RGPD/CNIL : réussir sa mise en conformité
Au 31 mars 2021, l’ensemble des entreprises devaient se mettre en conformité avec les dernières lignes directrices de la CNIL relatives aux cookies et traceurs. À savoir, dans un premier temps, collecter le consentement des visiteurs puis, dans un second temps, traiter leurs données avec davantage de soin, de manière plus responsable et avec une finalité explicite d’usage.
Dans cet article, nous tâcherons d’éclaircir le cadre législatif et de lever le voile sur la mécanique de mise en conformité, dans le but de vous donner les clés de lecture pour prendre les bonnes décisions.
Le renforcement de la protection des données personnelles concerne l’ensemble des acteurs digitaux
L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD en français et GDPR en anglais pour General Data Protection Regulation) impacte l’ensemble du marketing digital, que ce soit sur le plan du parcours client ou des données récoltées. Bien que les cookies strictement nécessaires au fonctionnement du site ne soient pas affectés, les autres catégories de cookies (publicitaires, statistiques, A/B testing…) sont maintenant soumises à un recueil obligatoire du consentement des internautes.
Il devient par conséquent plus complexe de mesurer la performance de son site, d’effectuer des activations média & CRM ou encore de réconcilier des données entre plusieurs solutions. Avec un consentement requis, on observe en moyenne une perte de 30 à 60% des données.
En cas de non-respect de la réglementation, les entreprises risquent une amende (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires), des restrictions techniques telles que des limitations ou encore la suspension des traitements des données.
Au sein de cet article, nous mettrons en avant 5 étapes clés qui permettent de réussir la mise en conformité au RGPD pour un site web, à savoir :
- 1. Auditer les cookies déposés sur le site.
- 2. Identifier les finalités des cookies.
- 3. Configurer et implémenter une Consent Management Platform (CMP).
- 4. Conditionner des tags en fonction des finalités consenties par l’utilisateur.
- 5. Optimiser le taux d’acceptation des cookies.
Étape 1 : Auditer les cookies déposés sur le site
Les cookies sont de petits fichiers textes stockés au sein du navigateur web d’un internaute,servant à enregistrer des informations sur son parcours à travers plusieurs sites.
L’audit des cookies est la première étape d’une mise en conformité et permet d’identifier le volume d’information déposé sur le navigateur de l’utilisateur. Elle permet de révéler différentes typologies de cookies :
- 1. Les cookies fonctionnels et strictement nécessaires au bon fonctionnement du site: ceux-ci sont essentiels et fluidifient la navigation sur site. Ils permettent de retenir les préférences utilisateur (langue, localisation, système d’exploitation), mémoriser les articles ou les contenus consultés ou encore retenir les identifiants (connexion, paniers).
- 2. Les cookies publicitaires : grâce à eux, les annonceurs peuvent mettre en place des publicités plus précises et plus ciblées à mesure de la répétition de navigations sur site. C’est le principe du retargeting.
- 3. Les cookies statistiques : ils permettent de suivre les habitudes de navigation des visiteurs (pages vues, localisation des visiteurs, conversions).
- 4. Les cookies sociaux : ils permettent aux visiteurs de se connecter, d’aimer et de partager du contenu via les réseaux sociaux.
- Lors de l’audit, les cookies peuvent également être classés selon leurs origines : cookies propriétaires (first) et cookies tiers (third). Ceci afin de garantir aux utilisateurs une plus grande confidentialité et transparence en ce qui concerne le choix et le contrôle sur l’utilisation de leur données.
Les cookies propriétaires (ou first) sont liés au domaine en cours de visite par l’utilisateur. Ils permettent aux propriétaires de site de collecter des données analytics, de mémoriser les paramètres de langue et d’exécuter d’autres fonctions utiles qui contribuent à offrir une meilleure expérience utilisateur.
Les cookies tiers (ou third) sont créés par un site autre que celui auquel l’utilisateur accède. Par exemple, le site de la CNIL pourrait avoir un bouton « J’aime » de Facebook sur ses pages. Ce bouton « J’aime » activerait un cookie tiers pouvant être lu par Facebook. Le but des cookies tiers est de recueillir des données destinées à obtenir des informations sur le comportement ainsi que les données démographiques des utilisateurs, notamment pour créer des profils d’audience.
Différencier les cookies propriétaires (first) et les cookies tiers (third)
Étape 2 : Identifier les finalités des cookies
À l’issue de l’audit, le volume de cookies et d’informations stockées est défini. Il convient ensuite d’en identifier les finalités.
Certaines Consent Management Platform (CMP) comme OneTrust, analysent et trient les cookies au sein de catégories prédéfinies. Lors du scan du domaine sur lequel est hébergé le site, les cookies sont comparés à des bases de données de référence puis automatiquement affectés à une finalité… Ceux qui sont sans affectation peuvent être attribués manuellement à une finalité.
L’autre méthode possible en matière de catégorisation des cookies consiste en l’utilisation du framework Interactive Advertising Bureau (IAB). Il a pour objectif de standardiser les CMP et de catégoriser des outils digitaux. Le bandeau de consentement doit respecter certaines normes pour avoir accès au framework (texte validé par l’IAB, ensemble de finalités, prestataires identifiés par l’IAB). Le tag interroge les fonctions embarquées dans le framework afin de vérifier si la collecte du consentement de l’utilisateur correspond à la finalité qui lui a été attribuée. Si c’est le cas, le tag peut exécuter son script. À noter cependant que le framework est actuellement basé sur l’utilisation de cookies, il ne fonctionne donc pour le moment pas pour les appareils mobiles (smartphones et tablettes) ou autres technologies de tracking.
