Guide

Téléchargez notre Guide Ultime de gestion de projet digitale pour vous aider à piloter vos transformations et faire les bons choix !

Blog

Cookies & Traceurs : l'urgence de la mise en conformite avec les directives de la CNIL

2 avril 2021
Accueil du Blog   /   #Site web   /   Cookies & Traceurs : l'urgence..
Introduction
Partagez

Le délai de mise en conformité avec les directives de la CNIL est arrivé à son terme. Au 31 mars 2021, toutes les organisations doivent désormais strictement être conformes aux directives de la CNIL. Si vous ne l'avez pas encore fait, cet article vous donne tous les éléments de mise en oeuvre. 

Quelles sont les obligations pour toutes les entreprises ?


Le 1er octobre 2020, la CNIL avait publié ses recommandations pratiques pour l’utilisation des cookies et autres traceurs en conformité avec la directive ePrivacy et le  RGPD. Les entreprises avaient jusqu’au 31 mars 2021 pour se mettre en conformité et respecter à la fois la loi du 6 janvier 1978 et le RGPD en matière de cookies et de traceurs.

 

Ces dernières années, un certain nombre de lois et de règlements ont tenté d'encadrer et d'harmoniser le traitement de nos données sur internet. Le Règlement Général sur la Protection des données (RGPD), texte majeur entré en vigueur en 2016 et appliqué depuis 2018, fixe les conditions dans lesquelles les données personnelles peuvent être recueillies, stockées et traitées. Ce texte conforte aussi les droits des personnes et établit de nouvelles obligations pour les organisations qui gèrent cette data, accompagné de sanctions en cas de manquement de leur part.

Ces lois n’étant pas toujours simple à combiner dans le fonctionnement quotidien d'un site web, la CNIL (Commission nationale de l'informatique et des libertés) joue un rôle majeur de pédagogie avec ses recommandations destinées à aider les professionnels à comprendre comment les appliquer efficacement et garantir la conformité de leur site Web.

Mon site est-il concerné par les exigences de la CNIL ?

C’est simple : tout organisme, public ou privé, quels que soient sa taille, son pays de résidence, son activité et qui traite des données personnelles pour son compte peut être concerné :

cnil-logo_rvb

  • Qu’il soit établi sur le territoire de
    l’Union européenne,
  • Ou que son activité cible directement des résidents européens.

 

La CNIL exige que les entreprises fassent preuve de transparence concernant l’utilisation de nos données. Lorsqu’on visite un site internet, des données sont stockées dans le but de les exploiter directement ou indirectement pour proposer des publicités personnalisées.

Désormais la commission nationale fait du ciblage publicitaire un sujet prioritaire. En tant que professionnel et propriétaire d’un site web, il est nécessaire de comprendre ces exigences et d’être en règle vis-à-vis de la loi.

Sans plus attendre, découvrons en détail les recommandations à appliquer pour être RGPD compliant.

Quels sont les principaux changements ?  

Concernant le consentement des utilisateurs :

  • la simple poursuite de la navigation sur un site ou “Soft opt-in” ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
  • les utilisateurs doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.

Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment : 

  • Le consentement implicite, c'est-à-dire l’action de déposer un cookie dès l’arrivée sur un site, ou scroll, au clic ou à la poursuite de la navigation est désormais banni. Le consentement doit obligatoirement se manifester par le biais d’une action positive. Cette disposition ne concerne pas les cookies jugés comme nécessaires au bon fonctionnement du site (authentification à un service, panier, personnalisation de la langue, certains cookies de mesure d’audience…) 

Refuser les traceurs doit être aussi facile que de les accepter. La présence des boutons “Accepter” et “Refuser” sur les bandeaux cookies est fortement recommandée. 

Concernant l’information des personnes :

  • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
  • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

notion_clés_RGPD

La pratique du “cookie wall” c'est-à-dire subordonner l’accès à un site web à l’acceptation de dépôt des cookies est interdite sauf dans certains cas (l’information fournie à l’utilisateur devra alors indiquer clairement les conséquences de ses choix).

Pour plus d’informations,

https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation

Les contrôles automatisés de la CNIL

controle_rgpd

Dès fin avril 2021, la CNIL va lancer une campagne de tests et audits de sites web en partie automatisés afin de vérifier leur conformité au RGPD. Cette nouvelle mesure mise en place pour encadrer le respect du traitement et de la protection des données personnelles dans la cadre d’une activité professionnelle risque de bouleverser certains sites. Dorénavant c’est à distance que la plupart de ces contrôles se feront par les gendarmes de la protection des données !

Les atteintes à la législation peuvent ainsi concerner :

  • Un dépôt de cookies sans recueil du consentement ;
  • Un défaut d'information des utilisateurs du site ;
  • Une défaillance partielle du mécanisme d'opposition mis à disposition de l'utilisateur.

Des contrôles automatiques, plus sévères et aléatoires, risquent d’impacter fortement les professionnels si la CNIL considère un manquement aux règles en vigueur du RGPD.

En principe, les sites non conformes se verront attribuer de lourdes pénalités : les administrations s’exposent à des amendes de 20 millions d’euros et les entreprises à des amendes à hauteur de 4 % de leur chiffre d'affaires.

