- Data
Un an après l’entrée en vigueur du RGPD, nous avons analysé la politique de gestion des cookies des 100 sites les plus consultés en France*. Découvrez les trois principaux enseignements de notre baromètre RGPD et cookies.
1 – En apparence, une politique de gestion des cookies qui semble respectueuse du RGPD
La plupart des règles de base semblent bien assimilées par les 100 premiers sites web en France. Plus de 9 sites observés sur sur 10 ont bien implémenté un bandeau cookies sur leur site, et parmi eux, la quasi-totalité présente un lien permanent (souvent placé en footer) vers une page décrivant la politique de cookies.
Autre bon point, près de 95% des sites présentent et distinguent les cookies par catégorie, et intègrent alors a minima un descriptif de chacune de ces catégories : fonctionnel, analytics, social, personnalisation ou publicitaire.
Nous avons également observé que 8 sites sur 10 ont implémenté une solution de gestion des consentements (CMP), dont près de la moitié sont des solutions customisées. Commanders Act est la solution la plus utilisée.
2 – Dans les faits, refus et personnalisation restent un parcours du combattant pour l’internaute
Si, au premier abord, la plupart des sites renvoient aux internautes l’impression de pratiques respectueuses, toutes les ficelles et nudges possibles sont exploités pour mettre des bâtons dans les roues de l’internaute pour refuser ou personnaliser la collecte des cookies.
Un bandeau pas toujours facile à identifier et à décoder
Il n’est pas toujours évident de voir le bandeau cookie :
- près de 2 sur 3 sont en bas de page,
- ils sont peu visibles (moins de 5% de la hauteur de la page, sans bouton ni de couleur qui le différencie du reste de la charte du site),
- la plupart disparaît dès le scroll ou au clic sur un lien.
Pour les bandeaux qui auront été vus, encore faudrait-t-il qu’ils soient lus… Car si le lien vers l’interface de gestion des préférences est bien présent sur plus de 90% des bandeaux, ce dernier sera, 8 fois sur 10, camouflé dans le corps d’un texte bien souvent survolé, au détriment d’un CTA qui affiche plutôt “OK” ou “Accepter”.
Un bouton ‘Refuser’ n’était proposé que sur 2% des bandeaux que nous avons observés. C’est dommage, car il pourrait être assez facilement configuré sur la plupart des solutions CMP.
La difficulté de faire un choix éclairé
Les internautes aguerris qui souhaitent gérer leurs préférences auront à faire face à d’autres difficultés. Au vu du nombre négligeable de sites permettant de refuser directement depuis le bandeau, l’internaute doit consentir à plus d’efforts, en temps et en clics, pour personnaliser ses préférences, alors que l’acceptation n’en requiert souvent qu’un seul..
Par ailleurs, les nomenclatures et les descriptions de chaque catégorie vont différer d’un site à l’autre, et peuvent s’avérer peu explicites pour l’internaute lambda. Pour désigner les mêmes cookies analytics, nous avons par exemple relevé : évaluation, mesure d’audience, statistiques…
Pour compliquer la situation, les informations et les options ne sont pas toujours exhaustives : parmi les 9 sites sur 10 offrant une catégorisation des cookies, un quart ne présente pas l’intégralité des catégories de cookies. Les cookies analytics sont les plus souvent omis.
Et sur les 41% de sites permettant d’accepter ou de refuser par partenaire (ex : Google Ads Facebook Ads, Doubleclick… ), c’est le même constat : presque un tiers ne présente pas une liste exhaustive de partenaires. Soit certains partenaires sont oubliés, soit il est impossible pour l’internaute d’en refuser certains, sans qu’il puisse savoir pourquoi.
Une fois les préférences enregistrées, moins de la moitié des sites observés permettaient, à posteriori, de modifier ces choix directement sur le site.
Pour les autres, le site se contente de fournir un lien de désinscription sur le site des partenaires ou des des guidelines pour désactiver les cookies depuis son navigateur.
3 – Un tracking Analytics souvent lancé par défaut.. même après le refus !
Sur 85% des sites que nous avons observés, le tracking analytics se lance avant d’avoir cliqué sur un bouton ‘J’accepte’. Parmi ces sites, 92% lancent le tracking immédiatement lors de l’arrivée sur le site.
Si il n’y a pas d’ambiguïté sur les cookies publicitaires, l’obtention du consentement est moins catégorique pour les cookies Analytics.
En effet, si la jurisprudence a confirmé que l’adresse IP doit être considérée comme une donnée personnelle par défaut, car permettant d’identifier indirectement un individu, le tracking analytics peut être exempté de consentement en respectant les conditions suivantes.
- Donnée anonymisée
- Donnée non re-traitée à des fins de profilage
- Donnée automatiquement supprimée au-delà de 13 mois
Le respect de ce cahier des charges permet aux solutions AT Internet et Matomo (ex-Piwik) d’être exemptées de consentement. Nous avons repéré la présence d’AT Internet sur un quart des sites observés. Mais plus de la moitié d’entre eux avaient également un tracking Google Analytics actif et ne peuvent donc pas prétendre à l’exemption.
L’exemption n’exonère pas l’obligation d’informations. Nous avons constaté que de nombreux sites omettaient de mentionner les cookies Analytics dans leur page dédiée à leur politique de cookies. En effet, le devoir d’informations s’applique à tout type de cookies, y compris les cookies fonctionnels.
Et enfin que dire de cette statistique qui nous a plus que surpris : 42% des sites qui permettent de refuser le tracking directement sur le site (sans passer par un lien externe ou des guidelines) l’enclenchent dans tous les cas, y compris quand l’utilisateur refuse !
En conclusion
Le cookie est aujourd’hui un organe vital d’un dispositif digital que cela soit pour monétiser son audience, améliorer sa connaissance client ou mesurer sa performance. Or, il n’existe pas à date d’alternatives techniques crédibles. On peut donc tout à fait comprendre que les sites jouent avec les limites du RGPD, voir les franchissent. C’est de bonne guerre.
La CNIL n’a pour l’instant sanctionné aucun site et il est probable que les premiers cas de jurisprudence feront bouger les lignes. Au Royaume-Uni, le PECR, l’équivalent britannique du RGPD interdit désormais le tracking Analytics implicite… Il est donc plus que jamais vital de se pencher sur des alternatives techniques aux cookies.
*A propos de notre méthodologie
Nous avons analysé les pratiques des 100 sites avec le plus d’audience en France en avril 2019 (source : Alexa.com) en version desktop, en récoltant 4 types de données :
- la présence et la localisation du bandeau cookies dans la page ;
- les informations fournies ;
- la gestion des préférences ;
- le comportement des cookies analytics
Pour découvrir l’intégralité de notre analyse, n’hésitez pas à télécharger notre Baromètre RGPD & Cookies.
