ePrivacy, Exemption, Consentement : tout ce que vous devez savoir !
La semaine dernière, notre expert Data Marketing & Data Protection Officer certifié AFNOR, Guillaume Sinnaeve, intervenait aux côtés de Louis-Marie Guérif, Group DPO & Digital Sobriety Specialist chez Piano, Clémence Scottez, Privacy Consultante chez Privacy Strategy Consulting et Romain Bessuges-Meusy, CEO chez Axeptio, sur la thématique ePrivacy, Exemption, Consentement : tout ce que vous devez savoir !
L’objectif de ce webinar était de s’interroger sur les stratégies de gouvernance des données, sur les exigences légales et sur l’élaboration d’une stratégie de données first party qui fonctionne pour répondre à vos enjeux marketing. Alors que les réglementations sur la confidentialité des données deviennent plus strictes et que l’avenir des cookies tiers est menacé, il est plus important que jamais pour les entreprises de se tourner vers les données first party (cookie propriétaire) qui deviennent essentielles pour l’engagement et la relation avec ses utilisateurs.
Un contexte juridique à éclaircir
Les notions de traceurs et de suivi des internautes (tracking)
D’un point de vue juridique, la notion de traceur n’est pas toujours comprise au sein des entreprises. Selon la CNIL, le traceur est défini, d’un point de vue technique, comme “toute opération tendant à accéder à des informations ou à inscrire des informations dans un terminal”. Cela concerne donc l’ensemble des terminaux, y compris les smartphones, les consoles de jeu, les objets connectés etc. comme l’a rappelé Clémence Scottez (Privacy Strategy Consulting).
De fait, la réglementation s’applique donc sur les parcours clients non logués mais aussi logués, avec ou sans cookie, pour des données personnelles ou non puisque la notion de terminal embarque l’ensemble de ces éléments. Cependant, des doutes persistent pour certaines technologies (Adresse IP / Pixels) car ces éléments transitent par le terminal sans y être stockés. En effet, si une adresse IP est rattachée à un terminal, elle n’y n’est pas stockée. De même, un pixel est déclenché pour envoyer l’information à une solution mais n’est, lui non plus, pas stocké sur le terminal. Pour autant, ces deux approches peuvent permettre d’identifier une personne unique, ce qui peut poser la question de la conformité d’un point de vue RGPD/Privacy.
Exemption ePrivacy : d’une directive vers un règlement, d’une spécificité française à une harmonisation européenne
L’exemption en matière de mesure d’audience n’est pas une spécialité française. Cependant la France a pris les devants sur ce sujet car malgré l’exclusion de l’exemption par le G29 en 2012, la CNIL a décidé de l’intégrer en 2013. Or, le RGPD est venu resserrer les conditions de l’exemption avant que les différentes agences de réglementations européennes viennent définir les lignes directrices.
Aujourd’hui, l’exemption est définie par ce qui “est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ». Ainsi les régulateurs européens de la protection des données ont défini une interprétation commune et conditionnent souvent le bénéfice de l’exemption :
- à la démonstration de la nécessité des traceurs pour fournir le service (démontrer qu’il ne fonctionnerait pas sans)
- à la réunion de garanties de Privacy by Design
- à la limitation de finalité à la production de statistique
- à l’absence de cross-sites / cross app et limitation au seul éditeur
- si pas de croisement de données
- à la limitation des durées de vie des traceurs et durée de conservation des données.
Symétrie du consentement : un vrai mécanisme de refus en premier niveau
Toujours selon la CNIL, il est aujourd’hui nécessaire d’avoir une symétrie du consentement c’est-à-dire pouvoir refuser de manière aussi facile que d’accepter au risque que le consentement recueilli soit invalide. Pour ce faire, la CNIL n’impose pas la forme mais encourage à un certain parallélisme entre les deux choix.
Cela ne doit pas être confondu avec le droit de retrait du consentement. Ainsi il est nécessaire de donner la possibilité de ne pas consentir au démarrage d’une navigation mais aussi de pouvoir modifier son choix de consentement à tout moment au cours de la navigation et à chaque visite future.
Le respect de la vie privée au coeur des préoccupations
Des évolutions techniques au service de la vie privée des utilisateurs ?
Portés par ce contexte réglementaire, les navigateurs se sont munis du sujet en proposant plusieurs fonctionnalités en faveur de la protection de la vie privée des utilisateurs : c’est notamment le cas de Safari, Google, Mozilla Firefox et Brave.
Des extensions comme les Adblockers sont nées pour limiter la collecte de données. Elles vont bloquer les requêtes vers les solutions analytics, publicitaires, AB Test & autres (uBlock Origine va même jusqu’à bloquer l’appel à Google Tag Manager) afin de respecter la vie privée des utilisateurs.
