La plupart des sites web ne fonctionnent pas seuls. En coulisses, votre site s'appuie probablement sur une longue liste de services tiers : outils d'analyse, plateformes publicitaires, contenu intégré, widgets de chat, processeurs de paiement, etc.
Le défi ? Même un seul outil tiers peut introduire un suivi, un partage de données ou des transferts transfrontaliers de données qui créent des risques pour la confidentialité s'ils ne sont pas correctement divulgués ou gérés.
Dans cet article, je passe en revue les services tiers les plus couramment utilisés sur les sites web et les risques pour la confidentialité associés à chacun d'entre eux.
Vous découvrirez comment des outils tels que les analyses, les plateformes publicitaires, les intégrations et les services d'infrastructure peuvent influencer la collecte et le partage des données, et pourquoi ils constituent un élément essentiel de la confidentialité globale d'un site web.
Que sont les services tiers sur les sites Web ?
La notion de « tiers » varie selon les lois sur la protection de la vie privée. En vertu du RGPD, de nombreux sites web agissent en tant que sous-traitants pour le compte du propriétaire du site web.
En vertu des lois sur la protection de la vie privée telles que la California Consumer Privacy Act (CCPA), les outils utilisés sur les sites web peuvent être classés dans différentes catégories juridiques, en fonction de la manière dont ils traitent les informations personnelles.
Un prestataire de services est une entité qui traite des informations personnelles pour le compte d'une entreprise conformément à un contrat écrit assorti de restrictions spécifiques. Un tiers est une entité qui reçoit des informations personnelles à des fins commerciales propres.
Ces distinctions sont importantes car elles entraînent des obligations de divulgation et des droits d'utilisation différents.
Ces services sont généralement ajoutés aux sites web par le biais de scripts, de plugins, de balises, d'API ou de contenu intégré. Ils sont utilisés pour les fonctions suivantes :
- Hébergement web
- Analyse et suivi des performances
- Publicité
- Service clientèle
- Traitement des paiements
- Marketing par courrier électronique
- Optimisation de sites web
Étant donné que les fournisseurs externes exploitent des services tiers, ils peuvent collecter ou traiter les données des utilisateurs soit pour le compte du propriétaire du site web, soit, dans certains cas, à leurs propres fins, en fonction de la configuration du service, des conditions contractuelles et de la législation applicable dès lors qu'ils sont actifs sur un site.
Bon nombre de ces services peuvent se charger automatiquement lorsqu'un utilisateur visite votre site.
Selon leur configuration, ils peuvent collecter des données techniques, des identifiants en ligne ou des informations comportementales, parfois sans que les propriétaires de sites web aient une visibilité claire sur les données collectées, leur finalité ou leur destination.
Cela en fait un élément important de l'écosystème global des données d'un site web et un facteur clé dans l'évaluation des risques liés à la confidentialité et des obligations en matière de transparence.
Pourquoi les services tiers créent des risques pour la confidentialité
Les services tiers peuvent présenter des risques pour la confidentialité, car ils collectent ou traitent souvent les données des utilisateurs en dehors du contrôle direct du propriétaire du site web.
Une fois qu'un script, un plugin ou un élément intégré tiers est actif, il peut collecter des informations telles que :
… parfois avant même que l'utilisateur ne s'en rende compte.
Lorsque ces services ne sont pas correctement divulgués, les entreprises peuvent enfreindre les lois sur la protection de la vie privée.
Règlement général sur la protection des donnéesRGPD
Le RGPD exige des entreprises qu'elles disposent d'une base légale pour le traitement des données à caractère personnel en vertu de l'article 6, qui comprend :
- Consentement
- Nécessité contractuelle
- Obligation légale
- Intérêts vitaux
- Tâche publique
- Intérêts légitimes
Lorsque des services tiers font appel à des sous-traitants, les entreprises doivent également conclure avec ces derniers un accord de sous-traitance (DPA) qui satisfait aux exigences de l'article 28.
En vertu des articles 13 et 14, les entreprises doivent clairement informer les utilisateurs de la collecte de données par des tiers et, le cas échéant, obtenir leur consentement valide avant d'utiliser des cookies non essentiels ou des technologies de suivi similaires, telles que celles utilisées pour :
- Analytique,
- Publicité, ou
- Personnalisation
Sauf si une exemption restrictive s'applique en vertu des directives applicables.
Dans la pratique, de nombreux outils d'analyse, de publicité et de personnalisation nécessitent un consentement valide dans l'UE.
