Vous lancez une startup ou vous bossez au service marketing d’une entreprise? Vous vous apprêtez à acheter des mots clés sur un moteur de recherche ou un réseau social? STOP!
Avant de cliquer OK, avez-vous prévenu le DPD ou le service juridique de l’entreprise?
« Diantre, mais pourquoi donc? je ne vais pas utiliser de nom propre » vous dites-vous.
Pas sûr. Et surtout, il y a toutes les chances que même sans accès direct aux données des internautes, votre employeur soit qualifié de « responsable de traitement » pour ces opérations.
Même sans accéder directement aux données, la CNIL estonienne (AKI, 10 mars 2023, n/a, n° 2.1.-1/23/2891-5) et le « DPD de la Commission européenne » (EDPS, 13 décembre 2024, n° 2023-1205) ont statué en ce sens, à propos des réseaux sociaux.
Ah, mais pas pour les moteurs de recherche, donc? Effectivement.
Mais sur ce dernier point, ne pas oublier que l’avocat général ayant conclu dans l’affaire Google Spain, en 2014, s’était opposé à ce que le géant américain soit qualifié de responsable de traitement.
Autrement dit, le bénéficiaire d’une campagne de mots-clés ciblant certains internautes traite indirectement leurs données, et donc endosse la responsabilité RGPD.
Impossible de tout arrêter?
Mais surtout n’arrêtez rien. Pensez juste à cadrer le traitement de données en résultant.
🗣️ Mon conseil ? Commencez par vérifier qu’il y a une fiche ad hoc dans votre registre des traitements, avant de vous assurer que les mots clés ne collecteront pas de données sensibles non désirées.
Un exemple? Mettons que vous soyez transporteur ferroviaire. Utiliser un point cardinal associé au terme « rail » fait surgir le risque de traiter des données relatives aux opinions syndicales.
Avez-vous eu à gérer de telles situations? Comment les avez-vous gérées ? Partagez vos RETEX en commentaires.
Besoin d’aide pour valider votre registre des traitements ? ou pour élaborer une politique de confidentialité? N’hésitez pas à me contacter.