Les nouvelles recommandations de la CNIL sont effectives depuis le 1er avril. Quels en sont les grands principes ?
Suite à la mise en œuvre du RGPD en mai 2018 et à l’inertie des mises en conformité des sites, la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié en Octobre 2020 de nouvelles recommandations en matière de gestion des cookies pour une application au plus tard fin mars 2021.
Tous les sites utilisant des traceurs ont l’obligation de soumettre le dépôt des tags et des cookies au consentement de l’utilisateur; et pas de n’importe quelle manière.
Afin d’éviter les sanctions, ne tardez pas à nous consulter pour vérifier que vous êtes bien en conformité !
Nouvelles recommandations
1. Le consentement doit être libre et éclairé : un simple scroll, ou changement de page ne peut plus être considéré comme un consentement positif. L’acte doit être clair et positif.
Concrètement : la mise en avant d’un bouton “accepter”, facilement accessible et visible.
2. Il doit être aussi facile d’accepter que de refuser les cookies.
Concrètement : Cela se formalise par l’ajout d’un bouton de refus au même niveau que le bouton d’acceptation (ou bien un bouton “continuer sans accepter”) … le wording choisi peut avoir un impact.
En effet même si la CNIL recommande “d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique.”, la CNIL a laissé une “faille” dans son document de recommandation en intégrant une proposition d’UX beaucoup plus avantageuse au niveau du taux de consentement que l’UX avec un bouton “Tout Refuser”.
3. A tout moment, le visiteur doit pouvoir modifier son consentement.
Concrètement : Cela est rendu possible par l’ajout d’un lien dans le footer, ou un bouton “flottant” visible sur votre page
4. Tous les trackers sont concernés ! Et oui, Google analytics n’est pas exempté de consentement.
Seules les données collectées dites anonymes, non personnalisées, utilisées à des seules fins de statistiques anonymes peuvent continuer à être collectées sans le consentement.
Certaines solutions Web Analytics peuvent être exemptées de consentement. La CNIL a lancé un programme pour identifier les solutions pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil du consentement. Au moment de l’écriture de l’article, seules 3 solutions sont listées sur le site de la CNIL dont AT Internet qui, avec sa suite Delta, propose une solution hybride permettant de collecter des données anonymes avant le consentement de l’utilisateur.
Le tag Google Analytics ne doit donc être posé qu’après le consentement de l’utilisateur ce qui pose des problèmes évidents d’exhaustivité de la donnée et de pertinence dans les sources d’acquisitions.
Tous les utilisateurs de Google Analytics sont en attente de clarifications de Google sur l’utilisation des données (notamment le partage des données avec les autres produits Google évoqués dans les CGU) et d’une décision claire de la CNIL sur une possible exemption de Google Analytics.
Google semble avancer sur le sujet de la privacy notamment grâce au Consent Mode en beta depuis quelques mois sur Google Analytics et Google Ads et plus récemment avec l’ajout de fonctionnalités autour du consentement dans Google Tag Manager.
5. Vous devez être en mesure de fournir la preuve de consentement en cas de contrôle de la CNIL.
Concrètement : le consentement donné par l’utilisateur doit être stocké toute la durée de la validité du consentement. La majorité des Consent Management Platform proposent cette fonctionnalité.
La CNIL recommande de conserver le consentement pour une durée de 6 mois, afin d’éviter les sollicitations intempestives auprès de l’utilisateur.
Version desktop Clever Age – sur Onetrust
Version mobile Clever Age – sur Onetrust
Quels impacts sur vos analyses de données ?
Ces évolutions ne sont pas sans conséquence. Selon une étude menée par Commander Act à la mi-avril (2 semaines après la mise en œuvre des nouvelles recommandations) le taux de consentement est à la baisse, et se situe entre 47% et 78% selon le support utilisé et selon le secteur.
Cela impacte directement l’activité marketing (tracking des conversions ou remontées des informations d’affiliation), puisque les données sont collectées uniquement pour les visiteurs ayant donné leur consentement. Cela peut avoir un impact sur les performances des campagnes publicitaires, la mesure du trafic, le taux de rebond… Il est donc de moins en moins pertinent d’utiliser Google Analytics pour suivre des KPI en valeur absolue (pages vues, sessions, transactions, CA…) et il est préférable de les remplacer par des indicateurs de type ratios / taux ou des taux d’évolution.
Le taux de consentement devient donc un nouvel indicateur à prendre en considération et à suivre dans le temps.
Êtes vous concerné par ces nouvelles recommandations ?
Si vous n’avez pas encore de bandeau ou popin de consentement, selon nous, la première question à se poser est : est-ce que j’utilise des traceurs et analyse des données non anonymisées de mes utilisateurs ? Est-ce que des cookies sont posés dans le navigateur quand je navigue sur le site ?