Il est également important de noter que lorsque des services tiers transfèrent des données à caractère personnel en dehors de l'UE/EEE ou du Royaume-Uni, des garanties supplémentaires sont requises en vertu du chapitre V RGPD.
Suite à la décision Schrems II, les entreprises doivent d'abord réaliser une analyse d'impact du transfert (AIT) afin d'évaluer si la protection des données dans le pays de destination est essentiellement équivalente aux normes de l'UE.
La TIA déterminera si des mesures supplémentaires sont nécessaires en plus des clauses contractuelles types communes, qui constituent une garantie pour les transferts internationaux.
Directive "vie privée et communications électroniques" (loi européenne sur les cookies)
La directive ePrivacy impose d'obtenir le consentement de l'utilisateur avant de stocker ou d'accéder à des informations sur son appareil, ce qui inclut de nombreux cookies tiers et technologies de suivi.
Cette exigence s'ajoute aux exigences RGPD mentionnées ci-dessus.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
La CCPA exige des entreprises qu'elles divulguent les catégories de tiers auxquels elles vendent ou communiquent des informations personnelles, les finalités de ces divulgations, qu'elles accordent les droits de refus requis, le cas échéant, et qu'elles expliquent comment ces données sont utilisées.
Les entreprises doivent également être en mesure de faire la distinction entre « vente » (divulgation en échange d'une contrepartie monétaire ou autre) et « partage » (divulgation à des fins de publicité comportementale inter-contextuelle). Les deux cas susmentionnés donnent droit à l'opt-out.
Bon nombre des outils publicitaires ou analytiques peuvent constituer une « vente » ou un « partage » au sens large de ces définitions, d'où la nécessité d'un lien « Ne pas vendre ou partager mes informations personnelles ».
Autres lois sur la protection de la vie privée dans les États américains
Des lois telles que la Virginia Consumer Data Protection Act (VCDPA) et la Colorado Privacy Act (CPA) exigent une notification claire du partage des données avec des tiers et la définition des finalités du traitement.
Au-delà des exigences en matière de divulgation, les services tiers peuvent également soulever des questions liées aux transferts internationaux de données, à la conservation des données et à la responsabilité des fournisseurs, en particulier lorsque plusieurs outils sont superposés sur un même site web.
Sans une visibilité et une documentation adéquates, même les services couramment utilisés peuvent accroître les risques juridiques et opérationnels.
Les services tiers les plus courants sur les sites web
Aujourd'hui, les sites web s'appuient sur un large éventail de services tiers pour fonctionner efficacement, mesurer leurs performances et susciter l'intérêt des utilisateurs.
Bien que ces outils apportent souvent une valeur ajoutée significative à l'entreprise, chaque type présente ses propres considérations en matière de confidentialité, en fonction de la manière dont les données sont collectées, partagées et traitées.
1. Analyse et suivi des performances
Les outils d'analyse et de suivi des performances aident les propriétaires de sites Web à comprendre comment les visiteurs trouvent et utilisent leurs sites.
Ils sont couramment utilisés pour mesurer les volumes de trafic, les pages vues, les parcours des utilisateurs, les taux de conversion et les performances globales du site. Ces informations peuvent éclairer les décisions en matière de conception, la stratégie de contenu et les efforts de marketing.
Les fournisseurs courants comprennent :
Étant donné que ces outils s'appuient souvent sur des cookies ou des technologies de suivi similaires et peuvent collecter des identifiants tels que des adresses IP ou des données relatives aux appareils, ils nécessitent généralement une divulgation claire et, dans certaines régions, le consentement de l'utilisateur.
Selon le fournisseur et la configuration, les outils d'analyse peuvent agir en tant que sous-traitants ou responsables du traitement indépendants.
Lorsque les données sont transférées en dehors de l'UE, les propriétaires de sites web doivent également évaluer les mécanismes de transfert international, tels que les décisions d'adéquation disponibles émises par la Commission européenne ou les garanties appropriées (par exemple, les clauses contractuelles types).
2. Réseaux publicitaires et de reciblage
Les réseaux publicitaires et de reciblage permettent aux entreprises de promouvoir leurs produits ou services, de suivre les performances de leurs campagnes et d'atteindre les utilisateurs sur différentes plateformes.
Ces outils sont utilisés pour afficher des publicités personnalisées en fonction du comportement de navigation ou des interactions précédentes.
