Mise en conformité RGPD et gestion des cookies avec Axeptio

Le règlement général sur la protection des données (RGPD) est un règlement voté par le Parlement européen en 2016. Il est entré en application dans l’ensemble des 27 États membres de l’Union européenne en mai 2018.

Le RGPD (ou GDPR en anglais) est relatif à la protection des personnes physiques à l’égard du traitement et à la libre circulation des données à caractère personnel.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui contrôle la bonne application du règlement. Si l’organisme de protection des données personnelles a d’abord été souple en laissant un temps d’adaptation pour que les entreprises se mettent en conformité, ce délai est désormais révolu : les sanctions peuvent être très lourdes, jusqu’à 4 % du chiffre d’affaires.

Ces menaces de sanctions sont sérieuses. La CNIL dispose d’outils numériques puissants permettant de contrôler la gestion des données sur un site internet. Par exemple CookieViz permet de parcourir et d’analyser massivement les sites pour contrôler les dépôts de cookies.

Dans cet article, nous vous expliquons en détail :

• quels sont les cookies que vous pouvez utiliser avec ou sans consentement ;
• qu’est-ce que la solution de gestion de cookies Axeptio et comment l’utiliser pour mettre son site en conformité RGPD.

Qu’est-ce qu’un cookie ?

Définition du cookie

Un cookie est un mini fichier, déposé par le serveur du site que vous visitez ou par celui d’une application tierce (régie publicitaire, logiciel d’analyse des statistiques, etc.). Le serveur qui l’a déposé en premier lieu pourra ensuite le réutiliser.

Les cookies ont de multiples fonctions, notamment pour favoriser votre navigation sur le web et pour faire du ciblage publicitaire. Ils peuvent par exemple mémoriser vos préférences, le contenu d’un panier d’achat, la langue d’affichage de la page, ou tracer votre navigation dans un objectif statistique ou publicitaire, etc.

Il en existe plusieurs catégories :

• First party cookies ou cookies internes : déposés par le site internet consulté et associés au nom de domaine ils sont utilisés, en plus des cookies nécessaires, pour améliorer l’expérience utilisateur (UX) en suivant son comportement et peuvent être utilisés à des fins publicitaires.
• Third party cookies ou cookies tiers : déposés, souvent par une régie publicitaire, sur un site pour voir quelles pages ont été visitées par un internaute et collecter des informations sur lui. Ces cookies sont notamment utilisés pour le retargeting.

Les différentes typologies de cookies

Il existe de multiples sortes de cookies, avec des fonctions variées (voir plus haut) :

• cookies HTTP ;
• cookies « flash » ;
• fingerprint, le calcul d’un identifiant unique du terminal dans le cas du « fingerprinting » ;
• web bugs, ou pixels invisibles ;
• identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, etc.).

Quels cookies nécessitent le consentement du visiteur du site ?

La loi distingue deux grandes catégories de cookies : ceux qui nécessitent le consentement du visiteur (celui-ci doit être informé et donner son consentement avant le dépôt des cookies), alors que certains autres cookies sont dispensés de consentement.

Les cookies nécessitant le consentement des visiteurs

Tous les cookies qui n’ont pas pour objectif exclusif de permettre une communication par voie électronique ou qui ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne nécessitent le consentement préalable de l’internaute. On peut citer notamment :

• les cookies relatifs à la publicité personnalisée ;
• les cookies réseaux sociaux, qui sont notamment générés par des boutons de partage.

PRIVACY

CONSENTEMENT AUX COOKIES

JE METS MON SITE EN CONFORMITÉ RGPD

Les cookies ne nécessitant pas le consentement des utilisateurs

Quelques exemples de cookies non soumis au consentement :

• traceurs conservant le choix exprimé par les visiteurs sur le dépôt de cookies ;
• cookies destinés à l’authentification auprès d’un service, à garder en mémoire le contenu d’un panier d’achat ;
• cookies de personnalisation de l’interface utilisateur (ex. : choix de la langue), qui constitue un élément intrinsèque et attendu du service ;
• cookies permettant aux sites payants de limiter l’accès gratuit (freemium) ;
• certains cookies de mesure d’audience s’ils respectent certaines conditions.

