Le 31 mars prochain marque la fin du délai accordé par la CNIL pour mettre en conformité les sites web et applications mobiles, en application de la directive ePrivacy et du RGPD.
Que dit la directive e-Privacy et qui est concerné ?
Ce que dit la directive ePrivacy :
“Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.”
Cela signifie donc que vous devez recueillir et stocker le consentement de l’internaute si vous déposez des cookies liés à de la publicité personnalisée (retargeting y compris) ou si vous proposez des options de partage sur les réseaux sociaux… entre autres.
Techniquement, cela veut dire que Google Tag Manager va nécessiter le consentement de l’internaute avant de se déclencher, tout comme Google Analytics, puisque Google ré-utilise les données collectées pour son propre compte (notamment pour Google Ads)
Comment recueillir valablement le consentement ?
Il y a différentes règles à respecter et l’acceptation de Conditions Générales d’Utilisation ne peut être une modalité valable de recueil de consentement.
1- Le consentement doit être préalable au dépôt des cookies.
2- L’information donnée à l’internaute pour qu’il consente (ou non) doit être visible, claire et rédigée en termes simples et compréhensibles par tous
3- L’utilisateur doit pouvoir accepter OU refuser le dépôt des cookies avec le même degré de
simplicité.
4- L’utilisateur doit pouvoir choisir de tout accepter, tout refuser, ou de paramétrer son choix.
5- Le consentement doit pouvoir être retiré simplement et à tout moment
Pour cela, mais aussi pour prouver le consentement, le moyen le plus simple est d’utiliser une solution de recueil du consentement, autrement appelée CMP, ou Consent Management Platform.
Cette solution a pour but de mettre votre site en conformité, mais des impacts sont tout de même à prévoir sur la mesure de vos actions digitales.
Quelques acteurs référents sur le marché : Cookiebot, TrustArc, Personal DataWallet par FollowAnalytics.
Comment rendre son “bandeau cookies” conforme ?
Le bandeau cookies doit désormais détailler les finalités pour lesquelles les cookies sont déposés :
- à quelle activité publicitaire pourront servir les cookies
- combien de temps maximum seront conservés les cookies
- la possibilité de revenir sur son choix d’acceptation et comment
- combien de sociétés accéderont à ces cookies
Les bandeaux génériques type “ce site utilise des cookies” ou “des cookies sont utilisés pour améliorer…” ne seront donc plus conformes.
Et voici un outil développé par la CNIL pour visualiser les cookies déposés par votre site, pour votre compte mais aussi pour celui d’autres acteurs :
https://linc.cnil.fr/fr/cookieviz-une-dataviz-en-temps-reel-du-tracking-de-votre-navigation
Quels sont les impacts pour mon site et sa mesure ?
Les outils de mesure d’audience servant uniquement à produire des statistiques anonymes et strictement nécessaires au bon fonctionnement du service, et limités à ce seul usage par le seul éditeur du site, sont exemptés de l’exigence du consentement préalable.
Les solutions analytiques dédiées à la mesure publicitaire (Google Analytics, Adobe Analytics pour exemple) vont être directement impactées : le volume de cookies collectés allant diminués, la mesure de performance sur site (visite, nombre de pages vues, conversion) ne sera plus exhaustive.
Différentes études estiment que 20 à 30 % de l’audience d’un site refuserait les cookies.
Cela signifie donc que, après votre mise en conformité, au moyen d’une CMP (cf ci-dessus), vos statistiques d’audience, et donc vos sources de trafic, vos conversions, etc. ne seront plus fiables !
Quelles sont les solutions pour conserver la fiabilité des données ?
Certaines solutions de mesure d’audience telles que AT Internet ou encore Matomo sont exemptées par la CNIL.
Il est alors possible d’utiliser ces solutions pour avoir une vue complète et unifiée de votre trafic, de vos sources, de vos conversions, etc. et ainsi pouvoir mesurer votre performance digitale.
Et vous pouvez continuer en parallèle à utiliser Google Analytics, en demandant le consentement au préalable, pour conserver vos audiences Google Ads, malgré la perte d’une partie de votre audience qui n’acceptera pas les cookies.
Vous pourrez également utiliser le mode Consentement de Google Analytics, encore en bêta et non disponible à tous, ni compatible avec toutes les CMP.
Concrètement, les balises Google Ads et Google Analytics s’adapteront de façon dynamique aux choix de vos internautes, pour respecter leur consentement, par type de cookies.
Cela n’empêchera pas une perte de données dans le cas d’un refus total des cookies.
Pour en savoir plus sur le Consent Mode Google : https://support.google.com/analytics/answer/9976101
En résumé, à partir du 1er avril :
1- il vous faudra recueillir et stocker le consentement de l’internaute si vous déposez des cookies liés à de la publicité personnalisée, et pour cela vous équiper d’une Consent Management Platform
2- faire apparaître sur le bandeau de collecte des cookies la finalité d’usage publicitaire de ces cookies, et permettre à un utilisateur de revenir sur son choix de consentement
3- vous équiper d’une nouvelle solution analytics exemptée par la CNIL pour avoir une vue complète et unifiée de votre trafic, de vos sources, de vos conversions, etc. et ainsi pouvoir mesurer votre performance digitale
En savoir plus sur le sujet :
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi
https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience
L’équipe digitale Ekstend