Il y a peu, nous avons fêté le premier anniversaire du Règlement Général sur la Protection des Données. Celui-ci est entré en application le 25 mai 2018. Ce texte de référence en matière de protection des données à caractère personnel renforce et unifie la protection des données pour les individus au sein de l’Union européenne.
Il peut alors paraître ironique que les sites des gouvernements européens et des principales institutions et organes de l’Union européenne aient été considérés comme étant non-conformes au RGPD, alors qu’il s’agit bien de ces gouvernements qui ont mis en place les règles en lien avec la protection des données des individus.
Le non-respect du RGPD par des sites des institutions et organes de l’UE
Le Contrôleur européen de la protection des données (CEPD) est une autorité de contrôle indépendante s’assurant que lorsque les institutions et organes européens traitent de données à caractère personnel et élaborent de nouvelles politiques, ils respectent le droit à la vie privée et à la protection. La protection des données à caractère personnel est un droit fondamental garanti par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Le 3 juin 2019, dans un communiqué de presse, le CEPD a révélé les résultats de son inspection effectuée dès août 2018 sur les sites web des principales organes et institutions de l’Union Européenne. Cela a révélé des problèmes de protection et de sécurité des données sur sept des dix sites web inspectés, ceux-ci étant non-conformes au RGPD, à la directive ePrivacy et aux lignes directrices fixées par le CEPD.
Des cookies tiers (déposés par un domaine autre que celui du site visité) étaient placés sur le terminal des internautes, et ce sans leur consentement.
Selon la définition de la CNIL, les cookies sont une “suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis [au] navigateur [de l’internaute] par un site web sur lequel [il s’est connecté]. [Le] navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que [l’internaute s’y reconnectera]. Les cookies ont de multiples usages : ils peuvent servir à mémoriser [l’identifiant client de l’internaute] auprès d’un site marchand, le contenu courant de [son] panier d’achat, un identifiant permettant de tracer [sa] navigation pour des finalités statistiques ou publicitaires, etc.”
Les règles spécifiques relatives à la protection des données dans les institutions de l’UE, ainsi que les fonctions du CEPD sont fixées par le Règlement (UE) 2018/1725. Ce dernier traite de la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union à la libre circulation de ces données.
Les institutions et organes alertés (tels que le CEPD lui-même, le Parlement européen, la Cour de justice de l’Union européenne, la Commission européenne etc…) ont promptement corrigé ces problèmes en réduisant de façon significative le nombre de cookies tiers et en fournissant désormais des protocoles HTTPS chiffrant la connexion.
Le relatif non-respect du RGPD par des sites gouvernementaux de l’UE
Une étude, réalisée en mars 2018 par l’entreprise danoise Cookiebot, a révélé que les sites officiels des gouvernements de l’Union européenne ne respectaient pas réellement le RGPD.
En effet, des sites gouvernementaux européens contenaient des cookies qui recueillaient des informations sur leurs visiteurs : ces derniers étaient donc pistés à leur insu.
En mars, seulement 3 des 28 Etats membres de l’UE étaient irréprochables: l’Allemagne, l’Espagne et les Pays-Bas. Pour les 25 autres, ils n’étaient pas en conformité avec le règlement.
Quant à la France, elle a été la plus mauvaise élève. En effet, 52 sociétés suivaient les internautes sur le site du gouvernement. Il n’y en a cependant aujourd’hui plus.
Cependant, tous les sites gouvernementaux français ne sont pas considérés comme “propres”.
Par exemple, le 12 juin 2019, 20 entreprises suivaient l’activité des internautes sur le site du Ministère de la Cohésion des Territoires, et 18 sur le site du Conseil constitutionnel. Tout cela avant même que le visiteur du site ait consenti au dépôt de cookies sur son terminal, et ce soit en cliquant sur “accepter” dans le bandeau de consentement, soit en scrollant sur la page.
Le chemin semble encore long avant que tout le monde soit en conformité avec le RGPD, et cela n’épargne pas les ministères et institutions françaises.
Sources :
“Protection des données personnelles : quand l’UE montre le contre-exemple”, Netxinpact, mis en ligne le 5 juin 2019, consulté le 12 juin 2019, https://www.nextinpact.com/brief/protection-des-donnees-personnelles—quand-l-ue-montre-le-contre-exemple-8908.htm
CONTRERAS B., “Les sites gouvernementaux européens ne respecteraient pas vraiment le RGPD”, Clubic, mis en ligne le 21 mars 2019, consulté le 12 juin 2019, https://www.clubic.com/rgpd/actualite-852241-sites-gouvernementaux-europeens-respecteraient-rgpd.html
MATHIEU M., “RGPD : les sites gouvernementaux européens mauvais élèves”, Génération Nouvelles Technologies, mis en ligne le 24 mars 2019, consulté le 12 juin 2019, https://www.generation-nt.com/rgpd-sites-gouvernementaux-europeens-mauvais-eleves-actualite-1963345.html
SIMON-RAINAUD M.,“Comment les sites gouvernementaux européens sont infestés par des trackers publicitaires”, 01net.com, mis en ligne le 21 mars 2019, consulté le 12 juin 2019, https://www.01net.com/actualites/comment-les-sites-gouvernementaux-europeens-sont-infestes-par-des-trackers-publicitaires-1657004.html
MARTINI L., “Safari des cookies #1”, La Commune Adequa, mis en ligne le 18 juin 2019, consulté le 18 juin 2019, https://la-commune-adequa.blog/2019/06/13/safari-cookies-1/
“Press Release – EDPS flags data protection issues on EU institutions’ websites”, European data protection supervisor, mis en ligne le 3 juin 2019, consulté le 12 juin 2019, https://edps.europa.eu/node/5369
“Cookiebot Report”, Cookiebot, mars 2019 , consulté le 12 juin 2019, https://www.cookiebot.com/media/1121/cookiebot-report-2019-medium-size.pdf
“Cookie”, CNIL, consulté le 12 juin 2019, https://www.cnil.fr/fr/definition/cookie