RGPD

QWANT : La CNIL rappelle ses obligations sur le traitement des données personnelles

La protection des données personnelles est devenue un enjeu crucial à l'ère numérique, où chaque interaction en ligne génère une multitude d'informations susceptibles d'être exploitées. Le cas de QWANT, moteur de recherche français, est exemplaire des défis que rencontrent les entreprises dans le re

Sommaire
Organiser un échange

Temps de lecture :

6 min

La protection des données personnelles est devenue un enjeu crucial à l'ère numérique, où chaque interaction en ligne génère une multitude d'informations susceptibles d'être exploitées. Le cas de QWANT, moteur de recherche français, est exemplaire des défis que rencontrent les entreprises dans le respect de la réglementation sur la protection des données. En effet, la CNIL, autorité de régulation en France, a récemment rappelé à QWANT ses obligations légales concernant le traitement des données personnelles, en soulignant l'importance d'une transparence totale vis-à-vis des utilisateurs. Cette situation soulève des questions fondamentales sur la distinction entre données anonymisées et données personnelles, ainsi que sur les responsabilités des entreprises face à la réglementation RGPD. Dans cet article, nous explorerons le cadre législatif entourant QWANT, les raisons pour lesquelles la CNIL classifie ses données comme personnelles, les changements apportés à la politique de confidentialité de l'entreprise, ainsi que les implications du rappel aux obligations légales prononcé par la CNIL.

Si vous souhaitez avoir recours à un avocat en droit des données personnelles, contactez-moi !

Pourquoi la CNIL considère-t-elle les données de QWANT comme des données personnelles ?

La question de la classification des données traitées par QWANT a été au cœur des analyses menées par la CNIL. En 2019, la CNIL a été confrontée à une plainte affirmant que les informations collectées par QWANT n'étaient pas anonymes mais constituaient plutôt des données à caractère personnel, soumises ainsi à la réglementation RGPD. En effet, même si QWANT prétendait faire usage de techniques d'anonymisation, la CNIL a jugé que les méthodes mises en œuvre ne garantissaient pas l'absence de réidentification des utilisateurs. Ce constat repose sur l'idée que les données, comme les adresses IP, même tronquées ou hachées, peuvent encore permettre des liens indirects avec des individus.

Cette analyse a conduit à une clarification essentielle : contrairement à ce qu'assert QWANT, les informations techniques transmises à MICROSOFT pour afficher des publicités contextuelles et réaliser d'autres opérations marketing, sont considérées comme des données personnelles. En effet, la CNIL souligne qu'une simple pseudonymisation ne peut suffire à écarter la qualification de données personnelles, notamment lorsque les informations peuvent être recoupées avec d'autres données disponibles. Ainsi, QWANT devait se conformer à ses obligations d'information et de transparence vis-à-vis des utilisateurs, une exigence primordiale du RGPD. Ce discours de la CNIL rappelle l'importance cruciale de la réglementation sur les données personnelles et invite les entreprises à être vigilant quant à la nature des données qu'elles collectent et traitent. À présent, nous allons examiner les modifications apportées par QWANT à sa politique de confidentialité suite à cette mise en lumière par la CNIL.

Echangeons sur votre besoin pendant 15 min !

Quelles modifications QWANT a-t-elle apportées à sa politique de confidentialité suite aux conclusions de la CNIL ?

L'évolution de la politique de confidentialité de QWANT suite aux observations émises par la CNIL en 2019 témoigne d'une volonté d'adaptation face aux exigences réglementaires. En réponse à la requalification de ses données par l'autorité, QWANT a effectué des modifications significatives de sa politique de confidentialité en 2020. Ces ajustements avaient pour objectif principal d’assurer une conformité stricte avec le RGPD et d’informer de manière transparente les utilisateurs concernant le traitement de leurs données personnelles. Dans un premier temps, la société a introduit un terme plus approprié, qualifiant les données transmises à MICROSOFT de "pseudonymes". Cette nuance est essentielle car elle indique une prise de responsabilité concernant la nature des données traitées et souligne le fait qu’une anonymisation réelle n’était pas en place. Cette modification a permis à QWANT de répondre en partie aux critiques formulées par la CNIL concernant les risques de réidentification des utilisateurs.

