Pour gérer vos consentements :

[Tribune] Data Privacy: que vont changer les nouvelles réglementations de la CNIL

Publié par La rédaction le | Mis à jour le

Les entreprises vont devoir se mettre en conformité pour répondre aux exigences du RGPD et de la directive ePrivacy au plus tard fin mars 2021. Camille Fischer et Clarisse Bolignano de Fabernovel décryptent dans cette tribune les nouvelles façons de s'adapter.

Pour répondre au RGPD de mai 2018, les entreprises ont fait apparaître sur leur site des gestionnaires de consentement liés au dépôt de cookie. Un règlement qui était jusqu'alors toujours sujet aux interprétations. Les sites d'e-commerce avaient tendance à faire du soft opt-in, c'est-à-dire que le seul fait de scroller des pages ou de passer à la page suivante valait comme consentement du dépôt de cookie, tandis que dans les sites bancaires ou d'assurances, le non-consentement était le choix utilisé par défaut. Des niveaux d'interprétations différents qui ont eu un impact non négligeable sur la collecte des données personnelles. Selon une étude Commanders Act réalisée en 2019, le taux de consentement dans le secteur financier était de 29 %, alors que dans le secteur mode & retail il était de 72 %, avec des taux allant jusqu'à 91 %.

En septembre 2020, la CNIL a adopté de nouvelles lignes directrices permettant de clarifier ces différentes interprétations :

  • Le soft opt-in n'est plus toléré : les utilisateurs doivent cliquer explicitement sur "j'accepte" ou "je refuse" avant que le site ait le droit de déclencher des tags.
  • Refuser les cookies doit être aussi facile que de les accepter. Et un utilisateur doit pouvoir changer d'avis facilement.
  • Le consentement positif ou négatif doit être réitéré à la même fréquence. La CNIL recommande tous les 6 mois.
  • Une simple acceptation des CGU n'est pas un consentement à l'utilisation des cookies, le consentement doit être fait explicitement.
  • Le couplage des finalités n'est pas possible, en effet si un cookie a plusieurs finalités alors il faut que l'utilisateur puisse accepter ou refuser par finalité et non par cookie.
  • L'information donnée aux utilisateurs doit être complète : la finalité de la collecte doit être communiquée, mais également la liste des partenaires fournie et les conséquences qui s'attachent à un refus ou une acceptation de traceurs indiquées. Quant aux cookies walls (refuser l'accès à du contenu si l'utilisation des cookies n'est pas acceptée par l'utilisateur), la CNIL s'est vu refuser sa demande de les interdire par le conseil d'État. Si cette pratique n'est donc pas illicite, la CNIL se réserve tout de même le droit de valider au cas par cas les dispositifs mis en place par les marques sur leurs sites.
  • Ces recommandations, à mettre en place avant mars 2021, ne laissent donc plus la place au soft opt-in. Avec une conséquence immédiate : la chute non négligeable du taux de consentement, ce qui implique inévitablement une baisse du volume de données récoltées comme le soulevait l'étude précédemment citée.

    Quelles données sont impactées ? Ces nouvelles réglementations vont impacter trois types de données. Celles-ci sont récoltées via des cookies aux finalités suivantes :

    1) Les cookies dits "de performance" (ou statistiques), sont généralement déposés par des outils permettant d'analyser les sites web. Sans eux, difficile d'avoir une visibilité sur les performances du site en n'ayant pas le nombre de visites exactes (uniquement les visiteurs ayant consenti) et autres actions de l'utilisateur. Il est toutefois possible de déposer ces mêmes cookies de manière anonymisée en faisant les bons réglages. Il est donc primordial de mettre en place ces réglages, comme l'anonymisation de l'adresse IP, afin de ne pas être complètement aveugle sur ce qu'il se passe sur votre site. Des outils comme Google Analytics 4 le proposent de manière native et proposent donc un tracking plus respectueux des données personnelles des utilisateurs.

