Suivi web et gestion des risques

L'évaluation systématique des risques qu'une entreprise peut prendre de manière contrôlée s'appelle la gestion des risques. Les risques liés à la protection des données dans le cadre du tracking ne doivent pas être négligés.

Une gestion des risques qui fonctionne est un instrument de contrôle permettant d'atteindre les objectifs de l'entreprise. Pour les grandes entreprises, c'est une obligation, pour les autres, c'est utile : identifier, analyser, traiter et surveiller les risques. Il ne s'agit pas seulement de risques financiers, stratégiques ou liés à la sécurité de l'information. La protection des données, c'est-à-dire la protection de la personnalité contre les traitements de données portant atteinte à celle-ci, comporte également des risques.

Risques pour la protection des données dans le cadre du tracking

Si des "cookies" sont placés sur un terminal lors du web tracking, l'utilisateur est généralement considéré comme une personne identifiable via son adresse IP et, par conséquent, le droit suisse de la protection des données s'applique. Un exploitant de site web suisse est rapidement soumis au droit européen de la protection des données s'il suit son trafic européen ou diffuse des offres ciblées dans cet espace. Les exigences en matière de protection des données sont multiples : obligations d'information, droits des personnes concernées, inventaire des données, sécurité des données ou question du consentement des cookies (oui pour l'UE, non pour la Suisse), etc. Le droit de la protection des données exige ici des analyses de risques régulières, sachant qu'il n'est pas facile, même pour les spécialistes, d'évaluer les risques liés à la protection des données.

Les transferts de données big-tech à l'étranger et l'accès potentiel aux autorités constituent un spectre. Bien que la probabilité soit considérée comme faible, il s'agirait d'un cumul de risques : Demande de renseignements, notification au PFPDT, plaintes, perte de réputation, menace d'amendes très élevées (UE) et désormais d'amendes personnelles en Suisse. Même les clauses standard de protection des données n'offrent pas de protection sacro-sainte, comme le montre l'amende record infligée par l'Irlande. Un autre risque est la garantie d'anonymisation des adresses IP dans les déclarations de protection des données, car celle-ci est relative, puisqu'elle n'a lieu qu'après la transmission au centre de données.

Comment les risques liés à la protection des données sont-ils traités ?

Le traitement apparemment le moins cher et le plus simple consiste à accepter un risque, ce qui doit être formellement documenté en indiquant les raisons (manque de ressources). Le transfert des risques se fait classiquement par le biais d'une assurance. Les cyber-assurances et les assurances D&O refusent toutefois de couvrir les risques d'amende personnelle.

La bonne approche consiste à réduire. L'approche basée sur les risques du droit de la protection des données est respectée, selon laquelle les mesures de protection sont prises en fonction de la probabilité de violation et des conséquences possibles. Le recours à une solution de tracking européenne est ici au premier plan. Outre une sensibilisation accrue à la protection des données et des centres de données sur place, de telles solutions sont dotées de fonctionnalités de premier ordre. La proximité et la souveraineté des données sont particulièrement appréciées par les entreprises des secteurs sensibles et réglementés. Ensuite, l'évitement est une option qui consiste à miser sur une technologie de suivi qui fonctionne sans cookies et qui fournit malgré tout des données marketing utiles. Les entreprises qui traitent systématiquement les risques de tracking choisissent souvent un mix : tracking avec cookies là où le consentement existe ou n'est pas nécessaire et tracking sans cookies là où il n'existe pas.


Auteur : Thomas Michel, responsable de la sécurité de l'information chez Capture Media.

Pour plus d'informations, voir ici.

Plus d'articles sur le sujet