RGPD et cookies : tout comprendre des dernières lignes directrices de la CNIL, des impacts et des solutions

Publié par , le 28 avril 2021

Le 1er avril 2021 a marqué la fin du délai de grâce de six mois accordé aux acteurs digitaux pour se mettre en conformité avec les dernières lignes directrices de la CNIL relatives aux cookies et traceurs, publiées le 1er octobre 2020. Désormais, les éditeurs de sites et d’applications mobiles doivent impérativement recueillir le consentement des internautes, sauf quelques exceptions, préalablement à la lecture et au dépôt de cookies sur leur terminal. En cas de manquements, ils s’exposent à des sanctions pénales ou administratives. Et, s’ils respectent strictement les règles, les risques d’hémorragie des données sont réels avec des impacts notables sur l’analyse d’audience ou la performance de leviers webmarketing comme la publicité ou le retargeting.

Alors, que faire face à ce dilemme ? Dans cet article nous revenons sur les principales évolutions de la règlementation RGPD et présentons des solutions et des alternatives pour réduire l’impact d’une raréfaction des cookies sur son activité digitale.

Séparateur Ligne verticale Orange

Qu’est-ce que le RGPD et quel est le contexte ?

En introduction, de manière à bien comprendre les enjeux en cours pour tous les éditeurs de plateformes numériques, il nous semble primordial de rappeler le contexte juridique dans lequel s’inscrivent les dernières lignes directrices de la CNIL.

En juillet 2002, le Parlement européen adopte la directive ePrivacy, une réglementation sur la protection de la vie privée dans le secteur des communications électroniques. En novembre 2009, cette dernière est amendée, introduisant le principe du consentement préalable de l’utilisateur avant le dépôt ou la lecture de cookies, excepté pour les « actions strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ». En France, l’article 82 de la loi Informatique et Libertés transpose ce texte en droit français.

Depuis mai 2018, le règlement général sur la protection des données (RGPD) s’applique au sein de l’Union européenne dans le but d’encadrer, pour tous ses citoyens, le traitement des données à caractère personnel. Il définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Enfin, en octobre 2020, la CNIL rend publiques ses lignes directrices, complétées par un guide de recommandations, afin de préciser le droit applicable en France relatif à l’utilisation des cookies et traceurs et donner des modalités pratiques de recueil du consentement.

 

Séparateur Ligne verticale Orange

Quelles sont les principales nouveautés des lignes directrices de la CNIL du 1er octobre 2020 ?

Le 1er avril 2021, le délai de mise en conformité accordé par la CNIL aux acteurs numériques arrive à son terme. Après six mois de sensibilisation et d’accompagnement, la Commission entérine la mise en application définitive des lignes directrices et annonce le lancement d’une vaste campagne de contrôles pour évaluer le respect des réglementations.

 

Bon à savoir : l’utilisation des cookies est une des trois thématiques prioritaires de contrôles décrétées par la CNIL pour l’année 2021, preuve de son engagement mais également des attentes des internautes sur le sujet, de plus en plus sensibles aux problématiques de traçage sur internet.

 

Les principaux points d’attention à retenir sur les lignes directrices

  • La simple poursuite de navigation ne peut plus être considérée comme une expression valide du consentement.
  • Sous certaines conditions, des traceurs de mesure d’audience peuvent bénéficier d’une exemption du recueil préalable de consentement. Pour ce faire, les solutions doivent avoir une finalité de traitement strictement limitée à la seule mesure d’audience et respecter les principaux généraux du RGPD. A ce jour, seules les solutions Analytics Suite Delta d’AT Internet et SmartProfile de Net Solution Partner bénéficient de l’exemption du recueil de consentement. Google Analytics n’est donc pas à date éligible et un fort doute subsiste sur sa capacité à obtenir l’exemption (les données collectées étant notamment réutilisées à d’autres fins que la mesure d’audience). Deux membres de la CNIL ont confirmé à l’occasion de trois différents webinars que Google Analytics ne pouvait pas revendiquer l’exemption.
  • Refuser le dépôt des cookies doit être aussi simple que de les accepter et le silence vaut comme refus.
  • L’autorisation des cookie walls est appréciée par la CNIL au cas par cas, mais généralement l’accès à un site web ne doit pas être subordonné à l’acceptation du dépôt des cookies.
  • Les finalités de traitement doivent être affichées dès le 1er niveau de la CMP, dans un langage compréhensible de tous, et pouvoir être gérées par l’internaute au cas par cas.
  • Enfin, retirer son consentement doit être aussi aisé que de le donner.

