OMR Reviews
en savoir plus"J'ai enfin trouvé un outil qui me permet d'intégrer des vidéos sur mon site web en conformité avec le RGPD et sans cookies supplémentaires."
Se préparer aux changements : guide d'action pour les opérateurs de sites web face aux turbulences du EU-US Privacy Framework (mise à jour)
La fin du EU-US Data Privacy Framework (accord de protection des données UE-États-Unis) sous Trump ? L'impact sur les sites web et ce que tu peux faire maintenant.
Une grande partie des sites web modernes repose sur des services qui viennent des États-Unis. Pour que tout cela fonctionne, il faut une base juridique, auparavant le Privacy Shield. Son successeur est le « EU-US Data Privacy Framework ».
Des failles apparaissent dès les premiers jours du mandat de Trump. Pourquoi devrais-tu t'en soucier ? Parce qu'il peut arriver très vite que l'une des parties annule l'accord, et que nous, en tant qu'entreprises, nous retrouvions dans une zone grise juridique en utilisant l'un de ces services.
Mise à jour du 21 février 2025
Dans la version originale de cet article datée du 24 janvier 2025, les premières failles de l'accord étaient mentionnées.
Depuis, l'administration du président Trump a révoqué les membres du Privacy and Civil Liberties Oversight Board (PCLOB), le comité de surveillance des libertés civiles.
Cela a conduit au non-respect des conditions de l'accord de protection des données entre l'UE et les États-Unis, ce qui contraint le Parlement européen à agir.
Cela pourrait bientôt signifier la fin officielle de l'accord de protection des données.
Prenons un peu de recul avant d'examiner les impacts sur les sites web et d'explorer ce qui peut être fait.
Les bases : le EU-US Data Privacy Framework
Le EU-US Data Privacy Framework est un accord juridique conçu pour transférer en toute sécurité les données personnelles de l'UE vers les États-Unis. Ses principales caractéristiques sont :
- Des garanties renforcées : De nouvelles exigences juridiques limitent la surveillance par les services de renseignement américains et garantissent que l'accès aux données de l'UE est nécessaire et proportionné.
- Voies de recours : Le Framework offre aux citoyens de l'UE des options élargies pour contester l'utilisation abusive de leurs données, y compris l'accès à un nouveau tribunal de recours.
- Surveillance et conformité : Le respect du Framework est régulièrement contrôlé par les autorités américaines et européennes, les entreprises étant tenues de s'auto-certifier et de divulguer leurs pratiques en matière de protection des données.
OK, et pourquoi a-t-on besoin de tout ça au juste ? « De manière générale, le droit européen interdit l'exportation de données personnelles en dehors de l'UE depuis 1995, sauf en cas de nécessité absolue (p. ex. lors de l'envoi d'un e-mail vers un pays hors UE) ou lorsque le pays tiers offre une protection « essentiellement équivalente » des données personnelles des Européens. » (Source : Noyb.eu)
Tu trouveras une description très détaillée de ce cadre chez Thomas Schwenke ici (en allemand !) ou bien sûr sur Wikipedia.
Le problème actuel
Concernant les problèmes liés à l'accord, Max Schrems a commenté : « Cet accord a toujours été construit sur du sable, mais le lobby des entreprises européennes et la Commission européenne le voulaient quand même. Au lieu de limitations juridiques stables, l'UE a accepté des promesses de l'exécutif qui peuvent être annulées en quelques secondes. Maintenant que les premières vagues Trump frappent cet accord, il pourrait bientôt se dissoudre en quelques secondes et plonger de nombreuses entreprises européennes dans un vide juridique. [...] » (Source : Noyb.eu)
Pourquoi ça te concerne ? ... ou ce que ça signifie pour ton propre site web.
Dès que l'accord s'effondre, tu te retrouves dans une zone grise juridique avec tous les services qui reposent sur cet accord. Au final, cela inclut tout ce qui passe par les États-Unis. Vérification rapide pour toi : ouvre la politique de confidentialité de ton site web et cherche « Data Privacy Framework ». Tout ce qui apparaît est sur ta liste de problèmes potentiels.