    2) Les cookies de fonctionnalités permettent eux de personnaliser l'expérience des utilisateurs en leur proposant des produits déjà consultés par exemple. Ils permettent également de tester des mises à jour du site afin d'avoir des retours sur l'expérience utilisateur. Sans eux, il sera plus difficile de fluidifier le parcours de l'utilisateur, les tests déployés avec les solutions d'A/B testing ou de personnalisation seront sur une plus petite part d'audience et donc auront des résultats moins représentatifs.

    3)Les cookies publicitaires sont déposés par des régies publicitaires et permettent aux régies de mesurer le nombre de ventes directes d'une campagne publicitaire. Sans eux, les régies ne peuvent pas prouver leur efficacité. Les régies se servent également de données d'engagement des utilisateurs sur le site, comme l'ajout au panier d'un produit, pour créer des audiences et maximiser les investissements des marques. En plus de l'annonce de Google Chrome de supprimer les cookies tiers, 2020 est une année de véritable chamboulement pour la publicité en ligne.

    Comment s'adapter ? Pour toutes ces raisons les marques se tourneront probablement davantage vers des cookies walls maintenant envisageables. En effet, certaines marques ne peuvent pas survivre sans la collecte des données, comme les médias ou les comparateurs de prix, et pourront choisir de demander aux utilisateurs le partage de leurs données en échange de l'utilisation gratuite de leurs services en ligne. La CNIL compte faire du cas par cas dans l'autorisation de l'utilisation des cookies walls. Tout le monde ne pourra pas se reposer sur cette technique, notamment les retailers, dont leur survie ne dépend pas de la collecte de données et aurait l'effet de davantage les priver de potentielles ventes. La meilleure solution reste de s'adapter à ces nouvelles mesures en innovant avec ses données propriétaires, comme avec les données CRM ou les données analytics (récoltées en accord avec le RGPD). Ces innovations sont à rendre visibles pour les utilisateurs afin qu'ils comprennent leurs avantages à partager leurs données. Sur le site de Welcome to the Jungle par exemple, on peut avoir accès à des contenus spécifiques si nous acceptons le cookie nécessaire :


    Si le business model repose sur la publicité, il est important de partager cette information à ses utilisateurs, qui seront plus enclins à partager leurs données pour la "bonne cause". Le Monde partage déjà ce message en incitant ses utilisateurs à se créer un compte s'ils ne souhaitent pas partager leurs données :


    Ce message permet aux utilisateurs de comprendre le poids de leur choix. Ici on ne parle pas de cookie wall, car la navigation sur le site reste possible. C'est une bonne première étape pour éduquer les utilisateurs avant de passer à la méthode du cookie walls qui peut paraître plus abrupte. Les réglementations de la CNIL n'ont pas pour but de mettre fin à la récolte des données, mais bien à l'utilisateur de comprendre et choisir les données qu'il partage. Ceci incite les marques et les éditeurs à faire davantage attention aux données qu'ils récoltent et leurs véritables intérêts. Cette transparence est aussi une occasion de développer une relation de confiance avec ses utilisateurs.


    Les auteurs :

    Clarisse Bolignano est data strategist chez Fabernovel. Depuis 3 ans chez Fabernovel, elle accompagne les entreprises sur toute la chaîne de valeur de la donnée : de la collecte à l'activation.

    Camille Fischer est lead data strategist chez Fabernovel. En charge des équipes data marketing, elle mène les réflexions stratégiques et propose des solutions liées à la data pour atteindre les objectifs métier de ses clients dans les meilleures conditions.

    La rédaction vous recommande

  • La CNIL publie ses "nouvelles" règles sur le consentement à la publicité ciblée
  • Cookies : comment être en conformité avec les règles de la Cnil ?
  • [Tribune] 5 manières d'augmenter le taux d'opt-in / consentement
  • Règlement e-Privacy : Nouvelles recettes pour les cookies
  • Seules 6 % des marques sont en parfaite conformité avec le RGPD