 

Bon à savoir : si vous souhaitez consulter les grandes pratiques RGPD & Cookies des 100 sites web les plus consultés en France après le 1er avril, nous vous invitons à télécharger dès maintenant notre Baromètre Empirik 2021 « RGPD & Cookies », que nous éditons chaque année depuis mai 2019.

 

Séparateur Ligne verticale Orange

Quels sont les risques et impacts de cette nouvelle politique de gestion des bandeaux cookies ?

En amont de l’élaboration de sa politique de mise en conformité, il nous apparaît indispensable de procéder à une évaluation des risques et impacts du RGPD et des directives de la CNIL sur l’activité digitale de son organisation.

Des risques financiers, structurels et réputationnels

Si des manquements en matière de protection des données personnelles et respect de la confidentialité sont constatés, les contrevenants encourent trois catégories de risques :

  • Des risques financiers, avec une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
  • Des risques techniques, dont une limitation temporaire ou définitive de traitement, l’effacement des données ou bien encore la suppression d’une certification.
  • Des risques d’image, avec par exemple des attaques d’associations de consommateurs.

 

Des impacts sur sa collecte de données analytics et des répercussions sur son activité commerciale et marketing

Les réglementations évoquées n’ont aucun impact sur les cookies de fonctionnement d’un site, à savoir l’authentification à un service, la mémoire d’un panier d’achat, la personnalisation de l’interface utilisateur (ex : le choix d’une langue) ou encore la limitation d’accès à des contenus gratuits sur un site média.

En revanche, les autres catégories de cookies (publicité, A/B Testing, marketing automation, réseaux sociaux…) sont bien soumises à l’obtention du consentement. En cas de strict respect des lignes directrices de la CNIL, nous observons une perte moyenne de données comprises entre 30 et 70 %.

Loin d’être anodine, cette hémorragie des données collectées peut avoir des répercussions notables sur :

  • Les revenus d’un site et d’une entreprise ;
  • Les campagnes d’acquisition publicitaire dépendantes des cookies, à l’image du retargeting ;
  • La connaissance client et l’expérience utilisateur.

Comme on peut le constater sur cette matrice, la balance risques & impacts dépend bien entendu de plusieurs critères du site concerné : son secteur d’activité, son mix d’acquisition et la diversité des canaux sur lesquels la marque est présente.

Le résultat de cette évaluation conditionne par la suite ses choix stratégiques de mise en conformité :

  • Faut-il respecter strictement les lignes directrices de la CNIL ? Ou peut-on s’accorder un peu de souplesse, en connaissance de cause ?
  • Quel niveau de pression faut-il mettre pour obtenir le consentement (visibilité, promotion) ?
  • Faut-il avoir recours à une CMP et piloter de près son taux d’opt-in ?

 

À noter : au-delà du cadre juridique imposé par le RGPD, on observe aussi depuis plusieurs années un contexte de restrictions technologiques à l’origine d’une diminution du volume des données collectées : les adblockers, utilisés à priori par 30 % des internautes, et les restrictions des navigateurs, notamment Safari et Firefox et bientôt Google (qui annonce la suppression des cookies tiers sur Chrome à l’horizon 2022).

 

Séparateur Ligne verticale Orange

Comment gérer, suivre et optimiser son taux de consentement sur les bandeaux cookies ?

 

1. Installer une Consent Management Platform (CMP)

Une CMP permet à l’éditeur d’un site de gérer l’affichage de ses bandeaux cookies, de stocker et récolter la preuve de consentement (= horodatage).

Certaines CMP proposent des fonctionnalités d’analyse et d’amélioration du taux d’opt-in (tableaux de bord, A/B Testing…). Les principales solutions utilisées sur le marché français sont : Didomi, TrustCommander, One Trust, Axeptio ou Quantcast.

