Sweep day 2017 : des sites web et applications mobiles trop vagues sur l'utilisation des données personnelles ?
Dans le cadre d'une opération conjointe, 24 autorités de protection des données membres du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené un audit de 455 sites internet et applications mobiles de la vie quotidienne dans les secteurs du commerce en ligne, bancaire, du voyage, des réseaux sociaux, des jeux, de la santé et de l'éducation.
En pratique, les audits ont porté sur la qualité de l'information délivrée aux personnes concernant :
la finalité de la collecte des données ;
les droits dont elles disposent ;
le partage de leurs données avec des tiers ;
les mesures de sécurité et de confidentialité appliquées à leurs données ;
la possibilité d'accéder à leurs données et d'en demander l'effacement.
Tendances observées au niveau international
Cet audit international révèle :
des politiques de confidentialité floues, imprécises et comportant des clauses génériques ;
une information globalement insatisfaisante concernant le devenir des données et la nature des organismes avec lesquels elles sont partagées ;
l'absence d'information sur les garanties prises pour assurer la sécurité des données des utilisateurs ;
un manque de clarté sur le pays hébergeant les données et les mesures de protection mises en oeuvre ;
Enfin, il est à souligner que seule la moitié des sites et applications informe les utilisateurs sur leur droit d'accès à leurs données et les modalités pour l'exercer.
Constats relevés au niveau national par la CNIL :
La CNIL a concentré son audit sur 49 sites web et applications mobiles dans les domaines du « voyage » et de la « vente en ligne ».
Les vérifications menées font apparaitre que :
82% des sites et applications informent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l'identité de ces derniers ;
80% des sites et applications ne donnent pas ou peu d'information sur les modalités de stockage des données et les mesures prises pour en garantir la sécurité et la confidentialité ;
environ un tiers des sites et applications ne facilitent pas l'accès des utilisateurs aux données les concernant ;
environ un tiers des sites et applications ne fournissent pas de moyens simples et conviviaux aux utilisateurs pour permettre l'effacement de leurs données ;
Néanmoins, l'audit de la CNIL montre que 82% des sites et applications informent correctement les utilisateurs sur les finalités pour lesquelles les données sont traitées et les modalités selon lesquelles elles sont collectées.
Les sites ayant révélé les disfonctionnements les plus importants lors de l'audit feront l'objet de vérifications plus approfondies dans le cadre de procédures de contrôle formelles.
De telles actions d'audit coordonné sont une manière, pour la CNIL et ses homologues européens, de se préparer aux futures opérations conjointes qui pourront être réalisées à partir de mai 2018, une fois le règlement européen sur la protection des données applicable, le 25 mai 2018.
La CNIL conseille aux utilisateurs de vérifier :
si les pages des sites internet utilisent le protocole HTTPS avec la présence d'un cadenas vert et d'un certificat valide (voir « Les échanges sur internet » sur le site de la CNIL) ;
si le site et les applications fournissent une information simple pour demander la suppression de ses données ;
si le site et les applications fournissent une information claire sur le partage éventuel des données avec des tiers.
si le site et les applications précisent le pays d'hébergement des données et - le cas échéant - les garanties existantes lors de l'hébergement hors UE ;