Le recueil de consentement de l’internaute sur le dépôt des cookies est au cœur du débat quand il s’agit de conformité de vos données analytics. Quelques chiffres provenant d’une étude publiée (en mai dernier) par notre partenaire Empirik sont assez édifiants : 93% des sites web affichent un bandeau cookie ; 78 % déclenchent le tracking analytics avant même l’action de consentement par l’internaute ; et cerise sur le gâteau : 42 % des sites poursuivent le tracking alors même que l’internaute a exprimé un refus ! 

La CNIL a donc sifflé la fin de la récré et a durci le ton en préparant une nouvelle recommandation pour 2020. Plusieurs scenarios se dessinent pour être dans les clous au moment de l’application du texte. Explications. 

Précédemment dans la saga RGPD… 

La CNIL a infligé des amendes records pour non-conformité. Google a désormais une ardoise de 50 millions d’euros auprès de l’autorité française pour manque de transparence, infos peu claires, disséminées et difficilement accessibles pour les utilisateurs (parfois jusqu’à 5 clics pour trouver la bonne info). Le géant américain a notamment été épinglé pour violation des règles sur le consentement. Autre exemple avec une société immobilière condamnée à 400 000 euros d’amende pour non-respect de la durée de conservation des cookies. 

Les plaintes et sanctions se multiplient et mettent en lumière un chemin vers la conformité est encore long (pour certains). La CNIL est néanmoins prise en étau par les associations de défenses des internautes (Quadrature du net notamment) qui l’accusent de laxisme (en effet quand elle condamne Google, elle n’applique pas la règle des 4% de CA de sanction inscrite dans le RGDP) et de l’autre des groupements d’éditeurs/annonceurs (comme le GESTE) lui demandent de temporiser pour se laisser le temps d’adapter le business et se mettre en conformité… Pas simple. 

La CNIL contre-attaque 

Le gendarme français de la privacy a quand même annoncé de nouvelles lignes directrices en juillet dernier. L’objectif est de synthétiser le droit applicable afin qu’il soit mieux compris et respecté. Le champ d’application de la loi (par exemple : quelle est la définition précise d’un « traceur ») et les modalités du recueil de consentement sont explicités. 

Quelques nouveautés d’importance à retenir :

  • Fini le scroll : La poursuite de navigation (le scroll) n’est plus considérée comme une expression valide de consentement.
  • La preuve du consentement : Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.
  • Plus de renvoi vers les paramètres des navigateurs : ce ne sera plus une méthode de gestion du consentement. L’aspect du bandeau cookie et les modalités de recueil seront clairement définis dans la recommandation à venir.

Le projet recommandation «  cookie et autre autres traceurs  » a été publié le 14 janvier dernier. Elle a pour but de fixer les modalités pratiques de recueil du consentement. Une consultation publique avec les professionnels et la société civile a été lancée jusqu’au 25 février. A suivre…

Conformité des data analytics : les 2 scenarios possibles

Mise en situation : vous pilotez votre ou vos sites web grâce à votre solution analytics et, en tant que responsable de traitement, vous devez faire des choix (méthode de marquage, activation d’option, etc.) quant à la mise en conformité de votre pratique. Différents scenarios sont possibles.

Scenario 1 : le consentement. Vous devez recueillir le consentement de l’internaute : vous allez par exemple utiliser une solution du marché de type CMP (ou une solution personnalisée) qui se base sur la catégorisation des cookies ou sur un framework de l’IAB.

Les conséquences en termes de mesure analytics :

  • Le dépôt de cookie ne peut se faire qu’après l’action de consentement (en l’occurrence le clic sur le bouton d’acceptation).
  • Le fait de ne pas mesurer le trafic ante-clic peut potentiellement altérer vos analyses : volumétrie et taux de rebond erronés, parcours de navigation tronqués ou une rupture dans l’identification des sources. Sauf, si vous utilisez une méthode de réconciliation des données après consentement de l’internaute (en cookie 1st)

En résumé : vous pratiquez un web analytics plus avancé sur la part des utilisateurs ayant consentis au traitement de leurs données personnelles.

Scenario 2 : l’exemption. Vous choisissez d’être exempté du recueil de consentement : la CNIL permet une dispense sous certaines conditions (article 5 de la délibération CNIL du 4 juillet 2019).

Les conséquences sur la mesure analytics :

  • La mesure s’opère dès la première page de la visite. Vous disposez de données exhaustives reflétant la réalité du parcours de l’internaute.
  • Vous devez respecter plusieurs conditions imposées par la CNIL allant de l’impossibilité de faire des recoupements avec des data externes au respect de la durée de conservation. Plus d’infos.

En résumé : vous disposez d’analyses exhaustives sur l’ensemble de vos utilisateurs qui vous assurent une pratique web analytics non intrusive permettant de ne pas avoir à recueillir le consentement.

Les outils AT Internet de mise en conformité :

Le monde de l’analytics se divise donc en 2 catégories. Ceux qui choisissent de recueillir le consentement et les autres qui préfèrent l’exemption. Dans tous les cas, la CNIL impose des règles et il est de votre ressort d’activer certaines de ces options pour respecter le cadre légal. Rapprochez-vous de votre service juridique pour savoir vers quelle option vous orienter. AT Internet propose des méthodes et outils de mise en conformité dans les 2 cas de figure. Et pour avoir les idées encore plus claires, revoyez notre webinar :   

GDPR and CNIL compliance

Crédit photo : Chris Barbalis

Author

Responsable éditorial. Bernard est en charge de la stratégie de contenus pour AT Internet. Il possède une expérience de 10 ans dans le domaine du Content Marketing. Ses sujets de prédilection : le data marketing, les stratégies d'Inbound, la communication éditoriale web et les digital analytics.

Comments are closed.