 

2. S’inspirer des meilleurs pratiques en matière de bandeaux cookies

Comme notre dernier baromètre le démontre, un consensus semble se dégager sur le design des bandeaux cookies les plus efficaces :

  • Le bandeau est affiché au centre de la page ;
  • Des éléments de rassurance (logo, accroche, texte…) y sont insérés ;
  • Un bouton « continuer sans accepter » est placé en haut à droite du bandeau cookie ;
  • Le bouton « accepter » est mis en valeur avec un fond de couleur différent. Cette pratique nous semble toutefois contraire à l’esprit du RGPD : ce design de bandeau peut être considéré comme asymétrique car il incite fortement à cliquer sur le bouton « accepter ».

Le bandeau cookies d’OVH est une bonne illustration de cette disposition de bandeaux qui offre les meilleurs taux d’opt-in :  

 

3. Maximiser son taux d’opt-in grâce aux A/B tests

La standardisation des dispositions de bandeaux sur tous les sites risque à moyen terme d’altérer leur efficacité.

L’A/B Testing peut permettre de booster son taux d’opt-in, de 15 à 30 points, en testant différents éléments du bandeau cookies :

  • L’emplacement,
  • L’affichage du logo,
  • L’accroche et le texte,
  • Le bouton « refuser » vs « continuer sans accepter »,
  • L’ordre des boutons,
  • Le wording et la couleur des boutons.

Des formats de bandeaux beaucoup plus créatifs pourraient bien émerger comme nous l’avons observé sur le site WeTransfer :

 

4. Intégrer ses taux d’opt-in dans les tableaux de bord

Il nous semble indispensable d’intégrer l’évolution de ses taux d’opt-in dans ses outils de pilotage (d’où l’importance d’exploiter une CMP proposant une API).

La mise en perspective des données analytics collectées et du taux d’opt-in sur les bandeaux cookies permettra d’évaluer le niveau d’exhaustivité des données analytics collectées.

 

Séparateur Ligne verticale Orange

Comment piloter ses campagnes publicitaires ?

L’industrie publicitaire digitale est historiquement très dépendante des cookies. Les impacts des dernières lignes directrices de la CNIL ne sont donc pas neutres. Voici quelques solutions pour optimiser vos revenus publicitaires.

 

1. Considérer des alternatives cookie-less

Comme l’illustre la matrice ci-dessous, les audiences offrant une finesse de ciblage élevée sont très dépendantes des cookies (intentionniste, look-alike, et surtout le retargeting) et pourraient donc voir leurs performances se dégrader selon le taux de consentement.

En cas d’un faible taux d’opt-in, des alternatives publicitaires existent néanmoins :

  • Le contexte RGPD pourrait voir le renouveau des audiences contextuelles (diffusion d’une publicité sur un site en affinité avec une cible) ou sémantiques (basées sur le contenu d’une page) dont les perspectives sont intéressantes grâce au progrès de l’IA et du NLP (Natural Language Processing).
  • Les audiences créées à partir d’une audience source (mails, fans, look-alike) constituent sans conteste la voie la plus prometteuse pour combiner finesse de ciblage et faible dépendance aux cookies.
  • Les campagnes Search restent enfin une valeur sûre.

Mais la généralisation de ces audiences cookie-less risque de renforcer le monopole de Google et Facebook sur le marché publicitaire. Les deux géants américains disposent en effet d’une capacité unique à constituer des audiences riches dans un univers logué et cross-device.

 

2. Développer la collecte de données 1st party

Comme nous venons de le préciser, la collecte de données 1st party (mail, téléphone…) va devenir un enjeu de plus en plus fort pour exploiter les opportunités offertes par les campagnes publicitaires ciblant une base mail ou look-alike.

Si la CNIL est aujourd’hui très focalisée sur la gestion des cookies, le formulaire d’un site web recueille lui aussi des données personnelles et est à ce titre dans l’obligation de présenter en 1er niveau la finalité de traitement et donc de recueillir le consentement.

