04. ANALYSE DES USAGES ET DONNÉES DE SUIVI (TRACKING)

admin Identité et données personnelles

Explique en quoi consistent l’analyse des usages, les données et les outils de suivi.

DÉFINITION

1.1 Qu’est-ce que « l’analyse des usages de l’utilisateur »?
C’est l’analyse de données collectées des usagers et de celles générées par leurs interactions avec votre plateforme en fonction d’objectifs précis, comme évaluer l’efficacité de la plateforme, quantifier la fréquentation avec des rapports statistiques, personnaliser l’expérience de l’usager ou encore optimiser les efforts de marketing.Selon les analyses à réaliser, différentes données seront mobilisées : des renseignements personnels fournis par l’usager, des données issues des interactions des utilisateurs avec la plateforme et d’autres recueillies par des services de mesure et d’analyse d’audience (analytique) comme Google Analytics ou Flurry.
1.2 Qu’est-ce qu’on entend par « données de suivi »?
Ce sont des données qui tracent le parcours de l’usager à travers le temps et les plateformes permettant de faire des analyses pointues. Par exemple, en analysant la navigation d’un usager, on peut personnaliser l’offre du contenu selon ses intérêts. Les données de suivi sont collectées grâce à l’identifiant unique d’un appareil ou avec des outils de pistage (ou de suivi). Voici les plus courants :

  • Cookie (fichier témoin, ou témoin) : Fichier texte sauvegardé sur l’appareil de l’usager qui permet à la plateforme de le reconnaître et de stocker l’historique de ses interactions. Une plateforme peut en avoir plusieurs : les cookies d’origine sont ceux qui lui appartiennent alors que les cookies tiers sont générés par des compagnies tierces intégrées à la plateforme comme un réseau de publicité ou un service d’analyse d’audience.
  • Balise web (web beacon, web bug, pixel invisible ou espion, tag ou marqueur) : Élément invisible intégré dans une page web qui permet de pister la navigation de l’usager sur une plateforme unique ou sur une série de sites web. Elles peuvent être utilisées avec des cookies.

L’identifiant unique d’un appareil et l’outil de suivi contiennent chacun un identifiant persistant qui permet de reconnaître un usager à travers le temps et les plateformes.

RÉGLEMENTATION

À part aux États-Unis, l’analyse des usages et des activités des utilisateurs fait l’objet de peu de règlementation. Généralement, l’explication fournie dans votre politique de confidentialité sur vos usages, incluant ceux liés aux données de suivi, est suffisante. L’utilisation d’outils de suivi est restreinte par la loi dans certains pays.

ATTENTION!! Cliquez ici pour le profilage à des fins de publicité ciblée.

CANADA

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Loi fédérale définissant les règles applicables pour la gestion des renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales. Vous devez obtenir le consentement valable avant de collecter des données personnelles, et ce peu importe la technologie de collecte utilisée.

Loi canadienne anti-pourriel (LCAP)

Loi fédérale qui encadre l’envoi de messages électroniques et l’installation de programmes informatiques dans le cadre d’activités commerciales. Il est interdit d’installer un logiciel sur l’appareil de l’usager sans obtenir son consentement. Toutefois, vous n’avez pas à solliciter le consentement pour l’installation d’un cookie, ou d’un code HTML et Java Script.

Informations complémentaires :

Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations

Loi canadienne anti-pourriel

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale pour la protection des données personnelles des enfants collectées en ligne. Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis.

Vous êtes responsable de l’ensemble de la collecte de données personnelles faite à partir de votre plateforme, incluant celle des services tiers. Vous devez choisir des services conformes avec la COPPA. Pour le mobile par exemple, le réseau de publicité SuperAwesome et les services analytiques Flurry et PreEmptive Solutions sont compatibles avec la COPPA.

Si l’identifiant persistant est l’unique donnée personnelle collectée et qu’il est nécessaire au support des opérations internes de la plateforme, vous n’avez pas à demander de consentement parental vérifiable. La COPPA définit les opérations internes comme les activités nécessaires pour :

  • Maintenir ou analyser le fonctionnement de la plateforme;
  • Effectuer des communications de réseau;
  • Authentifier les usagers ou personnaliser le contenu;
  • Servir et/ou limiter la fréquence de la publicité contextuelle;
  • Protéger la sécurité ou l’intégrité de l’usager;
  • Assurer le respect de la loi;
  • Répondre à une demande de l’enfant.

