Le 10 février dernier, la Commission nationale de l’Informatique et des Libertés (CNIL) avait envoyé une première mise en demeure au gestionnaire d’un site web - qui reste anonyme - en raison de son utilisation supposée illégale de Google Analytics.
J’espère que la sanction sera à la hauteur des gains que permet cette collecte de données…
1 « J'aime »
La CNIL ferait mieux de se préoccuper des plaintes des citoyens. Je l’ai contactée par rapport au fait que Deliveroo s’était autorisé à conserver mon numéro de téléphone malgré la suppression de compte. Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.
Et elle a raison. Le RGPD autorise à conserver certaines données pendant un certain temps après la fermeture d’un compte quand c’est nécessaire pour défendre les intérêts légitimes de l’entreprise.
En l’occurrence, entrent dans ces intérêts légitimes le fait de pouvoir distinguer un vrai nouveau client d’un ancien client qui revient, pour éviter que les gens n’abusent des offres promotionnelles réservées aux nouveaux clients.
C’est dommage, parce que techniquement ça pourrait en fait se faire sans le conserver (il suffit d’en conserver un hash), mais le fait est que c’est autorisé.
1 « J'aime »
On est passé à une solution gratuite et référencée par la CNIL (Abla Analytics). Faut juste faire l’effort, mais après vraiment pas de différence.
1 « J'aime »
Elle a probablement raison. Je m’étonne justement qu’une telle exception si large soit possible. Elle rend de fait caduque tous le bazar parce qu’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité. Le RGPD m’apparait alors surtout comme un écran de fumée, s’il est si facilement contournable.
Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.
Il y a aussi la solution Matomo comme alternative intéressante et recommandée.
Non, elle n’en fait pas qu’à sa tête. Déjà il faut que cet intérêt légitime soit justifié. Tu peux pas le faire en disant juste « j’ai un intérêt à le faire ».
Ensuite, il faut aussi que ça soit proportionné. Conserver un numéro de téléphone pendant un ou deux ans pour éviter que quelqu’un profite à nouveau d’une promotion « nouveau client », c’est proportionné. Conserver nom, prénom, adresse, mail, téléphone, date de naissance, numéro de sécu, copie de la carte d’identité pendant dix ans pour le même motif, ce n’est pas proportionné.
L’activité d’une entreprise n’a pas à entrer en ligne de compte dans l’évaluation de son respect ou non du RGPD.
1 « J'aime »
Cette notion d’intérêt légitime est trop floue, et la proportionnalité ne la rend pas moins imprécise. Conserver un numéro de téléphone pendant un an, simplement pour éviter que les personnes bénéficient d’une promotion n’est pas proportionné. Ce que je critique c’est justement le fait que la CNIL considère comme acceptable cette conservation.
On est d’accord que c’est subjectif, que s’est laissé à l’appréciation. M’enfin, c’est là tout le problème. A mon sens, on ne peut pas s’enorgueillir d’un règlement vendue comme presque une avancée gigantesque, tout en laissant des possibilités de le contourner aussi simplement.