Côté application, Apple a pris en main le sujet avec App Tracking Transparency pour demander le consentement de l’utilisateur vis-à-vis de la collecte de données et du suivi inter-applications. Cela va limiter les informations que les développeurs peuvent utiliser pour suivre le comportement des utilisateurs sur leur application mais aussi dans les autres applications avec pour conséquence directe de diminuer la pertinence du ciblage publicitaire auprès des audiences n’ayant pas consenti au suivi. Or le taux d’optin actuel de cette nouvelle fonctionnalité s’avère bas avec un taux d’optin mondial moyen de seulement 25%.*
La mise en place de ces évolutions technologiques incitent les entreprises à trouver de nouvelles alternatives pour assurer la continuité de la mesure et l’optimisation de la performance digitale tout en garantissant la vie privée de leurs utilisateurs.
Quelles solutions en réponse à ces contraintes technologiques ?
Le server-side
Avec le server-side, l’envoi des informations aux solutions est fait sur un serveur et donc indépendamment du navigateur du client. Par conséquent, les contraintes techniques telles que ITP, ETP ou encore Adblockers, peuvent être contournées.
Néanmoins, pour toute collecte d’information, qu’elle soit client-side ou server-side, la législation impose toujours le consentement de l’utilisateur.
La modélisation de données
La modélisation de données est également une alternative pour obtenir une vision globale de la performance grâce au machine learning. Il est en effet possible d’utiliser les données collectées auprès de l’audience optin, couplées au taux d’opt out provenant de la CMP pour modéliser les données manquantes et avoir une vision d’ensemble des données.
Ainsi en réponse à ces contraintes, Google a lancé en Septembre 2020 sa solution “Consent Mode”.
En utilisant le machine learning, Google va modéliser les conversions en analysant l’ensemble des données collectées puis quantifier la concordance entre les utilisateurs ayant consentis et les autres. Ainsi, Google peut proposer une vision estimative du parcours des utilisateurs n’ayant pas donné leur consentement.
Avantages | Contreparties | |
|
|
La mesure hybride
Enfin, la mesure hybride proposée par Piano Analytics permet d’analyser les actions de l’ensemble des visiteurs grâce à l’exemption CNIL.
Concrètement, la mesure hybride garantit un suivi minimal de tracking en cas d’absence de consentement et un suivi exhaustif en cas de consentement.
Au démarrage de la navigation s’initie un premier niveau de tracking exempté de consentement (comptabilisation des seules sessions et pages vues), et, sous condition de l’obtention du consentement, une collecte de données plus fournie s’active (user-id, données ecommerce etc.).
Cette approche permet de mesurer les KPIs fondamentaux relatifs à l’audience, la consommation des contenus et l’amélioration de l’ergonomie en toute circonstance.
Avantages | Contreparties | |
|
|
La CMP comme levier de confiance pour améliorer le taux de consentement
Aujourd’hui, le taux de consentement peut s’apparenter à un taux de confiance de l’internaute dans l’utilisation qui sera faite de ces données par le propriétaire du site. Cette notion de confiance – au moyen d’un écosystème digital clair et rassurant – et le développement de propositions de valeur justifiant clairement le partage de données deviennent donc centrales dans la relation que les marques entretiennent avec leurs clients.
Les conditions de recueil du consentement vont continuer à évoluer avec de nouvelles réglementations mais aussi à cause de la “consent fatigue” des utilisateurs.
Avec une moyenne de 30%** du trafic qui refuse le consentement, comprendre les raisons qui amènent un utilisateur à refuser le suivi est clé.
Les Consent Management Platform (CMP) permettent ainsi de piloter le taux d’acceptation de la pop-in mais aussi le taux d’interaction ou le taux de rebond pour mieux comprendre le comportement des opt-out.
Il est donc pertinent de tester et d’adapter sa CMP en fonction de l’industrie, du secteur d’activité, du modèle économique sur le digital, des réglementations locales, etc. Il faut miser sur le contenu avec un ton, une image en accord avec le positionnement de l’entreprise tout en ayant à l’esprit les objectifs de performance pour limiter le taux d’opt-out.
Conclusion
Cette obligation de recueil du consentement impacte directement la volumétrie et la qualité des données collectées au sein des solutions analytics. Si le respect de la vie privée et du consentement est aujourd’hui essentiel, des solutions existent pour concilier collecte et conformité RGPD afin d’assurer une certaine continuité dans le pilotage de la performance des actions marketing.
Dès à présent, le server-side, la modélisation de données et la mesure hybride permettent d’obtenir des données supplémentaires tout en respectant le refus de consentement. Si ces solutions ne permettent pas de compenser intégralement l’impact quantitatif et qualitatif de ces contraintes réglementaires et technologiques, elles contribuent à une stratégie de tracking résiliente au service de la connaissance client.
Au-delà, la question centrale qui est posée est celle du pacte de confiance entre une Marque et ses Clients et en filigrane la valeur obtenue par un utilisateur en l’échange de ses données. La stratégie de relation client doit être repensée à l’aune de ces nouveaux pré-requis : modèles à valeur partagée, stratégie de fidélisation, tactiques de rétention, services à forte valeur ajoutée en environnement loggué, etc.
Sources :