 

Découvrez aussi notre kit de survie RGPD !

RGPD : quels impacts pour vos données et votre entreprise ?

Avec un nombre considérable d’utilisateurs qui pourrait refuser le dépôt des cookies, les impacts ne seraient pas négligeables pour les principaux leviers du marketing digital :

  • L’efficacité des publicités cookies (comme le retargeting) ainsi que le suivi des conversions pourraient être faussés ;
  • Les campagnes d’A/B Testing moins efficaces ;
  • Le marketing automation pourrait lui ne plus du tout être opérationnel.
disparition-des-cookies-Aug-04-2020-09-01-13-30-AM

Erreur 404. Désolé, aucun cookie n'a été trouvé...

Google Analytics, consentement obligatoire et baisse de trafic

Google Analytics, dont la version 4 a récemment été lancée ; est un exemple de solution qui n'a pas été conçu selon les principes du respect de la vie privée. Le service de Google a dû être modifié lorsque le RGPD est entré en vigueur pour ajouter un outil à la disposition des utilisateurs de manière à anonymiser les IP, qui étaient collectées et analysées pour fournir une analyse détaillée du trafic sur le site internet. Ce qui est contraire à la protection des données personnelles.

Pour continuer de mesurer votre trafic efficacement, nous vous recommandons de mettre en place des outils comme Matomo, AT internet, Fathom Analytics, Simple Analytics… qui permettent de disposer de données analytics tout en respectant les exigences de la CNIL.

Les actions à mettre en œuvre

La CNIL a été très claire par rapport à la nécessité d’être en conformité à partir du 1er avril 2021 et l’importance du recueil de consentement des cookies.

L’évolution des règles applicables, ainsi clarifiées, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Quelles sont les exigences du RGPD ? Et qu’est-ce qu’un bandeau cookie non conforme ?

Un avertissement de cookies conforme au RGPD donne des informations sur les cookies en fonctionnement sur le site. Un bandeau de consentement conforme informe l'utilisateur sur les cookies utilisés, leur objectif, et leur durée, ainsi que sur la possibilité d'empêcher l’activation.

Concernant la demande de droit consentement et de droit de collecte, il y a quelques bons réflexes à adopter qui permettent à la fois d’être en règle, de se différencier au niveau de l'arborescence et de garantir une navigation optimale auprès de vos utilisateurs.

Recommandations pour le recueillement du consentement des internautes

La CNIL accompagne sa recommandation de quelques conseils ergonomique dont :

  • Un bandeau plusieurs choix ;
  • La possibilité de configuration manuelle ;
  • Une page dédiée à la politique de confidentialité.

consentement_cookiesconsentement_cookies2

 

consentement_cookies3consentement_cookies4

 

Les entreprises ont donc un rôle de transparence vis-à-vis des visiteurs sur les différents types de cookies et traceurs :

  • Les cookies indispensables ;
  • Les cookies à caractère personnel ;
  • Les cookies non nécessaires comme les cookies statistiques.

Ces derniers correspondent à l’analyse de performance et de mesure d’audience. Ils permettent au propriétaire d'un site de mesurer les modèles de trafic pour déterminer les pages les plus visitées. Ces données permettent également de comprendre les habitudes des visiteurs afin d’améliorer les services et produits en ligne

gestion_cookies_et_traceurs

 

Ce sont notamment :

  • Les cookies de suivi
  • Les cookies de ciblage (targeting)
  • Les cookies d’analyse
  • Les cookies de réseaux sociaux.

 

 

 

Important : La CNIL insiste sur le fait que ces informations doivent impérativement être présentes dès la page d’arrivée avec le bandeau.

bandeau-cookies-rgpd

bandeau-cookies

Concernant la durée de vie des cookies : elle estime important que celle-ci soit limitée dans le temps. Un délai de validité du consentement au dépôt des Cookies de 13 mois au maximum est recommandé. Passé ce délai, le consentement devra être à nouveau recueilli.

 

On vous recommande dès à présent de :

  • Désactiver le dépôt implicite des cookies non indispensables 
  • Revoir votre stratégie de gestion des cookies Analytics
  • Mettre à jour les Conditions Générales d’Utilisation.

Conclusion

Comme annoncé fin 2020, la CNIL confirme que le délai de mise en conformité doit se faire courant avril.

Bien que l'urgence est à la mise en conformité avec les directives de la CNIL, celle-ci ne doit pas pour autant être perçue comme une contrainte mais plus comme une opportunité fonctionnelle. D’une part, l’utilisation des données récoltées sur votre site est optimisée, d’autre part, vos utilisateurs seront rassurés par votre investissement et plus enclins à naviguer sereinement sur vos pages.

Prêt à appliquer ces bonnes pratiques pour être conforme au RGPD ?

Comment choisir la bonne technologie pour votre projet Web ?

Vos besoins fonctionnels sont connus, mais vous ne savez pas comment faire le choix de la meilleure technologie, celle qui vous apportera performance, rapidité, évolutivité et pérennité ?

Publié par
Samia El Harrati
Webinar - Le Web Analytics au service de vos performances