Etre conforme avec la loi sur les cookies, une option ?
cookies

Par Brice Bottégal

Afin de garantir à ses citoyens un meilleur niveau de protection de leurs données personnelles, l’Union Européenne (UE) a mis en œuvre en 2012 une directive obligeant les sites à demander aux internautes la permission de déposer des cookies sur leur navigateur.

Les cookies sont des fichiers textes stockés dans le navigateur du visiteur. Ils contiennent des informations sur le visiteur qui sont utiles aux sites visités pour se rappeler de l’identifiant et du mot de passe du visiteur par exemple ou encore pour lui afficher des publicités ciblées.

Cette directive doit être adaptée et appliquée par tous les pays membres de l’UE.

En France, par exemple, elle a pris le nom de la loi “Paquet télécom” et a été mise en application le 24 août 2011. Cette loi a fait polémique dès sa sortie car les annonceurs et les éditeurs ont tout de suite vue les difficultés pour l’appliquer et l’impact négatif qu’elle pourrait avoir sur leur activité. En effet, si les internautes décidaient massivement de refuser les cookies, beaucoup de solutions ne seraient plus capables de fonctionner et les annonceurs n’auraient plus de données à analyser. Certains éditeurs seraient obligés de modifier le fonctionnement de leur solution avec une forte probabilité de le dégrader. Côté annonceur, pour un site média par exemple qui se rémunère en grande partie grâce à la publicité, si les cookies étaient désactivés, la majeure partie des solutions de diffusion des publicités ne fonctionnerait plus ou aurait un fonctionnement dégradé. Le chiffre d’affaire généré par les publicités pourrait donc baisser.

La France et les autres pays de l’union Européenne ont laissé du temps au marché pour s’adapter. Par exemple, les premiers contrôles en France ont été effectués en octobre 2014 (soit 3 ans après la mise en application de la loi).

Des solutions existent aujourd’hui pour se mettre en conformité avec la loi.

Que dit la loi exactement ?

La directive européenne peut avoir été adaptée différemment en fonction des pays de l’UE.

En France et en Italie par exemple, les visiteurs doivent être informés clairement des finalités et doivent pouvoir choisir de ne pas avoir de cookie de déposé lorsqu’ils visitent un site. Les sites ont donc l’obligation de solliciter, au préalable de tout dépôt de cookie, le consentement de leurs visiteurs.

Cette demande de consentement s’applique sur la majorité des cookies, qu’ils collectent des données à caractère personnel ou non.
Exemple de cookies devant faire l’objet d’une demande de consentement :

  • Les cookies des solutions d’acquisition de trafic (retargeting, liens sponsorisés etc.)
  • Les cookies des solutions de digital analytics
  • Etc.

Seuls les cookies liés au fonctionnement du site sont exemptés du recueil du consentement des visiteurs (exemple : panier d’achat, identifiant de session, wishlist etc.).

Voici un exemple de demande de consentement recommandé par la France (via la CNIL) :

demande de consentement CNIL

L’enjeu pour les annonceurs est de trouver un juste milieu entre collecter toujours autant de données pour aider à la prise de décision tout en étant conformes à la loi sur les cookies.

Subtilités à connaitre

  • Le terme « cookie » est à prendre au sens large, ce terme recouvre également :

– Le finger printing (méthode d’identification sans cookie)

– Tous types d’identifiant (utilisés par les systèmes d’exploitation mobile par ex.)

– Les cookies utilisés dans les animations Flash

  • Le message d’information affiché doit informer clairement les visiteurs de la finalité des cookies qui seront déposés s’ils donnent leur consentement. De plus, il est conseillé de créer une page dédiée, type « Mentions légales », expliquant de manière plus détaillée ce qu’est un cookie, son fonctionnement, etc. et de placer un lien vers cette page dans le message d’information
  • Les visiteurs doivent pouvoir modifier à tout moment leur consentement
  • Le consentement des visiteurs doit être redemandé tous les 13 mois (et à chaque fois que des solutions ont été ajoutées ou que des données supplémentaires sont collectées par les solutions existantes)
  • Les visiteurs soumis à une demande de consentement qui ne répondent ni « J’accepte » ou « Je refuse » et qui poursuivent leur navigation sont considérés comme des visiteurs ayant accepté. Par conséquent, la demande de consentement devra apparaitre sur la première page de leur visite mais plus sur les pages suivantes (sauf si le visiteur se rend suite à son arrivée sur le site sur la page de mentions légales, dans ce cas, le message d’information devra toujours être affiché)
  • Le classement par catégorie des solutions est conseillé mais pas obligatoire. Il permet aux visiteurs non pas de choisir d’accepter ou de refuser toutes les solutions, mais de choisir d’accepter ou de refuser une ou plusieurs catégories de solutions. C’est bénéfique à la fois pour le visiteur car cela lui permet de donner un consentement fin et personnalisé, et à la fois pour l’annonceur car cela lui permet d’obtenir le consentement pour des solutions qu’il n’aurait probablement pas obtenu si le visiteur avait simplement répondu « Je refuse »
  • La loi s’applique sur tous les supports : sites Web et mobile et applications
  • Il n’est pas autorisé de simplement orienter le visiteur vers une page décrivant comment, dans chaque navigateur, supprimer ses cookies

Comment se mettre en conformité avec la loi ?