Étape 3 : Configurer et implémenter une Consent Management Platform
Une Consent Management Plateform (CMP) ou plateforme de gestion de consentement, est une solution permettant une mise en place facile d’une interface de recueil du consentement des utilisateurs.
Celle-ci affiche les différentes finalités et responsables de traitement, récolte le consentement des internautes via une bannière contextuelle et conserve leurs choix dans un cookie et une base de données. Enfin, par leur truchement, les CMP informent sur les droits d’accès, de rectification, de retrait et d’effacement des données personnelles collectées sur l’utilisateur.
Parmi les principales CMP du marché, nous pouvons lister Onetrust, Didomi, Axeptio, Cookiebot et TrustCommander. Pour savoir quelle solution de CMP choisir, il est nécessaire d’identifier les aspects fonctionnels correspondants à votre besoin. La plupart des CMP offrent fonctionnalités communes, à savoir :
- Un paramétrage et une personnalisation (à différents degrés) de la bannière de consentement, notamment sur les modalités du recueil du consentement ainsi que le format de la bannière.
- La mise à disposition d’un “centre de préférence” qui permet à l’internaute de gérer de façon granulaire son consentement aux cookies.
- Une intégration avec un Tag Management System pour simplifier la connexion des tags à la CMP .
Certaines CMP ont des avantages supplémentaires tels que la possibilité d’analyser la performance des taux de consentement, d’effectuer des A/B tests ou encore une gestion du consentement qui va au-delà des cookies (newsletter, avis client…). D’autres CMP sont également plus matures sur l’aspect applications mobiles et supportent davantage de technologies.
Étape 4 : Conditionnement des tags en fonctions des finalités consenties par l’utilisateur
L’obtention d’un consentement explicite reste indispensable avant le dépôt de cookies. Une CMP permet de gérer le dépôt des cookies et plus précisément le déclenchement des tags ou des scripts présents sur votre site.
Il y a deux façons courantes de gérer le déclenchement des outils digitaux en fonction des choix de consentement choisis par l’internaute :
> En ajoutant de façon manuelle un déclencheur dans le code du script présent en dur.
> En paramétrant le TMS et les tags pour qu’ils se déclenchent dès lors que le consentement est donné.
Le fonctionnement technique d’une CMP se schématise de la manière suivante :
Se poser les bonnes questions sur les modalités de recueil du consentement
Quelle est la durée de conservation du choix de consentement ?
Le choix de l’utilisateur (acceptation ou refus) doit être conservé pendant 6 mois.
Les iFrames (YouTube.com, Carto.com, Dailymotion, etc) sont-elles soumises au consentement ?
Oui, les éditeurs des sites sont responsables des outils tiers et doivent demander le consentement.
Les outils de mesure d’audience sont-ils exempts de consentement ?
Certains outils sont reconnus comme exemptés par la CNIL. La liste est disponible sur le site de la CNIL.
Le consentement au scroll, sans interaction avec la bannière, est-il valable?
Non, le consentement de l’utilisateur doit être explicite. Un clic d’acceptation sur le bandeau est recommandé.
Les boutons « tout accepter » et « tout refuser » doivent-ils être identiques?
Pas nécessairement, cependant ils doivent être présentés au même niveau et permettre à l’utilisateur de refuser aussi facilement que d’accepter le dépôt de cookies.
Étape 5 : Optimiser le taux d’acceptation des cookies
L’optimisation d’un consentement ou “Consent Rate Optimisation” (CRO) est un cycle itératif qui permet aux directions marketing de suivre “comme avant”, la plus grande partie du trafic.
- 1. Compréhension des utilisateurs
- Typologie des utilisateurs
- Organisme régulateur concerné
- Industrie concernée
- Modèle de consentement applicable
2. Expérimentation
- Appliquer ses idées d’optimisation
- Segmenter
- Émettre des hypothèses
- Prioriser
- Valider les maquettes par le Juridique
3. Analyse des résultats
- Mesurer l’impact de la bannière
- Comparer taux de consentement, refus explicite, non-choix et rebond
- Filtrer et segmenter
4. Prise de décision
- Statuer sur la prochaine étape
- Mettre en production
- Évaluer l’hypothèse de départ
Les CMP qui proposent de l’A/B testing permettent d’analyser la performance de plusieurs versions des bandeaux et d’identifier celles avec un meilleur taux de consentement, pour ainsi garantir une meilleure collecte des données. Plusieurs éléments peuvent être testés, à savoir :
- La présence d’un logo et son positionnement pour rassurer l’internaute.
- L’accroche.
- Les boutons d’acceptation et de refus (“tout refuser” vs. “continuer sans accepter”)
- Format de la CMP (position, taille, couleurs).
- Texte.
En quelques mots…
Pour réussir votre mise en conformité avec le RGPD en 5 étapes suivantes, il faut :
- 1. Auditer les cookies déposés sur le site.
- 2. Identifier les finalités des cookies.
- 3. Configurer et implémenter une Consent Management Platform.
- 4. Conditionnement des tags en fonction des finalités consenties par l’utilisateur.
- 5. Optimiser le taux d’acceptation des cookies.
D’autres pistes permettent également de maximiser la collecte de vos données et la compréhension des parcours de vos utilisateurs. La première concerne le déploiement d’un outil de mesure d’audience exempté de consentement. Cette solution offre la possibilité de collecter des données avant que l’utilisateur ait exprimé son choix et permet une mesure quasi-exhaustive de l’audience.
Une autre solution consiste en l’envoi de requêtes à vos solutions de mesure d’audience côté serveur. Cette architecture peut être mise en place avant le chargement de la page afin d’être certain de collecter les données indépendamment du navigateur de votre client. Elle offre également à votre visiteur une navigation plus rapide car moins soumise aux nombreux scripts pouvant être chargés sur la page côté client.