Par exemple : Vimeo, Webflow, Cloudflare, WhatsApp, Google Tag Manager, Google Analytics, Google reCAPTCHA, YouTube, Facebook Pixel, Calendly... merde !!
Tu peux aussi visiter des sites web et cliquer sur « Refuser » dans la bannière de cookies. Une grande partie de ce qui disparaît alors est concernée, et comme tu peux le voir dans la liste, cela inclut aussi des choses que toi en tant que visiteur tu ne vois pas.
Tu peux aussi consulter la liste ici : https://www.dataprivacyframework.gov/list
Si tu parcours la liste, tu réaliseras vite qu'un site web n'est qu'une petite partie du problème. Le framework régule une grande partie de notre vie quotidienne et de notre travail sur internet.
Que faire en tant qu'opérateur de site web ?
OK, remplacer Webflow comme base d'un site web du jour au lendemain, c'est difficile voire impossible. Ton délégué à la protection des données peut commencer par une « analyse d'impact relative à la protection des données », mais tu peux passer la liste en revue et chercher des alternatives dans l'UE pour tout le reste.
Auditer et ajuster tes outils
- Évalue la nécessité de chaque logiciel : peux-tu te passer de Google Analytics à long terme et utiliser des alternatives respectueuses de la vie privée depuis l'UE ? (Oui, ça existe, p. ex. SimpleAnalytics)
- Hosting local : intègre les scripts et fichiers directement sur ton site web au lieu de les charger depuis des sources externes.
- Réduis les outils marketing : minimise le nombre d'outils qui collectent les données des utilisateurs. Réfléchis à ce dont tu as vraiment besoin et à ce qui n'est que du superflu.
Remplacement des contenus intégrés
- Remplace les contenus comme les cartes et les vidéos par des alternatives respectueuses de la vie privée.
- Cartes : Demande-toi si les cartes interactives sont vraiment nécessaires ou si un simple lien suffit. Soyons honnêtes, la carte Google Maps sur ton site n'a jamais été vraiment utilisable.
- Vidéos : Supprime les plateformes comme YouTube et Vimeo et envisage des alternatives d'hébergement vidéo privacy-first qui fonctionnent sans tracking ni consentement. (INDICE : on en connaît une. Nous !)
- Polices et Captchas : héberge Google Fonts en local et utilise des alternatives à reCAPTCHA comme Friendly Captcha.
Choisis de nouveaux prestataires dans l'UE
Sélectionne de nouveaux prestataires dans l'UE pour résoudre le problème de manière définitive. Tous ces accords sont une saga sans fin.
Mais franchement, c'est aussi un win-win pour les visiteurs de ton site. Parce qu'une grande partie de cette liste ne fonctionne actuellement que si tes visiteurs cliquent sur « Accepter » dans la bannière de cookies. Parfois, pour tous les autres, il ne reste qu'un squelette disgracieux de site web. (voir l'image ci-dessus)
Pourquoi ça nous concerne ?
Jette un œil à notre mission. Le web est cassé. Les bannières de cookies, les technologies invasives, des frameworks aussi compliqués ont détruit l'expérience utilisateur et fait régresser les sites web modernes.
Au lieu de traîner à nouveau dans une zone grise juridique en espérant qu'un tel accord tienne le coup, et si on résolvait le problème tout simplement ? Pour les sites web, c'est possible uniquement si protection des données et expérience utilisateur sont pensées ensemble. C'est ce qu'on a fait pour l'hébergement vidéo en développant Ignite. C'est la seule solution qui diffuse des vidéos sans cookie et sans consentement, conforme RGPD, sans dépendre de ces frameworks et sans compromettre les performances de ton site.
Nous sommes convaincus qu'il faut plus de solutions de l'UE pour l'UE.
