Au cours du mois de mai dernier, 19 autorités compétentes en matière de protection des données personnelles, regroupées dans le cadre du GPEN (" Global Privacy Enforcement Network "), ont évalué les sites internet et les applications mobiles les plus visités dans leur pays respectif. Au total,
2 180 sites ou applications ont été évalués.
L'objet de cette opération était d'apprécier la qualité de l'information délivrée aux personnes quant aux conditions de traitement de leurs données personnelles.
En effet, une information précise est indispensable pour assurer une parfaite transparence vis-à-vis des personnes qui décident de confier leurs données à un site web ou une application mobile. Cette obligation d'information se retrouve d'ailleurs dans l'ensemble des législations mondiales relatives à la protection des données personnelles.
Cette première action concertée a également été l'occasion d'affirmer le développement et l'utilité d'une coopération internationale en matière de protection des données.
Les principaux constats communs
Plus de 20% des sites Internet et applications mobiles audités ne fournissent aucune information à leurs visiteurs quant à la politique de protection des données suivie, alors même que ces sites ou applications collectent des données personnelles. Ce chiffre atteint même les 50% pour les seules applications mobiles.
Or, sans ces informations, les personnes qui visitent ces sites ou applications n'ont pas les moyens de maîtriser leurs données.
Par ailleurs, lorsque ces politiques de protection des données existent, elles sont parfois trop généralistes ou, à l'inverse, trop focalisées sur un seul aspect technique, comme par exemple celui des " cookies ".
Dans les deux cas, les informations délivrées ne mentionnent pas certains éléments essentiels comme les finalités poursuivies par la collecte des données, l'existence ou non d'un transfert de ces données vers des tiers ou encore l'existence de droits au bénéfice des personnes dont les données sont traitées.
En outre, les mentions d'informations doivent être facilement accessibles et compréhensibles. Or, il a pu être observé une pratique qui consiste à " noyer " les dispositions relatives à la protection des données dans les conditions générales d'utilisation du site et de l'application. Ce faisant, leur accessibilité, et donc leur utilité pour l'internaute soucieux d'être informé du devenir de ses données, est largement théorique.
Les constats opérés ont, a contrario, permis de constater l'existence, sur plusieurs sites, de bonnes pratiques qui permettent de rendre claire et compréhensible l'information sur la protection des données : existence de questions/réponses (FAQ) particulièrement didactiques, organisation thématiques de l'information, etc.
Une autre tendance positive consiste à indiquer un ou plusieurs points de contacts (adresses électroniques, numéros de téléphone) en charge de répondre spécifiquement aux interrogations relatives à la protection des données personnelles.
Les spécificités françaises
La CNIL a mené son audit sur
250 sites internet régulièrement fréquentés par les internautes français. Il apparaît que 99% d'entre eux collectent des données à caractère personnel. Si les tendances générales sont comparables à celles décrites au niveau mondial, certaines spécificités sont apparues.
Ainsi, moins de 10% seulement des sites web audités ne fournissent pas d'information sur leur politique de protection des données.
Pour autant, lorsque cette information est fournie, près de la moitié des sites et applications mobiles concernées ne la rendent pas facilement accessible. Sur le fond, cette information n'a pas été considérée comme suffisamment claire et compréhensible pour près d'un tiers des sites audités. La CNIL a également parfois constaté des sites à destination d'internautes français dont les mentions d'information sont rédigées en anglais.
Les suites de l'opération " Internet Sweep Day "
La CNIL, comme plusieurs de ses homologues, a décidé de se rapprocher de certains des sites présentant des manquements à la loi " informatique et libertés " afin que ceux-ci améliorent l'information fournie aux personnes dont elles collectent des données. A défaut, les procédures contraignantes prévues par la loi pourront être utilisées par la CNIL.
L'opération " Internet Sweep Day " a été la première opération d'audit coordonnée des autorités membres du GPEN. Les enjeux liés à la protection des données à caractère personnel, qui sont dorénavant devenus largement mondiaux, conduiront, à l'avenir, à de nouvelles actions coordonnées, dans le cadre du GPEN ou dans d'autres cadres de coopération.