D'autre part, QWANT a également explicité la finalité publicitaire de la transmission des données à MICROSOFT, ainsi que la base légale justifiant ce traitement. Ces précisions ont renforcé la transparence exigée par la réglementation sur la protection des données. Les utilisateurs peuvent désormais mieux comprendre comment leurs données sont exploitée, notamment dans le cadre de la publicité contextuelle qui est moins intrusive comparée à la publicité comportementale. Ce changement de cap montre également que la société entendait respecter pleinement ses obligations d'information, prévues par les articles 12 et 13 du RGPD. Enfin, pour renforcer la cohérence et l'uniformité des informations communiquées à l’international, QWANT a veillé à ce que sa politique de confidentialité soit mise à jour dans toutes les langues disponibles. Cela témoigne d'une volonté d'harmoniser le niveau d'information fourni aux utilisateurs sur les différents marchés où QWANT est présent. À travers ces modifications, QWANT a clairement signalé son engagement à respecter le cadre législatif en matière de données personnelles et à rectifier la perception antérieure de sa politique de confidentialité. Cette initiative de transparence est un pas dans la bonne direction pour regagner la confiance des utilisateurs.

Je veux des documents juridiques fiables !

Quelle est la nature du rappel aux obligations légales prononcé par la CNIL et quelles en sont les implications pour QWANT ?

Cette mesure, bien que non punitive, souligne la nécessité pour la société de respecter les cadres législatifs en vigueur, en particulier le RGPD. Le rappel aux obligations légales implique pour QWANT des ajustements immédiats et à long terme dans sa gestion des données. Cela suppose que la société doit veiller à ce que la politique de confidentialité soit non seulement claire et précise, mais également qu’elle reflète fidèlement les pratiques de traitement des données. Les obligations d’information, comme stipulé dans les articles 12 et 13 du RGPD, restent primordiales. Cela signifie que QWANT doit fournir aux utilisateurs des informations complètes sur la nature des données collectées, les finalités de leur traitement et les droits des utilisateurs.

Un autre aspect à considérer est la bonne foi de QWANT dans cette affaire. Bien que des erreurs d’interprétation quant à la qualification des données aient entraîné des manquements, la CNIL a reconnu les efforts déployés par QWANT pour mettre en œuvre des mesures techniques visant à réduire le risque de réidentification. Ce facteur de bonne volonté a permis à la société d’éviter des sanctions plus sévères, comme une amende. Cependant, cela n’exclut pas la nécessité d’un développement continu de la politique de confidentialité pour aligner ses pratiques au regard du respect des normes juridiques. La CNIL, en tant qu’autorité de contrôle, reste vigilante sur la conformité des entreprises en matière de protection des données.

Le cas de QWANT montre que des ajustements administratifs peuvent être entrepris pour prévenir les violations potentielles, tout en offrant une chance de redressement aux sociétés qui coopèrent avec les autorités. Dans ce contexte, QWANT doit désormais établir un dialogue continu avec la CNIL pour garantir que ses pratiques puissent évoluer dans un cadre respectueux des droits des utilisateurs. Alors que QWANT s’engage à renforcer ses pratiques en matière de respect des données personnelles, il est essentiel de rester attentif aux réactions des utilisateurs vis-à-vis de ces changements et de la transparence des informations fournies. Les défis entourant la gestion des données personnelles demeurent complexes, et les entreprises doivent naviguer prudemment dans ce domaine en constante évolution.

Pour plus d’informations, veuillez consulter l’article de la CNIL : https://www.cnil.fr/fr/qwant-cnil-traitement-des-donnees-personnelles-rappel-obligations-legales.

Pour aller plus loin

Pourquoi la CNIL a-t-elle rappelé Qwant à ses obligations ?

À la suite d'une plainte, la CNIL a estimé que les données traitées par Qwant constituaient des données personnelles soumises au RGPD, et non des données réellement anonymes. Elle a rappelé au moteur de recherche ses obligations d'information et de transparence vis-à-vis des utilisateurs, exigence centrale du RGPD.

Quelle différence entre données anonymisées et données personnelles ?

Des données anonymisées ne permettent plus, par aucun moyen raisonnable, de réidentifier une personne. Si une réidentification reste possible, même indirecte, les données demeurent personnelles et soumises au RGPD. La frontière est exigeante : une anonymisation incomplète ne suffit pas à écarter la qualification de données personnelles.

Pourquoi des données pseudonymisées restent-elles des données personnelles ?