Si la réponse est oui, alors il faut soit mettre en place un bandeau cookie, soit passer sur une solution analytics exemptée de consentement (ou combiner les 2).
Si vous avez déjà un bandeau ou une popin en place; il faut vérifier sa conformité en s’assurant que les cookies ne soient pas déposés lorsque les cookies sont refusés ou le consentement pas encore donné (malheureusement beaucoup de cookies passent à travers les mailles du filet).
Pour vérifier les tags et les cookies déposés sur votre site, vous pouvez par exemple utiliser l’extension Tag explorer pour Chrome ou une des nombreuses extensions permettant de visualiser les cookies déposés par un site.
La CNIL propose également son propre outil d’analyse: Cookieviz qui utilise la data visualisation pour identifier les tiers liés à un site et ceux qui posent des cookies permettant l’échange de données avec des sites tiers.
Par où commencer ?
Lancer un audit de votre site pour identifier les cookies posés et leur source.
Ainsi vous obtiendrez un rapport qui vous indique quels cookies sont posés, leur provenance, leur description, leur durée de vie, etc…
Les cookies identifiés peuvent avoir plusieurs origines :
- Via des tags posés par un Tag Management system (exemple : Google Tag Manager, TagCommander… )
- Via des tags posés directement dans le code source (boutons de partages, chabot…)
- Via le contenu (exemple : insertion de vidéos youtube, Vimeo, widgets)
En fonction du mode d’insertion et de l’utilisation des cookies, vous devrez les classifier par catégorie ou finalité, mais aussi éventuellement les retraiter pour s’assurer qu’ils soient bien soumis au consentement.
Nettoyez vos cookies
Sachez que les cookies configurés via votre TMS sont plus facilement configurables, et ainsi soumis au consentement (ajout de variables, et exclusions).
Les cookies posés via du contenu peuvent être retraités. Exemple : basculer votre vidéo Youtube en youtube-nocookie, ou ajout du paramètre do not track pour Viméo.
Il faut au maximum éviter que vos cookies soient posés directement dans le code, car vous aurez plus difficilement la main dessus pour les soumettre au consentement. Privilégiez une gestion des tags (et donc des cookies) via votre TMS.
Choisissez votre Consent Management Platform : gratuite ou payante
Il existe sur le marché des Consent Management platform (CMP) gratuites ou avec un coût de licence calculé soit par nombre de domaines audités, soit par nombre de visiteurs uniques sur votre site.
Ces solutions vous permettent de créer votre bandeau, de le déployer, et de suivre le consentement de vos utilisateurs.
Les solutions payantes offrent des fonctionnalités supplémentaires comme : outil d’audit, design custom du bandeau, traductions des langues intégrées, gestion du consentement cross-domaine, analyse des taux de consentement, tableaux de bords, intégration du Transparency and Consent Framework (TCF) …
Quelques noms connus du marché :
Les CMP gratuites : Tarteaucitron, Quantcast, …
Les CMP payantes : Onetrust, Didomi, Trust commander, CookieBot, Axeptio, …
Attention : une fois votre bandeau déployé, n’oubliez pas de vérifier que plus aucun cookie non indispensable ne sera posé quand le consentement n’est pas donné.
Comment améliorer votre taux de consentement ?
Des tests A/B ont été effectués par différents acteurs du marché de la CMP et ont permis d’identifier les éléments visuels ou de contenu qui fonctionnaient le mieux.
Nous avons retenu quelques conseils facilement applicables :
- Personnaliser le bandeau /popin : avec un titre, un logo, vos couleurs
- Plus votre bandeau sera visible, plus vous obtiendrez de réponses et éviterez une navigation laissant le bandeau affiché : privilégiez une popin centrée ou un footer large qui prend au moins ⅓ de votre écran. Vous pouvez griser le fond pour faire ressortir le bandeau et forcer l’utilisateur à faire son choix avant de pouvoir utiliser le site
- Travailler le wording des CTA en privilégiant des verbes d’action
- Ne pas utiliser la croix de fermeture de la popin et préférer l’utilisation du lien “Continuer sans accepter”
Conclusion
Même si le 1er avril est déjà passé, il n’est jamais trop tard pour vérifier votre conformité… et au besoin mettre en place des actions correctives.
En effet, la CNIL communique sur la vingtaine de mises en demeures déjà lancées, sans pour l’instant, communiquer sur le nom des entreprises concernées : voir le communiqué de presse de la CNIL
Il est probable que les contrôles CNIL s’intensifient dans les mois qui viennent.
N’hésitez pas, contactez-nous pour un audit de votre site, ou pour un accompagnement dans la mise en place d’une CMP, ou l’amélioration de votre solution actuelle.