Les fournisseurs courants comprennent :
En raison de leur dépendance au suivi comportemental, au profilage et au partage de données entre les écosystèmes publicitaires, ces services sont souvent soumis à des exigences plus strictes en matière de consentement et de désinscription.
3. Plugins et intégrations pour les réseaux sociaux
Les plugins de réseaux sociaux et le contenu intégré permettent aux sites web d'afficher des vidéos, des publications, des flux de commentaires ou des boutons de partage directement sur une page.
Ces fonctionnalités peuvent stimuler l'engagement et rendre le contenu plus interactif pour les visiteurs.
Les fournisseurs courants comprennent :
Même lorsque les utilisateurs ne cliquent pas ou n'interagissent pas avec le contenu intégré, ces outils peuvent tout de même charger des scripts tiers qui collectent automatiquement des données, ce qui peut soulever des questions de transparence ou présenter des risques pour la confidentialité, car :
- Les données sont transférées avant toute interaction de l'utilisateur ; ou
- Les utilisateurs peuvent ne pas être conscients que leurs données sont collectées ou traitées par des tiers.
Dans certains cas, les tribunaux et les autorités de réglementation ont conclu à l'existence d'un contrôle conjoint entre les exploitants de sites web et les plateformes de médias sociaux pour la collecte initiale de données par le biais de contenus intégrés.
4. Assistance clientèle et outils de chat
Les outils d'assistance à la clientèle et de chat permettent aux entreprises de communiquer avec les visiteurs en temps réel, de répondre à leurs questions et de leur fournir une assistance tout au long de leur parcours client.
Ils sont souvent utilisés sur les pages de vente, les écrans de paiement et les portails d'assistance.
Les fournisseurs courants comprennent :
Étant donné que ces outils peuvent collecter des informations personnelles et stocker l'historique des conversations, les entreprises doivent expliquer clairement comment les données issues des chats sont utilisées, stockées et partagées.
5. Services de paiement et de paiement en ligne
Les services de paiement et de caisse prennent en charge les transactions en ligne en traitant les paiements, en détectant les fraudes et en gérant les flux de facturation.
Ces outils sont indispensables pour les sites de commerce électronique et les entreprises proposant des abonnements.
Les fournisseurs courants comprennent :
Étant donné que ces services traitent des informations financières et d'identité sensibles, la transparence en matière de traitement des données et d'implication de tiers est particulièrement importante.
Outils de marketing par e-mail et de gestion de la relation client (CRM)
Les outils de marketing par e-mail et de gestion de la relation client (CRM) aident les entreprises à gérer leurs listes de contacts, à envoyer des campagnes marketing, à suivre l'engagement et à organiser les relations avec les clients au fil du temps.
Ces plateformes s'intègrent souvent à des sites web, des outils de commerce électronique et des services d'analyse.
Les fournisseurs courants comprennent :
Comme ces outils combinent souvent des données provenant de plusieurs sources, ils peuvent présenter des risques pour la vie privée liés au consentement, au profilage et à la conservation à long terme des données, tels que :
- En vertu RGPD, les communications marketing nécessitent généralement un consentement préalable (opt-in), avec des exceptions limitées pour les relations clients existantes (soft opt-in) ;
- En vertu de la loi CAN-SPAM (États-Unis), les courriels commerciaux doivent comporter des mécanismes de désabonnement et une identification précise de l'expéditeur.
- Le profilage et la segmentation peuvent déclencher les protections prévues à l'article 22 en matière de prise de décision automatisée ou les exigences en matière d'analyse d'impact relative à la protection des données (DPIA).
- Ces plateformes agrègent des données provenant de plusieurs sources (formulaires de sites Web, historique d'achats, intégrations tierces), ce qui nécessite une transparence totale sur toutes les sources de données.
- Les droits des personnes concernées (accès, suppression, portabilité, opposition) doivent être mis en œuvre, y compris la possibilité d'exporter ou de supprimer les données des abonnés.
7. Fournisseurs d'hébergement, de CDN et d'infrastructure
Les fournisseurs d'hébergement, de CDN et d'infrastructure constituent l'épine dorsale technique d'un site web. Ils assurent la disponibilité, les performances, la sécurité et la diffusion du contenu du site dans différentes régions.
Les fournisseurs courants comprennent :
Bien que ces services fonctionnent principalement au niveau des infrastructures, ils peuvent traiter régulièrement des données à caractère personnel telles que les adresses IP ou les journaux de serveur, ce qui peut soulever des questions en matière de divulgation et de transfert de données.