La pseudonymisation réduit le risque mais ne supprime pas la possibilité de réidentification. Des données comme des adresses IP, même tronquées ou hachées, peuvent encore être recoupées avec d'autres informations pour relier à une personne. La CNIL considère donc que la simple pseudonymisation ne suffit pas à écarter la qualification de données personnelles.

Une adresse IP est-elle une donnée personnelle ?

Oui, en principe. Même tronquée ou hachée, une adresse IP peut permettre des liens indirects avec une personne, notamment par recoupement. Elle est donc généralement qualifiée de donnée personnelle et soumise au RGPD. Cette qualification impose information, base légale et respect des droits des personnes concernées.

Quelles obligations de transparence impose le RGPD ?

Le RGPD impose d'informer clairement les personnes sur les données collectées, les finalités, les destinataires et leurs droits. Dans l'affaire Qwant, la CNIL a souligné que la transmission de données techniques à un partenaire à des fins publicitaires devait être transparente. L'information loyale et accessible est une exigence fondamentale du règlement.

Que doit faire une entreprise après un rappel aux obligations de la CNIL ?

Elle doit corriger les manquements identifiés : clarifier sa politique de confidentialité, qualifier correctement ses données, informer loyalement les utilisateurs et sécuriser ses traitements. Qwant a ainsi modifié sa politique de confidentialité. Un rappel à l'ordre, s'il n'est pas une sanction, impose une mise en conformité effective et documentée.

Le recoupement de données influence-t-il leur qualification ?

Oui. Des données qui semblent anonymes peuvent redevenir personnelles si elles peuvent être recoupées avec d'autres informations disponibles pour identifier une personne. La CNIL apprécie le risque de réidentification de façon globale. Ce critère du recoupement est déterminant pour qualifier une donnée et déclencher l'application du RGPD.

Comment sécuriser la conformité RGPD de ses traitements ?

Il faut qualifier correctement les données traitées, vérifier l'efficacité réelle des techniques d'anonymisation, informer loyalement les utilisateurs et documenter la conformité. L'affaire Qwant montre qu'une anonymisation insuffisante expose à un rappel de la CNIL. Un accompagnement juridique aide à sécuriser ces qualifications et à éviter les manquements à la transparence.

Vous avez encore des questions ?

Notre équipe est à disposition !

Une question ?

Vos informations restent strictement confidentielles.
Merci ! Nous revenons vers vous rapidement. Si vous souhaitez accélérer les choses, organisez un temps avec moi directement ici :
Organiser 15 minutes d'échange
Oops! Something went wrong while submitting the form.
Homme en costume bleu foncé avec cravate et pochette blanche, bras croisés, regardant vers l'avant.

Ressources

Aller plus loin

00
article(s) affiché(s) sur
00

9 min

Contentieux e-commerce : comment prévenir et gérer efficacement les litiges avec vos clients ?
Dans l'univers du e-commerce, même les entreprises les plus rigoureuses peuvent se retrouver confrontées à des contentieux commerciaux. Retards de livraison, produits endommagés, contestations de paiement ou malentendus sur les caractéristiques d'un article — les sources potentielles de conflit sont

12 min

Logiciels développés en interne : enjeux de propriété intellectuelle et protection juridique
Le développement de logiciels en interne soulève des questions juridiques complexes en matière de propriété intellectuelle.

5 min

Avocat pour le droit applicable aux jeux en ligne - Romain Mirabile
Le droit applicable aux jeux en ligne est complexe et a des sources variées, un avocat peut vous aider à comprendre la réglementation.

2 min

Litige sur les noms de domaine : Entre amiable et judiciaire
Le litige sur les noms de domaine offre des options entre amiable et judiciaire. Naviguer à travers les litiges de nom de domaine demande donc une compréhension claire des options amiables et judiciaires disponibles. Voici comment aborder ces situations délicates pour défendre votre espace numérique

2 min

Comment rédiger un accord de sous-traitance RGPD avec un prestataire informatique
Le RGPD ajoute des obligations pour les sous-traitants RGPD prestataire informatique et les responsables de traitement. Ces règles augmentent la prise de conscience des responsabilités en sous-traitance. Les sous-traitants développent des clauses contractuelles types pour s'y conformer.

4 min

Pénalités logistiques : comment les contester efficacement ?
Comment contester efficacement les pénalités logistiques appliquées par les distributeurs aux fournisseurs en cas de manquements contractuels ?
Prendre rendez-vous
📞  Organiser un 1er échange