 

3. Suivre les avancées de méthodes de ciblage prometteuses

Face à la mort annoncée des cookies, les acteurs de l’industrie ont multiplié les initiatives parmi lesquelles nous distinguons :

  • Le ciblage par cohortes qui permet de cibler des segments d’audience (et non des individus) en fonction de leurs centres d’intérêts. Google via sa méthode FLoC (dans le cadre de son projet « Privacy Sandbox ») et Criteo (projet Sparrow) travaillent actuellement sur ce modèle pour une sortie courant 2022 ou 2023. À noter que la méthode FloC de Google a pour l’instant reçu un accueil très mitigé par les acteurs de la tech : WordPress pourrait traiter FLoC comme un problème de sécurité et les navigateurs Mozilla, Safari et Opéra rejettent complètement l’initiative.
  • Des projets alternatifs, à l’image de Rearc, développé par l’IAB, où l’idée est de partager des données first party entre des sites éditeurs, en incluant un enrichissement des données en fonction des comportements de navigation.

 

Séparateur Ligne verticale Orange

Comment mesurer sa performance digitale ?

Comme pour la publicité, le cookie est la cheville ouvrière de la mesure d’audience. Il permet en effet d’identifier l’origine d’un internaute, d’analyser son comportement de navigation et sa fréquence de revisite.

 

1. Exploiter une solution exemptée du recueil de consentement

La solution la plus simple pour conserver une fiabilité élevée est de recourir à une solution de mesure d’audience exemptée du recueil de consentement.

A ce jour, seuls les outils Analytics Suite Delta d’AT Internet et SmartProfile de Net Solution Partner bénéficient de l’exemption du recueil de consentement, sous réserve que leur paramétrage respecte les principes généraux du RGPD et limite la finalité de traitement à la seule mesure d’audience.  

L’utilisation d’AT Internet en mode exempté permet ainsi de collecter environ 90 % des dimensions et métriques analytics standards (source d’une visite, consultation de contenus, réalisation d’une conversion, etc).

L’obtention du consentement dans un second temps permet ensuite de bénéficier d’un socle de données enrichi par les cookies (origine géographique, fréquence de visite, CRM onboarding…).

 

2. Mesurer la performance avec une solution analytics non exemptée

Le strict respect des contraintes RGPD pour une solution de mesure d’audience non exemptée peut conduire à une perte de 30 à 70 % des données collectées.

Cette situation aura des conséquences importantes dans le pilotage de la performance :

  • Fiabilité et représentativité des analyses,
  • Difficultés pour comparer les données avec N-1,

  • Écarts encore plus importants avec les données fournies par les plates-formes publicitaires.

Face à cette situation, il n’existe pas de recette miracle mais un panel de solutions à envisager :

  1. Au préalable, il est nécessaire de tout mettre en œuvre pour améliorer son taux d’opt-in via une CMP et l’A/B Testing de bandeaux. La maximisation du taux de consentement est nécessaire afin de disposer d’un échantillon d’audience représentatif (car, il est compliqué d’extrapoler des données à partir d’un échantillon de 30 %).
  2. Faire appel à des méthodes statistiques de la plus simple (règle de trois) à la plus avancée (régression linéaire) pour modéliser des données.
  3. Arrêter d’apprécier la performance d’un canal d’acquisition ou d’un contenu uniquement sur les conversions prioritaires (remplissage d’un formulaire, achat en ligne…). L’analyse des micro-conversions (téléchargement d’un document, ajout d’un produit au panier, consultation de deux fiches produits…) peut également être très utile pour mesurer l’impact d’une action. Une micro-conversion a également le mérite d’être plus fréquente qu’une conversion prioritaire et de constituer un échantillon de données représentatif.
  4. Confronter des tendances d’évolution entre les données analytics et des sources de données tierces fiables (ERP, CRM, back-office…).

Pour répondre à cette complexité, des compétences en data science et en data-visualisation s’avèrent plus que jamais nécessaires.

 

3. Exploiter des méthodes complémentaires à l’analytics

Les problématiques cookies et RGPD que rencontrent les solutions analytics pourraient susciter un regain d’intérêt pour les techniques traditionnelles de mesure :

  • Les approches statistiques comme le brand lift, le marketing mix modeling ou le geo experiment peuvent être employées pour analyser l’impact d’une campagne publicitaire. Néanmoins, elles nécessitent un volume de données important et s’adressent donc à des annonceurs ayant des budgets d’investissements publicitaires importants.
  • Et, sur le volet de l’optimisation de l’expérience utilisateur et de la conversion, on peut exploiter les outils d’analyse qualitative comme les sondages, les tests utilisateurs et les focus group…

 

Besoin d'un expert SEO, SEA, Analytics ?

 

ces articles peuvent vous intéresser...