Pour se mettre en conformité avec la loi, il faut demander le consentement des visiteurs préalablement au dépôt de cookie et mettre en application ce consentement.
La mise en application de ce consentement est généralement faite par une solution dédiée créée par un éditeur ou une solution développée par l’annonceur.

Elle peut être faite de deux manières :

  1. Mise en application immédiate : si l’internaute refuse le dépôt de cookie pour l’ensemble ou une partie des solutions alors ces solutions seront désactivées et aucun dépôt de cookie ne sera fait.
  2. Mise en application à posteriori : si le visiteur refuse le dépôt de cookie sur l’ensemble ou une partie des solutions, cela n’aura aucun impact direct sur celles-ci. Le dépôt de cookie sera fait. Cependant, la solution utilisée pour demander le consentement des visiteurs demandera aux solutions pour lesquelles le visiteur a refusé de donner son consentement de ne pas utiliser / supprimer les données enregistrées.

Les solutions pour se mettre en conformité avec la loi

Les solutions leader pour se mettre en conformité avec la loi sont les solutions de TMS.

La majorité des TMS fournit cette fonctionnalité nativement ou sous forme d’option.

Les TMS peuvent désactiver immédiatement les solutions pour lesquelles le visiteur a refusé de donner son consentement. Ce qui fait qu’aucun cookie n’est déposé par celle-ci.

Voici un schéma présentant comment les tags sont désactivés en fonction du consentement :

mise en conformité loi coookie

Voici un schéma présentant la mise en application a posteriori du consentement :

mise en conformité loi cookie

(*) Le « comportement » de l’étape « Réponse ou comportement » signifie par exemple la poursuite de la visite du visiteur sans avoir donné de consentement (du coup le consentement est implicite)

Vous hésitez encore à vous mettre en conformité avec la loi ?

Le respect des règles de la CNIL et de la vie privée de vos visiteurs n’est plus une option. Il est temps de ne plus surfer entre légalité et illégalité et de demander le consentement de vos visiteurs avant toute collecte de données. Une personne (qui peut être le digital analyste) doit avoir la responsabilité au sein de votre entreprise de veiller au bon respect de la vie privée de vos visiteurs pour chaque projet de digital analytics (suivi d’une campagne, d’un micro-site etc.). Cette personne doit être impliquée dès le début du projet au même titre que l’équipe marketing ou technique. Elle doit aider à trouver un juste milieu entre la collecte de données et son exploitation et le respect de la législation. Voyez-le comme une opportunité, faite en un critère de différenciation, vous respecterez ainsi la législation et vous instaurerez une relation de confiance avec vos visiteurs. Ce n’est pas négligeable dans un contexte où la « data » en général est vue de manière négative à cause des abus d’hyper-targeting et autres…

De plus, l’encadrement de la collecte de données est un sujet qui évolue régulièrement. Par exemple l’invalidation du mécanisme « Safe Harbor » devra être suivi de prêt. La décision de la Cour de Justice de l’Union Européenne a été rendue le 06 Octobre 2015.

Le mécanisme « Safe Habor » permet le transfert de données vers les entreprises domiciliées aux Etats-Unis. A cause de cette invalidation, si vous utilisez une solution américaine et que vos données sont stockées aux Etats-Unis, vous serez dans l’illégalité. Le mécanisme « Safe Harbor » a été invalidé car le niveau de sécurité des données hébergées aux Etats-Unis n’est plus jugé satisfaisant. En France par exemple, la CNIL (l’autorité de l’état chargée du respect de la vie privée) examine actuellement avec ses homologues au sein du G29 les conséquences juridiques et opérationnelles de cet arrêt.

Article suivant

A lire aussi…

 

Le digital analytics et l’évolution des technologies de stockage de données

Les communautés qui gravitent autour du digital analytics

Les grandes tendances du digital analytics en 2016

Les grandes évolutions du digital analytics de 1993 à nos jours

Présentation du marché des solutions majeures de digital analytics

Les principales différences entre les solutions de digital analytics gratuites et payantes

Les évolutions de la collecte de données, de l’analyse des logs jusqu’au server-side

Avant et après l’arrivée des Tag Management System (TMS)

Vous aimerez aussi
LinkedIn Auto Publish Powered By : XYZScripts.com