD” (38%).

Leur score respectif, sur une échelle allant de 1 à 18 points? De 6,5 à 11,5 points pour les “peu conformes”. Moins de 6,5 points pour les “pas du tout” conformes.

Les auteurs de l’étude tentent une explication à ces mauvais scores: “Les hypothèses avancées sont la mauvaise compréhension des protections et configurations à mettre en œuvre afin de devenir pleinement conforme ou le manque de considération du sujet, pourtant primordial dans la situation actuelle.”

Les meilleurs élèves de classe (“entièrement conformes”) représentent seulement 6% de l’échantillon. Leur score dépasse les 15,5 points.

Entre les deux, 28% des 100 sites étudiés obtiennent un avis de “conformité limitée”, ce qui signifie qu’elles respectent malgré tout la “majorité des règles et s’efforcent de placer la protection des données de leurs utilisateurs en tête de leurs priorités”.

 

14% des sociétés dont le site Internet a été analysé n’affichaient aucune bannière ou pop-up avertissant de l’utilisation de cookies.

Les lacunes

Si la grande majorité des sites analysés ont bel et bien recours à une bannière ou un pop-up pour signaler la présence (ou la possible installation) de cookies, un cinquième de ces messages (permanents ou surgissants) se contentent du service minimal en signalant simplement que des cookies seront installées. L’internaute est donc informé mais n’a guère de levier qu’il peut activer…

Ce faisant, ces sociétés contreviennent aux règles en vigueur en Belgique puisqu’il ne suffit pas de le signaler mais qu’il est nécessaire d’obtenir, avant installation, l’assentiment volontaire de l’internaute.

8% des sites ne sont guère plus dans les clous puisqu’ils n’offrent qu’une possibilité: accepter ou refuser en bloc l’installation de toutes les cookies.

58%, par contre, proposent une gradation de choix, permettant de sélectionner le type de cookies acceptés ou non (procédure dite multi-lever consent).

Mais cette vertu peut parfois cacher, malgré tout, un défaut dans la cuirasse. En effet, préviennent les auteurs de l’étude, “dans près de la moitié des cas un cookie est déjà installé, avant même que l’utilisateur ait exprimé son choix. Ce qui va à l’encontre de l’esprit du règlement RGPD.”

 

Conditions à respecter pour un message conforme RGPD

Universem et Lexing rappellent que pour être considérée comme respectueuse des contraintes RGPD, une bannière relative aux cookies doit satisfaire aux critères suivants:

– bannière bien visible (“or, 35 % des bannières sur les sites analysés ne sont pas suffisamment visibles – parfois placées via un fin bandeau en bas de page, utilisant de petits caractères et/ou affichant des couleurs peu apparentes
– consentement explicite, obtenu moyennant une démarche active de l’internaute (et il est vrai – petit exemple – qu’on rencontre encore des sites où tous les types de cookies sont pré-cochés comme étant acceptés – ce qui contrevient à l’esprit du RGPD et au concept de “démarche active” de la part de l’utilisateur
– consentement libre – exemple de modalités non conformes cité par les auteurs de l’étude: “De nombreux designs montrent un grand bouton vert “J’accepte” et un lien discret, dans une police de taille inférieure, “Plus d’information”. Ces designs sont hautement critiquables.” Autre condition, plus fondamentale, pour que le consentement soit considéré comme exprimé librement: “ne pas conditionner l’octroi d’un service” (ou d’un avantage quelconque) “à l’installation des cookies”
– consentement spécifique, autrement dit “accordé pour des traitements précis. Il ne suffit pas de donner une permission générale, globale et non définie”
– consentement informé – selon les résultats collectés lors de l’étude, il s’avère que seulement 57% des sites précisent les objectifs des cookies ; ils sont encore moins nombreux à indiquer la durée de vie (de rémanence) des cookies

 

Universem/Lexing: “Pour qu’un consentement soit considéré comme informé, il faut notamment que la présentation et la rédaction des textes explicatifs soient complètes, compréhensibles et non trompeuses.”

Des informations souvent encore aux abonnés absents

Autre mise en garde et autre lacune pointée du doigt par l’étude: avertir et, si possible, permettre de choisir d’installer ou non des cookies ne constitue que l’un des éléments des bonnes pratiques à mettre en oeuvre.

Tout site Internet qui se respecte se doit d’informer de manière précise, explicite, sur le type de traitement qui sera fait des données collectées ou “surveillées”. En la matière, les sites étudiés sont plutôt conformes aux bonnes pratiques: “79% des entreprises publient une politique de confidentialité sur leur site et 63% ont une politique en matière de cookies.”

Pour plus de détails, le livre blanc “La situation sur le RGPD et les cookies en 2022” produit par Universem et Lexing peut être téléchargé via ce lien.

Des cookies en veux-tu en voilà…

Le livre blanc publié par les deux auteurs de l’étude reprécise à la fois le cadre et les implications juridiques du RGPD et la finalité des cookies.

Petit rappel utile que nous reproduisons ici…

“Les cookies peuvent être indispensables à la bonne navigation sur le site web et à l’utilisation de ses fonctionnalités (“cookies strictement nécessaires”), comme permettre l’accès à une partie sécurisée du site pour réaliser un achat par exemple.
Les cookies sont également utilisés pour retenir un choix opéré par l’internaute (“cookies fonctionnels”), comme la conservation d’un panier d’achats ou la langue de navigation.
Les cookies peuvent aussi collecter des informations sur la façon dont un site est utilisé (“cookies analytiques”) ou suivre la navigation à travers le web à des fins de marketing (“cookies publicitaires”).
Finalement, les cookies peuvent être déposés par les médias sociaux (“cookies réseaux sociaux”) dans le but de permettre à l’utilisateur de partager du contenu avec son réseau.
Les cookies peuvent être temporaires et effacés lors de la fermeture du navigateur (“cookies de session”) ou subsister sur le terminal de l’internaute (“cookies persistants”) jusqu’à leur expiration, ou leur suppression par l’utilisateur.
Enfin, les cookies peuvent être implantés par le gestionnaire du domaine directement (“first-party cookies”) ou par un tiers (“third-party cookies”), éventuellement par le biais de boutons, de plug-ins ou d’images incorporées au site web.

Ce sont généralement ces cookies, installés par des tiers, qui sont pointés du doigt. Par leur omniprésence sur le web, les cookies tiers récoltent des quantités importantes de données.” [ Retour au texte ]