- Agence

Accueil — Nos ressources — Article — RGPD et cookies : tout comprendre des dernières lignes directrices de la CNIL, des impacts et des solutions
Le 1er avril 2021 a marqué la fin du délai de grâce de six mois accordé aux acteurs digitaux pour se mettre en conformité avec les dernières lignes directrices de la CNIL relatives aux cookies et traceurs, publiées le 1er octobre 2020. Désormais, les éditeurs de sites et d’applications mobiles doivent impérativement recueillir le consentement des internautes, sauf quelques exceptions, préalablement à la lecture et au dépôt de cookies sur leur terminal. En cas de manquements, ils s’exposent à des sanctions pénales ou administratives. Et, s’ils respectent strictement les règles, les risques d’hémorragie des données sont réels avec des impacts notables sur l’analyse d’audience ou la performance de leviers webmarketing comme la publicité ou le retargeting.
Alors, que faire face à ce dilemme ? Dans cet article nous revenons sur les principales évolutions de la règlementation RGPD et présentons des solutions et des alternatives pour réduire l’impact d’une raréfaction des cookies sur son activité digitale.
En introduction, de manière à bien comprendre les enjeux en cours pour tous les éditeurs de plateformes numériques, il nous semble primordial de rappeler le contexte juridique dans lequel s’inscrivent les dernières lignes directrices de la CNIL.
En juillet 2002, le Parlement européen adopte la directive ePrivacy, une réglementation sur la protection de la vie privée dans le secteur des communications électroniques. En novembre 2009, cette dernière est amendée, introduisant le principe du consentement préalable de l’utilisateur avant le dépôt ou la lecture de cookies, excepté pour les « actions strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ». En France, l’article 82 de la loi Informatique et Libertés transpose ce texte en droit français.
Depuis mai 2018, le règlement général sur la protection des données (RGPD) s’applique au sein de l’Union européenne dans le but d’encadrer, pour tous ses citoyens, le traitement des données à caractère personnel. Il définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Enfin, en octobre 2020, la CNIL rend publiques ses lignes directrices, complétées par un guide de recommandations, afin de préciser le droit applicable en France relatif à l’utilisation des cookies et traceurs et donner des modalités pratiques de recueil du consentement.
Le 1er avril 2021, le délai de mise en conformité accordé par la CNIL aux acteurs numériques arrive à son terme. Après six mois de sensibilisation et d’accompagnement, la Commission entérine la mise en application définitive des lignes directrices et annonce le lancement d’une vaste campagne de contrôles pour évaluer le respect des réglementations.
Bon à savoir : l’utilisation des cookies est une des trois thématiques prioritaires de contrôles décrétées par la CNIL pour l’année 2021, preuve de son engagement mais également des attentes des internautes sur le sujet, de plus en plus sensibles aux problématiques de traçage sur internet.
Bon à savoir : si vous souhaitez consulter les grandes pratiques RGPD & Cookies des 100 sites web les plus consultés en France après le 1er avril, nous vous invitons à télécharger dès maintenant notre Baromètre Empirik 2021 « RGPD & Cookies », que nous éditons chaque année depuis mai 2019.
En amont de l’élaboration de sa politique de mise en conformité, il nous apparaît indispensable de procéder à une évaluation des risques et impacts du RGPD et des directives de la CNIL sur l’activité digitale de son organisation.
Si des manquements en matière de protection des données personnelles et respect de la confidentialité sont constatés, les contrevenants encourent trois catégories de risques :
Les réglementations évoquées n’ont aucun impact sur les cookies de fonctionnement d’un site, à savoir l’authentification à un service, la mémoire d’un panier d’achat, la personnalisation de l’interface utilisateur (ex : le choix d’une langue) ou encore la limitation d’accès à des contenus gratuits sur un site média.
En revanche, les autres catégories de cookies (publicité, A/B Testing, marketing automation, réseaux sociaux…) sont bien soumises à l’obtention du consentement. En cas de strict respect des lignes directrices de la CNIL, nous observons une perte moyenne de données comprises entre 30 et 70 %.
Loin d’être anodine, cette hémorragie des données collectées peut avoir des répercussions notables sur :
Comme on peut le constater sur cette matrice, la balance risques & impacts dépend bien entendu de plusieurs critères du site concerné : son secteur d’activité, son mix d’acquisition et la diversité des canaux sur lesquels la marque est présente.