Nous retrouvons donc ici un bon nombre de first party cookies.

Précision de la CNIL sur les traceurs de mesure d’audience

En tant qu’agence webmarketing, nous nous intéressons à cette réforme sur la mesure d’audience et nous savons qu’elle attire l’attention de nos clients. Il nous paraît donc essentiel de mettre la lumière sur cette thématique.

Les obligations pour obtenir l’exemption de consentement

Les traceurs doivent remplir des conditions strictes pour pouvoir être exemptés de consentement :

• avoir un objectif strictement limité à l’unique mesure de l’audience du site internet ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation de l’UX, etc.) pour le compte exclusif de l’éditeur;
• fournir des données statistiques exclusivement anonymes.

L’annulation de l’exemption de consentement

Il existe plusieurs situations dans lesquelles l’exemption de consentement n’est plus valable, notamment si les cookies :

• permettent un recoupement des données avec d’autres traitements ou transmettent les données à des tiers ;
• autorisent le suivi global de navigation de la personne utilisant différentes applications ou naviguant sur différents sites web.

En pratique, cela signifie que les cookies utilisant Google, Facebook, etc. qui sont transmis à des tiers, nécessitent obligatoirement le consentement des utilisateurs.

Le programme de la CNIL sur l’évaluation des solutions de mesure d’audience

La CNIL a récemment annoncé le lancement d’un programme d’évaluation des solutions de mesure d’audience afin de vérifier si le recueil du consentement de l’utilisateur peut être exempté sur certaines de ces solutions.

Chaque détenteur de solutions est libre de participer au programme d’évaluation en constituant un dossier et en déposant sa candidature. Le site web doit être hébergé en France ou ses utilisateurs doivent résider en France.

La CNIL publiera par la suite une liste des services qui peuvent être configurés pour être utilisés sans recueil du consentement. Toutefois, l’exemption est sous réserve de faire un « usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application ».

Comment mettre son site en conformité avec la loi RGPD ?

Les obligations sur le consentement et l’utilisation des cookies

Le visiteur, qui doit être préalablement informé des conséquences de son choix, doit donner son accord par une action positive. Il doit pouvoir accepter, refuser ou retirer son consentement sur l’utilisation des cookies et de ses données personnelles.

La réglementation sur le consentement en détail :

• L’utilisation et l’exploitation des cookies interviennent après le consentement. Les cookies ne doivent pas être déposés ou lus sur le site tant que l’utilisateur n’a pas donné son consentement.
• L’acceptation des cookies doit être :
  • Libre : le consentement ne doit pas être implicite. Le visiteur doit accepter en toute connaissance de cause grâce à la présentation des informations.
  • Spécifique : l’accord doit être requis à chaque fois qu’une nouvelle finalité s’ajoute.
  • Univoque : l’information fournie doit être rédigée de manière simple et compréhensible par tous.
  • Éclairée : les différentes informations doivent être mises en évidence, présentées de manière visible, et complètes.
• Le visiteur doit pouvoir refuser le dépôt. Ce refus doit être accessible de manière aussi simple que l’acceptation.
• L’utilisateur doit pouvoir retirer son consentement. Des solutions doivent être mises en place pour que l’utilisateur puisse retirer son accord de manière aussi simple qu’il l’a donné.

Quelle solution choisir pour se mettre en conformité ?

SEARCH-Factory propose la mise en conformité de sites web grâce à la solution française Axeptio. Cette solution permet de demander leur consentement aux visiteurs de votre site au moyen d’une pop-up qui s’affiche en bas à gauche de l’écran.

Au-delà de la mise en conformité RGPD, cette solution permet une approche marketing de la gestion des cookies : le respect de la loi et le respect de l’utilisateur. C’est également une extension très visuelle, avec une UX de pop-up attrayante. Cette solution permet de recueillir un bon taux d’acceptation des cookies.

