Retour au blog
5 min de lectureprivacygdprcompliancedataarchitecture

La cible d'application de l'EDPB pour 2026 : votre politique de confidentialité

L'action coordonnée 2026 de l'EDPB audite la transparence au titre des articles 12 à 14 du RGPD. Le chemin le plus court : collecter si peu que la politique s'écrit toute seule.

Izac CavalheiroFounder

Depuis deux ans, la question coûteuse du RGPD se déplace. Les régulateurs ont d'abord vérifié si vous disposiez d'une base légale, puis si vous supprimiez les données dans les délais. Le 19 mars 2026, le Comité européen de la protection des données a orienté la prochaine campagne vers une troisième cible : votre politique de confidentialité dit-elle la vérité sur ce que vous collectez ?

Ce qu'audite l'action coordonnée 2026

Le Cadre d'application coordonnée (CEF) de l'EDPB consacre chaque année un thème commun à l'ensemble du bloc. L'action 2025 portait sur le droit à l'effacement. L'action 2026 — la cinquième — porte sur les obligations de transparence et d'information au titre des articles 12, 13 et 14 du RGPD.

Vingt-cinq autorités de protection des données y participent. Leur communiqué est direct sur la méthode : les APD participantes « contacteront prochainement des responsables de traitement de différents secteurs à travers l'Europe, soit par des actions d'application, soit par des exercices d'enquête ». Les conclusions sont regroupées dans un rapport consolidé de l'EDPB au second semestre 2026, avec « des suivis ciblés tant au niveau national qu'au niveau de l'UE ».

Il ne s'agit pas de lignes directrices. C'est une demande coordonnée de preuves que le document affiché sur votre site correspond aux données présentes dans votre base.

Ce que l'article 13 vous oblige réellement à divulguer

Le droit à l'information ne se satisfait pas d'un paragraphe disant « nous accordons de l'importance à votre vie privée ». L'article 13 — qui s'applique lorsque vous collectez les données directement auprès du visiteur — énumère ce qu'une politique doit indiquer au moment de la collecte :

  • L'identité et les coordonnées du responsable de traitement.
  • Les finalités du traitement et la base légale de chacune.
  • Les destinataires ou catégories de destinataires des données.
  • Tout transfert vers un pays tiers et les garanties qui l'encadrent.
  • La durée de conservation, ou les critères utilisés pour la déterminer.
  • Les droits de la personne concernée : accès, rectification, effacement, limitation, opposition, portabilité.
  • L'existence d'une prise de décision automatisée, y compris le profilage, avec une information utile sur la logique sous-jacente.

Chaque clause correspond à un fait concernant votre stack. Une politique n'est exacte que si chaque mention est vraie. C'est précisément ce que vérifie un exercice d'enquête — non pas si la politique existe, mais si elle décrit la réalité.

Pourquoi l'analytique de surveillance fragilise la politique

Passez une intégration analytique classique au crible de cette liste et les mentions se multiplient. Une balise comportementale dotée d'identifiants inter-sites signifie que vous avez des destinataires à nommer — le fournisseur, ses partenaires publicitaires, son réseau de mesure. Cela implique généralement un transfert vers un pays tiers à déclarer et à encadrer. Un identifiant stable qui suit un visiteur pendant des mois relève du profilage, ce qui fait entrer en jeu la clause de prise de décision automatisée. La durée de conservation est celle définie par défaut par le fournisseur, que vous devez désormais connaître et énoncer correctement.

Chacune de ces mentions est une phrase qui peut être fausse. La politique dérive dès que le fournisseur ajoute un sous-traitant, change de région ou allonge la conservation — et vous l'apprenez rarement. Sous un audit de transparence, une politique qui sous-estime les destinataires ou la conservation n'est pas une coquille. C'est l'infraction que le CEF est conçu pour faire émerger.

Une politique courte est la politique défendable

Le moyen le moins coûteux de réussir un audit de transparence est d'avoir peu à divulguer. C'est une propriété du modèle de données, pas une affaire de rédaction.

Un tracker sans cookie réduit la section analytique d'une politique au titre de l'article 13 à quelques lignes honnêtes. Il n'y a aucun destinataire tiers parce que rien n'est partagé. Il n'y a aucun profilage parce qu'aucun identifiant ne persiste. L'identité du visiteur est un hash quotidien à sens unique, calculé en mémoire au niveau de l'edge :

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

L'IP brute et le User-Agent ne servent qu'à calculer ce condensé et ne sont jamais écrits ; D1 stocke le hash, pas les entrées. Comme la date fait partie des entrées, le hash tourne à chaque minuit, si bien qu'il n'existe aucun profil inter-sessions à décrire. La conservation est une limite ferme et énonçable — les pages vues sont purgées après 730 jours — et non une valeur par défaut du fournisseur qu'il faut aller chercher.

La divulgation qui en résulte est courte parce que le traitement est réduit. Elle dit : nous comptons des pages vues agrégées, nous dérivons le pays et un type d'appareil approximatif au niveau de l'edge, nous ne partageons avec personne, nous ne construisons aucun profil et nous conservons les données pendant deux ans au maximum. Chaque clause est vérifiable face au schéma.

La moitié « article 30 » du même exercice

La transparence vis-à-vis du visiteur (articles 12 à 14) a un jumeau interne : le registre des activités de traitement de l'article 30, le document qu'une autorité réclame en premier. Il doit lister les finalités, les destinataires, les transferts et la conservation — les mêmes faits que la politique publique, mais du côté du responsable de traitement.

Lorsque les deux divergent, l'écart devient la conclusion de l'audit. Une stack qui ne stocke aucun identifiant personnel et ne partage rien maintient les deux documents alignés, parce qu'il n'y a presque rien à consigner de part et d'autre.

Une politique de confidentialité est une promesse sur votre modèle de données. La campagne 2026 vérifie si la promesse est vraie. La promesse la moins risquée est celle que vous pouvez tenir sans y penser — parce que vous n'avez jamais collecté ce qu'il vous faudrait sinon expliquer.

Sources

Related posts

5 min de lectureLaw & Regulation

Quand un Hash Est-il une Donnée à Caractère Personnel ? L'Arrêt SRB de la CJUE et l'Identité en Analytics

L'arrêt EDPS contre SRB de la CJUE a fait de l'identifiabilité un test relatif et contextuel. Voici ce que cela signifie pour l'analytics fondé sur le hachage — et pourquoi un hash salé qui tourne quotidiennement résiste à la fois à la lecture de la cour et à celle, plus stricte, du CEPD.

Lire la suite
5 min de lectureLaw & Regulation

La Limitation de Conservation Est la Nouvelle Ligne de Front de la Répression en 2026 pour l'Analytics

Les régulateurs ont cessé de demander si vous avez collecté les données licitement et demandent désormais quand vous les avez supprimées. Après l'amende de 42 M€ de la CNIL contre Free et le contrôle d'effacement de l'EDPB, la conservation des données d'analytics est la cible de l'audit.

Lire la suite
4 min de lectureLaw & Regulation

Le Digital Omnibus veut dispenser de consentement l'analytique first-party

Le Digital Omnibus de l'UE, de novembre 2025, propose de dispenser de consentement la mesure d'audience first-party à usage interne. Il décrit le modèle que l'analytique sans cookies exécute déjà.

Lire la suite

Comments

Loading comments…