8. Outils d'expérience utilisateur, de tests A/B et de personnalisation
Les outils de test UX et de personnalisation aident les sites web à tester différentes mises en page, contenus et fonctionnalités afin d'améliorer l'expérience utilisateur et les taux de conversion.
Ils sont souvent utilisés pour comparer différentes versions d'une page ou pour adapter le contenu à des publics spécifiques.
Les fournisseurs courants comprennent :
Étant donné que ces outils peuvent suivre en détail les interactions des utilisateurs, telles que les clics, les défilements ou l'activité de session, ils nécessitent souvent une réflexion approfondie en matière de consentement et de divulgation.
Comment gérer les risques liés à la confidentialité des tiers sur votre site Web
Le recours à des services tiers est souvent inévitable, mais les outils non gérés peuvent rapidement augmenter les risques liés à la confidentialité.
La clé est de comprendre ce qui fonctionne sur votre site, quelles données ces services collectent et comment ces données sont divulguées et contrôlées.
Voici plusieurs mesures que les propriétaires de sites Web peuvent prendre pour mieux gérer les risques liés à la confidentialité des données tierces.
Auditez les services tiers présents sur votre site
Commencez par identifier tous les services tiers actifs sur votre site web, y compris les outils d'analyse, les réseaux publicitaires, les médias intégrés, les widgets de chat et les processeurs de paiement.
Certains services sont faciles à repérer, tandis que d'autres s'exécutent en arrière-plan via des scripts ou des plugins ajoutés au fil du temps.
Des outils tels que Analyseur de cookies Termly Analyseur de cookies vous aider à identifier les cookies et les technologies de suivi installés sur votre site.
Cela peut être particulièrement utile pour mettre en évidence les cookies dont vous ignorez peut-être l'existence, ce qui vous incitera à examiner de plus près les outils tiers ou les intégrations qui en sont responsables.
Comprendre quelles données chaque service collecte
Tous les outils tiers ne collectent pas les mêmes types de données.
Certains peuvent traiter uniquement des informations techniques, telles que les adresses IP, tandis que d'autres collectent des données comportementales, des préférences ou des détails sur les interactions.
L'examen de la documentation de chaque fournisseur peut aider à clarifier quelles données personnelles sont collectées, comment elles sont utilisées et si elles sont partagées ultérieurement.
Indiquez clairement les services tiers dans vos politiques
Les lois sur la protection de la vie privée exigent généralement des entreprises qu'elles expliquent comment elles collectent et partagent les données personnelles.
Votre politique de confidentialité doit clairement indiquer les catégories de prestataires de services tiers utilisés sur votre site web et décrire leurs objectifs.
L'utilisation d'un outil tel que Générateur de politique de confidentialité Termly Générateur de politique de confidentialité aider à garantir que ces divulgations sont clairement documentées et plus faciles à mettre à jour à mesure que les services tiers évoluent au fil du temps.
Recueillir et respecter le consentement des utilisateurs lorsque cela est nécessaire
Certains services tiers, notamment ceux utilisés à des fins d'analyse, de publicité et de personnalisation, peuvent nécessiter le consentement de l'utilisateur avant d'être activés.
La gestion du chargement de ces outils en fonction des choix des utilisateurs permet d'aligner la collecte de données sur les lois applicables en matière de confidentialité et les attentes des utilisateurs.
Examiner les accords avec les fournisseurs et les pratiques en matière de données
Les fournisseurs tiers ont souvent leurs propres conditions de traitement des données, périodes de conservation et pratiques de sécurité.
La révision des contrats avec les fournisseurs peut aider à clarifier les responsabilités, en particulier lorsque les services traitent des données à caractère personnel pour votre compte ou opèrent dans plusieurs juridictions.
Écrit par Hanna De La Garza
Hanna De La Garza est rédactrice spécialisée dans la protection de la vie privée chez Termly une licence en journalisme de l'université de Floride. Elle crée des ressources intéressantes sur la confidentialité des données, la gestion du consentement, les mises à jour réglementaires, etc.
Lire tous les articles de Hanna De La Garza
Révisé par Teodor Stanciu, CIPP/E, CIPM
Teodor Stanciu est coordinateur juridique et délégué à la protection des données. Il est titulaire d'une licence en droit de l'université de Bucarest et d'un master en droit européen et droit international des affaires de l'université Radboud.
Lire tous les articles révisés par Teodor Stanciu, CIPP/E, CIPM
