RGPD et SEO / SEA : première partie

Ecrit par
le

Le RGPD (le Règlement Général sur la Protection des Données) entre en vigueur le 25 mai. Il s’agit d’un texte fixant de nombreuses contraintes nouvelles pour toutes les activités traitant des données personnelles et en particulier pour les propriétaires de sites web.
Au cours des dernières semaines nous avons pu observer à quel point le travail de mise en conformité chez nos clients engendrait une grande perplexité, de nombreuses questions, et parfois même le déclenchement de mesures absurdes.
Il faut dire que le texte est touffu, rédigé dans un langage juridique qui n’est pas celui pratiqué au quotidien par les praticiens / techniciens, et qu’il fixe des principes ayant de nombreux impacts pratiques qui ne sont pas clairement précisés dans le document.  Bref, cela donne lieu parfois à plusieurs interprétations et certains sujets ne sont pas clairement tranchés.
Néanmoins, s’agissant de l’activité Search, les mesures à prendre et l’impact sont clairs, et il nous a paru utile de résumer dans un dossier en trois parties tout ce qu’il faut savoir sur l’impact du RGPD sur les pratiques liées au SEO ou au SEA.
Avertissement : notre métier c’est le conseil sur le SEO et le SEA, nous ne sommes pas avocats. L’ambition de ce document est de donner des conseils pratiques pour vous mettre en conformité sur les sujets qui sont dans notre périmètre habituel de travail. Et de rendre accessible un sujet complexe. Cet article ne couvre pas tous les sujets impactés par le RGPD, et nous invitons à vous référer le site de la CNIL sur le sujet pour vous informer sur l’intégralité des mesures à prendre dans le cadre du RGPD
Même en limitant l’analyse à l’activité Search, traiter l’impact du RGPD ne peut pas se faire en 3 lignes.
C’est pourquoi nous avons décidé de traiter ce sujet dans un dossier décomposé en 3 parties :

  • La première partie traitera des grands principes à respecter et des aspects liés au SEO.
  • Le prochain article traitera de l’impact pour les campagnes payantes (publication le 25 mai)
  • La troisième partie traitera du problème du tracking, des tags managers et de l’impact sur le web analytics (publication le 25 mai)

RGPD et Search : les grands principes

Le Réglement Général de Protection des Données (RGPD) traite essentiellement des règles de collecte, de traitement, et de conservation des données personnelles.
Bien comprendre cette notion de « données personnelles » est essentielle pour ne pas faire n’importe quoi et se mettre en infraction (ou prendre des mesures inutiles quand vous traitez des données qui ne sont pas « personnelles »).
Une donnée personnelle est une information qui est rattachable à un individu identifiable. Il s’agit bien sûr d’informations comme le nom et le prénom ou l’adresse d’un individu. Mais son adresse IP, l’adresse MAC de la machine qu’il utilise, certains types de cookies, des coordonnées GPS, et d’une manière générale, tout identifiant qui permet de rattacher des données à une personne physique constitue des données personnelles. Il s’agit donc d’une notion beaucoup plus large que ce que certains pensent.
Voici la définition officielle donnée par le texte :
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Ensuite, le RGPD fixe des principes quant à la collecte, au traitement et à la conservation des données personnelles :

  • légitimité, honnêteté et transparence : la collecte de données personnelles doit être justifiée pour le bon fonctionnement d’un service, avoir un but licite, l’utilisateur doit avoir consenti au traitement et avoir été informé de la collecte et du traitement qui sera fait des données
  • limitation du traitement : seul les traitements utiles à l’objectif déclaré lors de la collecte des données doivent être effectués.
  • minimisation des données : seules les données utiles à l’objectif des futurs traitements doivent être collectées. Dans la pratique, pour une commande sur un site en ligne, collecter l’adresse de livraison est légitime. Demander la profession ou les revenus annuels ne l’est pas !
  • exactitude : les données conservées doivent être exactes, et peuvent être rectifiées en cas d’erreur
  • limitation du stockage : les données ne doivent pas être conservées plus longtemps que le temps nécessaire pour les futures utilisations
  • sécurité et protection des données : les données personnelle sont sensibles, et leur protection contre le piratage doit être assurée par des mesures appropriées.

Le texte introduit également un certain nombre de notions clés :

  • Le principe de consentement : le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant devra être explicite et « positif »
  • des droits renforcés :
    • droit d’accès à ses données personnelles
    • droit à l’oubli
    • droit à la limitation des traitements
    • droit à la portabilité des données
  • le principe de responsabilité (accountability) : le RGPD crée une l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Pour en savoir plus sur le périmètre couvert par le RGPD, je vous invite à vous référer sur l’article que nous avions publié en décembre 2017 sur ce sujet.