Si vous, et/ou une tierce partie, utilisez identifiant persistant à toute autre fin que pour le support des opérations internes, par exemple pour de la publicité ciblée (fiche 5), vous devez obtenir le consentement parental vérifiable avant la collecte et expliquer vos pratiques dans la politique de confidentialité.

Informations complémentaires:

Federal Trade Commission: COPPA Rule : A Six-Step Compliance Plan for Your Business

FRANCE & UNION EUROPÉENNE

Directive sur la protection des données personnelles et Directive vie privée et communications électroniques

Directives encadrant la protection de la vie privée des citoyens de l’Union européenne, elles  touchent les entreprises qui exercent leurs activités commerciales dans un des pays membres. En France, la loi informatique et libertés est fondée sur les principes de ces directives.

Les outils de pistage sont permis pourvu que vous obteniez le consentement de l’usager et que vous lui donner la possibilité de refuser l’installation. L’information relative à l’utilisation d’un outil de pistage et le droit de refuser son installation peuvent être offerts une seule fois pendant une même connexion et couvrir l’utilisation future. Vous êtes aussi responsable de la collecte effectuée par des cookies tiers.

Les cookies qui facilitent la navigation (ex. authentification de l’usager, personnalisation du contenu ou panier d’achat) font l’objet d’une exception; ils ne nécessitent pas de consentement.

Informations complémentaires :

Manuel de droit européen en matière de protection des données

La loi informatique et libertés

AUSTRALIE

Privacy Act

Loi fédérale de portée générale sur la protection des informations personnelles touchant les entreprises exerçant des activités commerciales en Australie.

Si vous faites la collecte de données personnelles avec un outil de suivi, vous devez en informer l’usager (un avis sur la page d’accueil suffit) et expliquer les finalités de la collecte dans la politique de confidentialité. Le consentement n’est pas exigé.

Informations complémentaires :

Office of the Australian Information Commissioner – The Privacy Act

PLATEFORMES DE DISTRIBUTION D’APPLICATIONS MOBILES

Appstore Amazon

Le contrat de distribution avec le développeur indique qu’Amazon se réserve le droit de « modifier » et « d’ajouter » des outils de suivi  sur votre application à des fins d’analytique.

Informations complémentaires sur l’Appstore d’Amazon : App Distribution Agreement

AUTORÉGLEMENTATION

Alliance de la publicité numérique du CanadaElle recommande à ses membres de ne pas recueillir, à l’aide d’un outil de suivi ou de toutes autres manières, des renseignements permettant d’identifier une personne à des fins de publicité ciblée auprès d’enfants dont ils savent qu’ils ont moins de 13 ans.

Informations supplémentaires sur les principes canadiens d’autoréglementation de la publicité comportementale en ligne

NOS RECOMMANDATIONS

  • Si cela implique des données personnelles et/ou de suivi, expliquez vos pratiques en lien avec l’analyse des usages et des activités dans votre politique de confidentialité;
  • Avisez clairement de la présence d’outils de suivi sur votre plateforme;
  • Une bannière sur la page d’accueil spécifiant que la poursuite de la navigation sur le site constitue un consentement à l’usage du cookie avec un lien cliquable vers la politique de confidentialité;
  • Offrez au parent le droit de refuser l’installation d’un outil de suivi;
  • Assurez-vous que les méthodes pour communiquer avec le parent et lui offrir un droit de refus sont le plus conviviales possible;
  • Soyez transparent par rapport à vos outils de suivi : décrivez dans la politique de confidentialité vos pratiques en lien avec les données collectées avec un outil de suivi et fournissez le nom des tierces parties qui possèdent des outils de suivi sur votre plateforme;
  • Limitez au minimum le placement d’outils de suivi sur votre plateforme;
  • Si vous acceptez des plug-ins (des logiciels d’application complémentaire), vérifiez s’ils contiennent une technologie de suivi. Si c’est le cas, envisagez de conclure des accords pour restreindre la collecte de données de suivi;
  • Revoyez de manière périodique les termes des conditions de service et la politique de confidentialité des tierces parties intégrées à votre plateforme pour vous assurer que leurs pratiques respectent toujours vos exigences;
  • Attention!!! Si vous utilisez des données de suivi à des fins de profilage et/ou de publicité ciblée, assurez-vous de consulter la fiche à cet effet.

Voir la bibliographie.