Outils d'évaluation pour les sites web

Sur mandat de l'administration fédérale et suite à diverses demandes émanant de particuliers, nous avons analysé les outils d'évaluation de sites web sous l'angle de la protection des données. A notre avis, différentes conditions doivent être remplies lorsque des outils d'évaluation sont utilisés pour établir des statistiques d'accès à des sites web. En particulier, il faut signaler à l'utilisateur, dans une déclaration de protection des données, que des données le concernant sont collectées et lui indiquer à qui elles sont transmises (y compris l'indication du pays). Si les données sont acheminées vers un pays dont le niveau en matière de protection des données n'est pas adéquat, il faut convenir, avec le prestataire de l'outil d'évaluation, des garanties qui assurent un niveau de protection suffisant.

Un nombre toujours croissant d'exploitants de sites web décident de ne plus établir leurs statistiques eux-mêmes sur la base de programmes installés sur leurs serveurs. Ils font désormais compter les visites sur leurs sites par des outils en ligne (par ex. Google Analytics). Les adresses IP devant être considérées comme des données personnelles, la loi fédérale sur la protection des données (LPD) est applicable. Donc, pour utiliser ces outils d'évaluation en conformité avec le droit de la protection des données, les exploitants de sites web doivent veiller à respecter en particulier les points décrits ci-après.

L'outil d'évaluation en ligne est intégré au site web de l'exploitant à l'aide d'un élément d'image spécial ainsi que d'un script du prestataire. Ainsi, le prestataire de l'outil d'évaluation saisit les accès sur le site, car l'adresse IP de l'utilisateur est enregistrée par son serveur lors de l'appel de l'élément d'image. Les données accessoires de l'utilisateur Internet qui apparaissent lors de la visite du site sont transmises au prestataire de l'outil d'évaluation. Sous l'angle de la protection des données, ce processus doit être considéré comme un traitement de données par des tiers. Conformément à l'art. 10a LPD, le traitement de données par un tiers est possible si une convention le prévoit et que le prestataire traite les données comme l'exploitant du site lui-même serait autorisé à le faire et qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

Pour cette raison, l'exploitant d'un site doit obliger par contrat le prestataire de l'outil d'évaluation à utiliser les données livrées exclusivement dans le but d'évaluation qui est celui de l'exploitant (et non pas à d'autres finalités propres au prestataire) et à assurer la sécurité des données. En outre, l'exploitant du site web doit, sur la base du principe de reconnaissabilité, attirer l'attention des utilisateurs, dans la déclaration de protection des données, sur l'outil d'évaluation ainsi que sur le genre et le volume des données traitées.

Si les serveurs du prestataire de l'outil d'évaluation se trouvent à l'étranger, il convient en outre de respecter les règles légales auxquelles est soumis le transfert des données au-delà des frontières. En effet, les données personnelles ne doivent pas être communiquées à l'étranger si la personnalité des personnes concernées s'en trouve gravement menacée, notamment s'il n'y existe pas de législation garantissant une protection adéquate (une liste des pays et de leur niveau en matière de protection des données peut être consultée sur notre site web www.leprepose.ch, sous la rubrique Thèmes - protection des données - transmission à l'étranger). Dans ce cas, l'outil d'évaluation ne peut être utilisé que si le prestataire assure un niveau adéquat de protection en donnant des garanties suffisantes (art. 6 al. 2 let. a LPD). Dans la pratique, ces garanties sont en général données par une confirmation écrite du prestataire. Depuis janvier 2009, le «U.S.-Swiss Safe Harbor Framework» constitue un instrument visant à garantir un niveau de protection suffisant pour les données transférées vers les Etats-Unis (pour plus d'informations, cf. ch. 1.1.6).

Tant que l'exploitant d'un site web observe ces points, rien - du point de vue de la protection des données - ne s'oppose à l'utilisation d'un outil d'évaluation. Néanmoins, les exploitants de sites web devraient en principe évaluer dans quelle mesure il est pour eux souhaitable de transmettre à l'étranger les données personnelles des visiteurs de leur site. Les autorités étrangères pourraient en effet, sur la base de leurs législations nationales, accéder aux données se trouvant dans leur pays.

Addenda du 10.10.2011 concernant d’une part l’information des utilisateurs quant à leur droit d’opposition, d’autre part le raccourcissement de l’adresse IP

La déclaration de protection des données d'un site web doit informer l'utilisateur du fait que ses données personnelles sont susceptibles d'être collectées et traitées par des outils d'évaluation en ligne. L'utilisateur doit également être informé des possibilités de s'y opposer.

L'exploitant du site web doit en outre procéder ou faire procéder au raccourcissement des adresses IP au moyen de réglages dans le code de programmation. Dans Google Analytics, par exemple, cela se fait en complétant le code de suivi par la fonction « _anonymizeIp() ».

10 octobre 2011

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/16eme-rapport-d-activites-2008-2009/outils-d-evaluation-pour-les-sites-web.html