Accéder au contenu
cutty.dev
All posts

Réducteur de liens et RGPD — ce que vous devez savoir avant d'insérer un lien dans une newsletter

Les réducteurs de liens collectent des données sur les clics — ce qui relève déjà du RGPD. Nous expliquons ce que le réducteur voit, où ces données sont stockées et pourquoi la localisation du serveur est importante lorsque vous opérez dans l'UE.

Un seul clic sur un lien raccourci, c'est en moyenne quatre données enregistrées en silence : adresse IP, navigateur, système, source d'entrée. Quatre. Maintenant, multipliez cela par les 3000 abonnés de votre newsletter qui cliquent sur le lien de votre offre le dimanche matin. Vous vous retrouvez soudainement avec une base de plusieurs milliers d'enregistrements que vous n'avez même jamais vus de vos propres yeux.

Et c'est exactement ce moment où le raccourcisseur de liens et le RGPD cessent d'être un problème juridique théorique pour les avocats, et commencent à être le vôtre.

Car une adresse IP au sein de l'Union est une donnée personnelle. Pas « presque », pas « dans certains cas ». Une donnée personnelle. Si vous insérez un lien raccourci dans une campagne d'entreprise, en tant qu'administrateur, vous êtes responsable de ce qui arrive à l'IP des personnes qui cliquent dessus.

Ce que le raccourcisseur voit réellement quand quelqu'un clique

La liste est plus courte qu'il n'y paraît, mais suffisamment dense :

  • IP du visiteur (c'est-à-dire la personne mentionnée ci-dessus),
  • user agent, c'est-à-dire le navigateur et le système,
  • referer — de quelle page provient l'entrée,
  • localisation approximative, calculée à partir de cette IP.

C'est suffisant pour obtenir de belles statistiques de clics. C'est aussi suffisant pour se retrouver avec des responsabilités auxquelles la plupart des gens ne pensent pas, en collant un lien rapidement avant l'envoi.

Où ces données atterrissent (et pourquoi c'est plus important que les statistiques elles-mêmes)

Voici l'accroche idéale. De nombreux réducteurs de liens connus sont des entreprises situées hors d'Europe, le plus souvent américaines. Vous cliquez sur « raccourcir », vous collez le lien de la newsletter, et les données indiquant qui, quand et d'où a cliqué traversent l'océan.

Deux problèmes, l'un après l'autre.

Premier : le transfert de données hors de l'UE nécessite une base juridique, et le terrain même de ce transfert peut être mouvant. Les réglementations ont déjà changé plusieurs fois et rien n'indique que ce soit la fin.

Deuxièmement : les données tombent sous un autre régime juridique. En tant que responsable de traitement européen, vous ne le contrôlez tout simplement pas. L'endroit où se trouve physiquement le serveur cesse d'être un détail ennuyeux de la documentation. Cela devient une décision sur votre conformité au RGPD ou non.

Ce qui réduit réellement le risque

Trois choses. Sans magie.

Serveur dans l'UE. Les données de clics ne sortent pas d'Europe, donc toute la question du transfert transatlantique est simplement écartée. Moins à traduire, moins à surveiller.

Moins de données collectées. Moins l'outil en conserve, moins vous avez de soucis à vous faire. C'est une bonne chose quand l'IP est hachée au lieu d'être stockée en clair — ainsi, vous voyez les statistiques, mais vous ne stockez pas l'adresse brute d'une personne spécifique. C'est précisément cette fonctionnalité que nous avons intégrée dans cutty.dev, car sans elle, tout le reste est incomplet.

Pas de suivi inter-services. Un bloqueur qui ne colle pas le profil du visiteur et ne revend pas les données plus loin, c'est un problème de moins sur la liste.

En pratique, c'est-à-dire quoi faire lundi matin

Il ne s'agit pas d'arrêter de raccourcir les liens. Raccourcissez. Il s'agit seulement de choisir l'outil de manière consciente, et non le premier venu dans un moteur de recherche.

  1. Vérifiez où se trouve le serveur et qui le gère exactement.
  2. Vérifiez ce qu'il stocke et pendant combien de temps.
  3. Si vous collectez des données sur les visiteurs, ajoutez un réducteur de liens à votre politique de confidentialité. Une seule phrase. Ça ne fait vraiment pas mal.

Et c'est tout. Ceci ne constitue pas un conseil juridique (je ne suis pas votre avocat), mais c'est le fondement sur lequel la conformité se construit beaucoup plus facilement que lorsque les données s'échappent de l'autre côté de l'océan dès le premier clic.

Et si vous ne deviez retenir qu'une seule phrase : avant de partager un lien vers votre newsletter, vérifiez où l'IP de vos lecteurs va atterrir. C'est une question préventive qui vous épargnera bien des nerfs par la suite.