Le RGPD étant d’application au 25 mai 2018, nous nous sommes amusés récemment à réaliser quelques « tests » de conformité.
Petite revue.
Pour être juste nous avons commencé par nos propres formulaires web. Ces derniers n’étant pas conformes, nous avons contacté notre éditeur CRM (basé aux USA) afin de lui demander pourquoi: i) il n’était pas possible de créer un formulaire avec une « boite cliquable » (dans le but d’obtenir consentement explicite) ii) il n’était pas possible de saisir plus de X caractères dans le formulaire (afin d’expliquer ce que nous faisons des données collectées et de répondre à l’objectif d’intelligibilité). Nous attendons toujours la réponse…
Nous avons également reçu les conditions d’utilisation mises à jour de deux très grands éditeurs américains et nous les avons parcouru…
Editeur 1: email reçu en anglais, plus de 70 pages de conditions (non disponibles en français) et un lien « d’opt-out » planqué au milieu de nulle part…
Editeur 2: email reçu en français, plus de 50 pages de conditions et un lien « d’opt-out » planqué au milieu de nulle part…
Bilan: pour ce qui est du droit à la compréhension il nous semble que l’on est assez loin de la cible ! Par ailleurs s’il est possible de retirer le consentement « à tout moment », le lien est très bien (mais alors très bien) caché: un bel effort de transparence ! Par ailleurs, et comme on s’y attendait un peu, l’éditeur vous informe que si vous décidez de ne plus communiquer d’informations personnelles au logiciel alors ce dernier risque tout simplement de ne plus fonctionner (c’est assez dissuasif).
Autre « expérience » intéressante réalisée dans PLUSIEURS magasins de vente de vêtements: la création d’une carte de fidélité. A chaque fois le même scénario:
(moi) « pourrions nous créer une carte SVP ? »
(le vendeur) « oui j’aurais besoin de votre nom, prénom, email… »
(moi) « a quel endroit dois je cliquer pour montrer mon acceptation de l’utilisation qui sera faite de mes données ? »
(le vendeur) « euh notre système ne prévoit pas cette option. Je rentre vos données et c’est tout »
(moi) « ce n’est pas très conforme au RGPD »
(le vendeur) « le quoi ? »
Toujours plus loin, toujours plus « fun »: je veux télécharger des livres blancs élaborés par des spécialistes du RGPD. Comme d’habitude on me demande des informations personnelles (c’est bien normal), sauf que les formulaires utilisés ne sont pas conformes au RGPD (comme les miens mais sans doute pas pour les mêmes raisons au regard des moyens dont disposent ces sociétés).
La cerise sur le gâteau: je veux m’inscrire à une formation gratuite sur la sécurité de l’information organisée par l’état. On me demande bien sûr des informations personnelles et vous l’aurez deviné: aucune information en lien avec le RGPD !
La route pour atteindre la conformité sera longue, très longue…