Le résultat de cette évaluation conditionne par la suite ses choix stratégiques de mise en conformité :
À noter : au-delà du cadre juridique imposé par le RGPD, on observe aussi depuis plusieurs années un contexte de restrictions technologiques à l’origine d’une diminution du volume des données collectées : les adblockers, utilisés à priori par 30 % des internautes, et les restrictions des navigateurs, notamment Safari et Firefox et bientôt Google (qui annonce la suppression des cookies tiers sur Chrome à l’horizon 2022).
Une CMP permet à l’éditeur d’un site de gérer l’affichage de ses bandeaux cookies, de stocker et récolter la preuve de consentement (= horodatage).
Certaines CMP proposent des fonctionnalités d’analyse et d’amélioration du taux d’opt-in (tableaux de bord, A/B Testing…). Les principales solutions utilisées sur le marché français sont : Didomi, TrustCommander, One Trust, Axeptio ou Quantcast.
Comme notre dernier baromètre le démontre, un consensus semble se dégager sur le design des bandeaux cookies les plus efficaces :
Le bandeau cookies d’OVH est une bonne illustration de cette disposition de bandeaux qui offre les meilleurs taux d’opt-in :
La standardisation des dispositions de bandeaux sur tous les sites risque à moyen terme d’altérer leur efficacité.
L’A/B Testing peut permettre de booster son taux d’opt-in, de 15 à 30 points, en testant différents éléments du bandeau cookies :
Des formats de bandeaux beaucoup plus créatifs pourraient bien émerger comme nous l’avons observé sur le site WeTransfer :
Il nous semble indispensable d’intégrer l’évolution de ses taux d’opt-in dans ses outils de pilotage (d’où l’importance d’exploiter une CMP proposant une API).
La mise en perspective des données analytics collectées et du taux d’opt-in sur les bandeaux cookies permettra d’évaluer le niveau d’exhaustivité des données analytics collectées.
L’industrie publicitaire digitale est historiquement très dépendante des cookies. Les impacts des dernières lignes directrices de la CNIL ne sont donc pas neutres. Voici quelques solutions pour optimiser vos revenus publicitaires.
Comme l’illustre la matrice ci-dessous, les audiences offrant une finesse de ciblage élevée sont très dépendantes des cookies (intentionniste, look-alike, et surtout le retargeting) et pourraient donc voir leurs performances se dégrader selon le taux de consentement.
En cas d’un faible taux d’opt-in, des alternatives publicitaires existent néanmoins :
Mais la généralisation de ces audiences cookie-less risque de renforcer le monopole de Google et Facebook sur le marché publicitaire. Les deux géants américains disposent en effet d’une capacité unique à constituer des audiences riches dans un univers logué et cross-device.
Comme nous venons de le préciser, la collecte de données 1st party (mail, téléphone…) va devenir un enjeu de plus en plus fort pour exploiter les opportunités offertes par les campagnes publicitaires ciblant une base mail ou look-alike.
Si la CNIL est aujourd’hui très focalisée sur la gestion des cookies, le formulaire d’un site web recueille lui aussi des données personnelles et est à ce titre dans l’obligation de présenter en 1er niveau la finalité de traitement et donc de recueillir le consentement.
Comme pour la publicité, le cookie est la cheville ouvrière de la mesure d’audience. Il permet en effet d’identifier l’origine d’un internaute, d’analyser son comportement de navigation et sa fréquence de revisite.
La solution la plus simple pour conserver une fiabilité élevée est de recourir à une solution de mesure d’audience exemptée du recueil de consentement.
A ce jour, seuls les outils Analytics Suite Delta d’AT Internet et SmartProfile de Net Solution Partner bénéficient de l’exemption du recueil de consentement, sous réserve que leur paramétrage respecte les principes généraux du RGPD et limite la finalité de traitement à la seule mesure d’audience.
L’utilisation d’AT Internet en mode exempté permet ainsi de collecter environ 90 % des dimensions et métriques analytics standards (source d’une visite, consultation de contenus, réalisation d’une conversion, etc).
L’obtention du consentement dans un second temps permet ensuite de bénéficier d’un socle de données enrichi par les cookies (origine géographique, fréquence de visite, CRM onboarding…).
Le strict respect des contraintes RGPD pour une solution de mesure d’audience non exemptée peut conduire à une perte de 30 à 70 % des données collectées.
Cette situation aura des conséquences importantes dans le pilotage de la performance :
Face à cette situation, il n’existe pas de recette miracle mais un panel de solutions à envisager :
Pour répondre à cette complexité, des compétences en data science et en data-visualisation s’avèrent plus que jamais nécessaires.
Les problématiques cookies et RGPD que rencontrent les solutions analytics pourraient susciter un regain d’intérêt pour les techniques traditionnelles de mesure :
Besoin d'aide, de conseils et de nouveautés ?