GDPR, quatre ans déjà. Or, deux tiers des entreprises belges ne semblent toujours pas se conformer aux règles selon l’agence de marketing en ligne Universem et le cabinet juridique Lexing.

Seuls 6 % des sites analysés sont totalement conformes aux règles et obtiennent un score supérieur à 15,5 sur 18. 28 % obtiennent un score compris entre 11,5 et 15,5 sur 18. Cela signifie que 34 % des entreprises se conforment à la majorité des règles et s’efforcent de placer la protection des données de leurs utilisateurs en tête de leurs priorités. 

Universem, en collaboration avec Lexing, un cabinet d’avocats spécialisé dans le droit des technologies, a enquêté sur l’application de la législation GDPR. L’étude a été réalisée sur 100 sites de grandes entreprises, sur la base du « Top 5000 » du magazine Trends-Tendances. La sélection s’est faite sur base du chiffre d’affaires et de la présence d’un site .be.

GDPR, les entreprises classées en quatre catégories

Tous les sites ont été étudiés et analysés selon différents critères et notés sur 18 points. Cela a permis de les classer en quatre catégories, allant de « pas du tout conforme au GDPR » à « entièrement conforme au GDPR ».  

28 % ont obtenu un score compris entre 6,5 et 11,5 sur 18 et sont considérés comme « peu conforme ». Le groupe le plus important a obtenu moins de 6,5 sur 18. Il est considéré comme « pas du tout conforme au GDPR ». Cette étude montre ainsi que 66 % n’ont pas installé de contrôles et de mesures de protection suffisants.

Les bannières de cookies : bien établies, mais cela ne dit pas tout !

Après l’entrée en vigueur du réglement, le nombre de bannières et de pop-ups informant les internautes sur les cookies a considérablement augmenté. L’étude d’Universem et de Lexing montre que 86 % des sites analysés comportent une bannière de cookies. 

20 % de ces bannières avertissent seulement l’utilisateur que des cookies seront installés s’il poursuit sa visite (bannière informative). 8 % offrent la possibilité de refuser ou d’accepter tous les cookies en un seul clic (single level consent). La majorité, 58 %, utilise une application plus avancée. Concrètement, elle propose une sélection, parfois très poussée, des types de cookies autorisés (multi level consent).

Néanmoins, les chercheurs concluent qu’il y a encore des choses qui ne vont pas avec la bannière. Dans près de la moitié des cas, un cookie est déjà placé, avant que l’utilisateur ait exprimé son opinion. Cela va à l’encontre de l’esprit du règlement.

Politique de confidentialité

Enfin, le fait de disposer d’une bannière est un début. Toutefois, il ne suffit pas pour se conformer à l’intégralité de la directive sur la vie privée en ligne et du GDPR. Les sites doivent également contenir des informations plus générales sur le traitement des données effectué. 

Sur ce point, les résultats de l’étude sont plutôt optimistes. La plupart des entreprises interrogées connaissent les règles relatives à la protection des données des utilisateurs et l’indiquent explicitement sur leurs sites. 79 % des entreprises ont une politique de confidentialité sur leur site. Et 63 % ont une politique en matière de cookies.

Pénalités financières et atteinte à l’image

Outre les risques de sanctions en cas de non-conformité, les entreprises ne doivent pas perdre de vue que les internautes sont de plus en plus conscients de leurs droits et sont sensibles au respect de leur vie privée. Le nombre de questions, de plaintes et de décisions de justice concernant la protection et la confidentialité des données a fortement augmenté ces dernières années. La transparence à ce niveau est une valeur importante pour l’image de marque des entreprises.

 « Au cours de ces quatre ans, nous avons constaté une augmentation considérable de l’intérêt des consommateurs pour la vie privée. Ils veulent savoir comment leurs données sont utilisées, constate Hubert de Cartier, Universem. Les organisations ne peuvent ignorer cette demande légitime. Elle peut leur porter préjudice, notamment par des amendes, mais aussi impacter la confiance. Nous conseillons donc à nos clients de réfléchir à une stratégie à long terme, tant pour les données, que le marketing et la communication. »

Alexandre Cassart, Lexing: « Au-delà du caractère anecdotique vaguement ennuyeux des bannières cookies, toutes les parties prenantes doivent comprendre l’importance des traitements de données effectuées au départ des sites web et de la nécessaire transparence de ceux-ci. À défaut, l’Autorité de Protection des Données se chargera de le rappeler en frappant les entreprises au portefeuille ! »