Nous pouvons ainsi continuer de mesurer les performances des sites de nos clients en optimisant le ROI de leurs campagnes SEO et Paid Media.

L’approche cookie wall : légale ou pas ?

Les cookie walls sont des services qui consistent à bloquer l’accès à un site web en cas de refus des cookies. Cette pratique fait l’objet d’une attention juridique particulière. Dans un premier temps, en 2019, la CNIL a affirmé que le cookie wall ne respectait pas le RGPD car le choix de l’utilisateur ne doit pas « subir d’inconvénients majeurs en cas d’absence ou de retrait du consentement ».

Toutefois le Conseil d’État, juridiction supérieure à la CNIL en droit français, a estimé en juin 2020, que la Commission ne pouvait rendre cette décision, ayant excédé « ce qu’elle peut légalement faire ».

Le Conseil d’État ne se prononçant pas vraiment sur le fond, un certain flou entoure toujours cette pratique.

En attendant de bénéficier d’une politique et d’un cadre juridique clairs sur l’utilisation du cookie wall, nous retiendrons que les bonnes pratiques sont de rigueur : demander un consentement libre et indépendant pour chaque cookie, sans qu’il soit précoché ou présélectionné.

Selon nous, chez SEARCH-Factory, le système du cookie wall serait bien RGPD compliant. En effet, pourquoi ne le serait-il pas si le consentement est demandé dans les règles ?

Les incidences du RGPD sur vos conversions

La gestion des données personnelles est un enjeu contemporain majeur pour les différents sites. Mettre en place des services de gestion des cookies est essentiel pour se conformer au droit français et au droit européen.

La mise en conformité au RGPD a des incidences en termes de web analytics, sur le tracking des données. Un utilisateur qui ne donne pas son consentement ou qui refuse le dépôt de cookies marketing devient alors intraçable par les outils utilisant cette technologie (Google Analytics, Google & Facebook Ads, etc.). La conséquence directe pour la lecture des performances de vos actions marketing est une baisse des indicateurs de performances : conversion, chiffre d’affaires, ROI, etc. Pour autant, cela ne veut pas dire que vos campagnes publicitaires sont moins efficaces ou que votre site reçoit moins de trafic, mais simplement que votre visibilité est réduite.

Que faire pour pallier cette baisse ?

1. observez le delta avant/après mise en place du module Axeptio sur l’indicateur générant le plus de volume : les sessions Google Analytics ;
2. déterminez votre ratio sur la perte de données ;
3. recalculez vos objectifs.

Exemple : si vous observez une baisse de 20 % de vos sessions post-implémentation du CMP, alors il convient de revoir vos objectifs de ROI, de CPA ou de volume du même ordre en appliquant ce ratio.

PRIVACY

CONSENTEMENT AUX COOKIES

JE METS MON SITE EN CONFORMITÉ RGPD

Les alternatives cookieless à Google Analytics

Face aux mesures prises par la CNIL, de nombreuses entreprises se lancent à la conquête d’une collecte de données respectueuse du consentement des utilisateurs. Cependant, des acteurs existent déjà. Assez peu médiatisés jusqu’ici, ils n’avaient pas attendu que la presse s’empare du sujet pour développer leurs solutions.

C’est le cas de Matomo Analytics. Cette solution créée en 2007 s’est développée à l’étranger, notamment en Allemagne où elle détient 13 % des parts de marché face au géant Google Analytics. La mise en application du RGPD met un coup de projecteur sur ces solutions autrefois consultées, aujourd’hui redécouvertes et revisitées. Les éditeurs de sites prennent conscience des avantages de ces outils pour la gestion des cookies. Des équipes travaillent dans l’ombre depuis longtemps déjà.

Opter pour une solution open source telle que Matomo n’a jamais eu autant de sens qu’aujourd’hui. C’est aussi un parti pris d’ordre éthique et politique, car la lecture de données est respectueuse de la vie privée des utilisateurs et les données sont de meilleure qualité.