Un impact faible pour le SEO, mais attention aux exceptions

Soyons clairs, l’impact du RGPD sur les activités liées au SEO est pratiquement nul. En effet, aucune des méthodes d’optimisation classiques ne requiert la collecte ou le traitement de données personnelles.
Mais cela ne veut pas dire qu’un expert SEO (en agence ou in house) ne sera pas concerné par le RGPD, car il peut être amené à utiliser des outils ou des bases de données, qui, elles, contiennent des données personnelles.

Le cas particulier des logs serveurs

Il est assez classique d’utiliser les logs serveurs pour auditer le comportement des bots ou les visites en provenance des moteurs de recherche.
Par défaut, nombre de formats de logs incluent l’adresse IP dans les informations enregistrées. Attention, l’adresse IP est une donnée personnelle, ce qui signifie qu’utiliser de tels logs entre dans le périmètre du RGPD, avec tout ce que cela implique. Si vous travaillez en agence : ne croyez pas que c’est le seul problème du client. Dès que l’on vous confie des données personnelles, vous devez vous conformer à toutes les règles définies par le RGPD, y compris faire signer au client un document dans lequel il vous confirme la licéité de la collecte. Et il est probable qu’il vous demande de vous engager à respecter les règles du RGPD par contrat.
Mais puisque vous n’avez probablement pas besoin des données personnelles contenues dans les logs pour travailler, que pouvez-vous faire pour éviter de vous lancer dans des process compliqués ?
Vous pouvez demander à vos clients de vous remettre :
– soit des logs anonymisés (en clair, sans la colonne contenant l’adresse IP, ou tout autre identifiant personnel). C’est techniquement assez facile à faire. Notez que supprimer le dernier octet, ou mieux les deux derniers octets d’une IP suffit à faire perdre à l’IP son caractère de donnée personnelle
– soit des logs pseudonymisés (dans ce cas, l’adresse IP est remplacé par un identifiant unique, mais qui n’est pas rattachable à une vraie personne physique)
La première méthode est radicale, la seconde permet d’analyser des sessions, mais nécessite de bien sécuriser tout outil ou base qui permettrait de rattacher à nouveau le résultat du traitement avec l’adresse IP d’origine.
Une fois les données anonymisées ou pseudonymisées de façon appropriée, ce ne sont plus des données personnelles et vous pouvez continuer à travailler comme d’habitude.
Mais attention aux fichiers de logs que vous avez archivés : le RGPD s’applique à eux dès le 25 mai, même s’ils datent de… 2001. Le plus simple est de détruire les fichiers devenus inutiles avec le temps, et pour ceux dont vous risquez d’avoir besoin dans les mois qui viennent, il faudra les anonymiser ou pseudonymiser vous mêmes.

Quid des données de la Google Search Console  

Ce ne sont pas des données personnelles, et vous pouvez continuer à les utiliser comme bon vous semble.
Et pour les données de web analytics ?
Nous traiterons ce sujet en détail dans le 3e article du dossier, mais pour les usages SEO, les données web analytics posent les mêmes problèmes que pour les logs.
Soit les données collectées ne comportent pas de données personnelles (utilisation standard de Google Analytics) : alors vous pouvez continuer à utiliser toutes les données accessibles via ces outils normalement.
Si les données collectées comportent des données personnelles (identifiants, IP, géolocalisations etc.) alors elles sont concernées par le RGPD. Vous devez donc vous préoccuper de la licéité de leur collecte et de leur conservation.
Là aussi, vous pouvez demander à n’avoir accès qu’à des rapports contenant des données agrégées, ce qui évitera d’être obligé de vous préoccuper de la sécurité, de l’exactitude, de la conservation des données etc.

RGPD : faut il obligatoirement passer en SSL ?

Le RGPD n’exige pas explicitement le passage des sites internet au protocole sécurisé SSL, mais il est clair que les exigences en matière de sécurisation et de protection des données personnelles impliquent l’utilisation de protocoles sécurisés dans toutes les phases de tracking, de remplissage de formulaires ou d’échanges d’information avec des cookies (propriétaires ou tiers). Bref sur toutes les pages d’un site dans la pratique. Ne pas le faire pourrait engager la responsabilité de l’éditeur d’un site selon le principe d’accountability

La conformité au RGPD peut-il avoir des conséquences sur mon SEO ?

En principe non, car ce n’est pas un critère de classement. Basculer en protocole SSL donne un mini boost théorique.
Par contre, méfiez-vous des modifications faites à la va-vite. Certains de nos clients ont prévu des popups pour permettre de recueillir le consentement des utilisateurs à partir du 25 mai : vérifiez-bien que, techniquement, ces nouvelles fonctionnalités ne soient pas confondues avec des publicités intrusives, qu’elles ne bloquent pas l’accès au contenu pour les bots etc.
Prochain article : impact du RGPD sur les campagnes payantes : Adwords, Display, Youtube
Le texte du RGPD