CNIL – Publication de l’étude sur les parcours utilisateurs et le droit d’accès : vers la création de nouvelles obligations ?

Présentation de l’étude : le suivi du parcours utilisateur sur les plateformes de réseaux sociaux

Quelles sont les plateformes évaluées ?

L’étude s’est concentrée sur les principales plateformes de réseaux sociaux, parmi les plus utilisées en France : Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube. Le LINC a focalisé son analyse sur l’article 15(3) du RGPD, qui oblige les responsables de traitement à fournir à chaque personne sur sa demande une copie de ses données personnelles traitées. Les autres obligations du RGPD n’ont pas été étudiées.

Sur quels critères ?

Le LINC a structuré son analyse en trois grandes étapes suivant le parcours d’un utilisateur :

Étape 1 : Information de l’utilisateur sur l’existence du droit d’accès et ses modalités d’exercice : est-elle facile à trouver et suffisamment explicite et claire ?

Étape 2 : Exercice de la demande de droit d’accès, le parcours d’exercice du droit : est-il suffisamment simple et clair ?

Étape 3 : Fourniture de ses données personnelles à l’utilisateur par la plateforme à la suite de la demande de droit d’accès : le mode de transmission des données, leur format et les informations expliquant leur usage sont-elles adaptées et suffisantes ?

À chaque étape, les critères suivants ont été analysés :

• la facilité d’accès et la fluidité du parcours.

• la transparence

• la confidentialité des données (sauf pour l’étape 1).

Quelles sont les notes attribuées ?

Chaque étape comporte entre 8 et 10 questions, toutes notées sur 1, pour un total de 27 points maximum. Un point additionnel est attribué pour chacune des trois étapes si les informations sont considérées comme compréhensibles par les mineurs visés par la plateforme, ou s’il existe une version additionnelle de cette information spécialement rédigée à l’attention des mineurs.

Les plateformes évaluées ont reçu des notes allant de 44% à 77%.

Portée de l’étude : la création de nouvelles obligations ?

Le LINC indique que son étude n'est pas strictement une analyse de conformité à la réglementation sur la protection des données, mais qu'il s'agit seulement d'observer la mise en œuvre (ou non) d'un ensemble de bonnes pratiques liées aux grands principes de la protection des données personnelles au-delà de la lettre des textes.

En effet, si certains critères d’évaluation sont indéniablement fondés sur la réglementation applicable, ce n’est pas le cas pour tous les critères d’évaluation. 

Nous avons relevé à titre d’exemples trois critères d’évaluation qui ne sont pas des obligations prescrites par le RGPD :

Critère d’évaluation n°1 : le LINC évalue tout d’abord si au moment de l’inscription de la personne sur la plateforme ou pour la création de son compte, un premier niveau d’information est fourni à l’utilisateur concernant son droit d’accès, et renvoyant vers une Politique de confidentialité plus complète. Or, le texte du RGPD n’impose pas qu’il y ait plusieurs niveaux d’information, à savoir une première notice courte renvoyant à une deuxième information plus complète. Mais il s’agit là d’une bonne pratique à laquelle la CNIL est très attachée depuis de nombreuses années, et qui est également préconisée au niveau européen par le CEPD dans ses lignes directrices sur le droit d’accès. Par conséquent, le service de la CNIL considère que tout responsable de traitement doit veiller à respecter ce double niveau d’information.

Le critère 1 ci-dessus s’appuie donc sur des lignes directrices du CEPD et de la CNIL. Cependant, les critères 2 et 16 suivants relèvent à notre avis d’une « création » du LINC.

Critère d’évaluation n°2 : Le LINC examine si une fois le compte créé par l’utilisateur il existe une courte notice d’information fournie sous un format archivable, mentionnant le droit d’accès et comportant un lien vers une Politique de confidentialité plus complète avec plus d’informations sur les modalités d’exercice du droit.

Or, selon l’article 13(1) du RGPD, les informations doivent être fournies « au moment » où les données en question sont obtenues, et non également ensuite, c’est-à-dire une fois que les données sont collectées. Le LINC s’appuie sur le paragraphe 11 des lignes directrices sur la transparence du CEPD qui rappelle que l’information doit être « aisément accessible ». Cependant dans ce même paragraphe 11, il est bien indiqué que l’information doit être fournie au point de collecte et non postérieurement : « Le G29 recommande à titre de bonne pratique que, dans un contexte en ligne, un lien vers la déclaration ou l’avis sur la protection de la vie privée soit fourni au point de collecte des données à caractère personnel, ou que ces informations soient consultables sur la même page que celle où les données à caractère personnel sont collectées ».

Le LINC va donc effectivement au-delà des obligations d’information attendues par les textes lorsqu’il considère qu’une information devrait être fournie aux personnes non seulement au moment de la collecte, mais également après la collecte de leurs données.

Critère d’évaluation n°16 : Selon ce critère le LINC examine si, même en cas d’absence de compte (par exemple, après la suppression d’un compte utilisateur), une modalité dédiée à l’exercice du droit d’accès est mise à disposition (par exemple un formulaire dédié à l’exercice du droit), en complément des coordonnées de contact du Délégué à la protection des données.

Pour ce critère, le LINC indique qu’il s’appuie sur le principe de transparence (article 12 du RGPD) - mais il s’agit là en réalité de sa propre interprétation de ce principe. 

On voit qu’au-delà des obligations légales, l’évaluation et la notation ont pris en compte non seulement les lignes directrices émises au niveau européen par le CEPD, mais également ce qui est considéré comme une « bonne pratique » par le LINC, en dehors de tout texte.

Si un organisme était saisi à l’avenir d’une plainte basée sur ces « bonnes pratiques », il pourra rappeler que cette étude « n’a pas pour objet de créer de nouvelles obligations ».

Quelles conséquences en cas de plaintes ou de contrôles ?

Ceci pose alors la question de la portée de cette évaluation. À plusieurs reprises, le LINC indique que son étude n’est pas « une analyse de conformité ». Cependant, il nous semble que la réception de cette étude pourrait avoir des conséquences très concrètes.

Outre les résultats de son étude, le LINC met à disposition sa grille d’évaluation complète dans un souci de « transparence » mais aussi de « reproductibilité ».

Ceci pose les questions suivantes : en observant de simples bonnes pratiques, le LINC a-t-il créé un nouveau standard pour le droit d’accès concernant les plateformes ? Qu’en est-il des autres sites à forte audience tels que certains sites de e-commerce, sont-ils aussi concernés par ces bonnes pratiques ?

La CNIL semble répondre par l’affirmative en indiquant aujourd’hui sur son site que « la grille d’analyse proposée par le LINC, la démarche suivie et les résultats […] pourront être adaptés pour participer à la diffusion de bonnes pratiques dans d’autres contextes que les réseaux sociaux ».

Revoir le parcours utilisateurs, l’information et l’exercice des droits

La publication de cette étude appelle donc à une grande prudence de la part des acteurs concernés. Elle invite les plateformes de réseaux sociaux et les autres sites à revoir avec attention leurs parcours clients, leurs procédures d’information des personnes et leur process de droit d’accès pour se prémunir contre d’éventuelles réclamations, plaintes ou contrôles à l’avenir.

Le LINC envisage de développer une méthodologie similaire pour l’exercice d’autres droits prévus par le RGPD : sachant que le droit de suppression est dans les priorités 2025 du CEPD, nous recommandons également d’être attentif à l’exercice de ce droit.