Qui dit collecte de données, dit dépôt de cookies… Afin de protéger les internautes contre la collecte de données intrusives, la CNIL a mis en place un certain nombre de lois et de règles afin de légiférer et protéger les internautes contre les méfaits de la collecte d’informations personnelles non consentis.
Pour la CNIL, le terme « cookie » prend également en compte toute les technologies servant à collecter et garder des données personnelles. Exemple : Finger printing (méthode d’identification sans cookie qui peut être basée sur son adresse IP, le navigateur, le système d’exploitation etc.), la CNIL prend également en compte les identifiants utilisés par les systèmes d’exploitations mobiles (exemple : IDFA (ID For Advertisers) chez Apple ou l’Android Advertising ID chez Google). Les cookies utilisés dans les animations Flash.
En 2009, Le parlement et le conseil européen adoptent deux directives et un règlement relatifs aux communications numériques dont les cookies, avec pour objectif : réguler un marché de la collecte de données ayant pour visée la publicité en ligne. Dans lequel parfois, aucune limite dans la collecte de données et l’intrusion n’existe.
La directive européenne sur les cookies est créée, ce qui conduira par la suite à la création de la loi Paquet télécom en France. A la suite de l’entrée en vigueur de la loi « Paquet télécom » le 24 aout 2011, les internautes ont désormais le choix entre donner leurs consentements ou non avant qu’un cookie ne soit posé dans leurs navigateurs. Les internautes ont désormais le pouvoir de choisir les sites où ils souhaitent être tracés ou non. Les annonceurs et autres éditeurs sont dorénavant obligés d’avertir en amont l’utilisateur de tout tracking. Ceci est ensuite valable durant une durée totale de 13 mois.
Avec l’invalidation du « Safe Harbor » par la justice française, on considère désormais les données collectées et stockées dans des serveurs aux Etats-Unis sans le consentement de l’internaute, comme non fiable et ne répondant pas aux niveaux de sécurité exigé par l’Union Européenne. Toute entreprise collectant et stockant ses données dans des serveurs situés à l’extérieur de l’Union Européenne, doit demander le consentement des internautes avant toute pose de cookie.
Cela concerne qui ?
Les éditeurs de sites et application mobiles, concepteurs d’OS, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure analytics etc. Seul les cookies relatifs au bon fonctionnement du site sont exemptés (par exemple : cookie panier dans les sites de e-commerce ou encore les cookies chat)
Sur quel support s’applique la loi ?
La loi s’applique sur tous les supports web, mobile, application et objets connectés. Il est nécessaire de faire la distinction entre deux types de cookies, le cookie analytics et le cookie publicitaire
Bien que totalement différents dans leurs usages, ces deux types de cookies peuvent parfois être utilisés de manière complémentaire.
Le cookie publicitaire, servant entre autres à effectuer le suivi des transactions provenant des leviers publicitaires. Il est également utilisé dans le suivi global de performance des bannières et autres leviers d’acquisition. Il sert aussi à faire des actions de retargeting.
Tandis que le tag analytics sert principalement à faire de la mesure d’audience. Suivre les comportements et les chemins emprunter par les visiteurs sur son site internet, il a pour objectif de nous donner des indications sur l’expérience utilisateur vécu par l’internaute, et nous donne les informations nécessaires à l’amélioration de celle-ci.
Il arrive parfois que des cookies analytics sont utilisés pour cibler une typologie d’internautes bien spécifiques lors des campagnes publicitaires. Dans le cas de Google, qui possède à la fois Google Analytics, mais aussi Google AdWords et le réseau Google Display, il est possible d’utiliser des listes d’audience provenant de Google Analytics pour effectuer des campagnes publicitaires sur les différents réseaux offerts par Google.
Ciblant avant tout les cookies publicitaires, les cookies analytics doivent eux aussi respecter certaines conditions pour se voir épargner le consentement imposé par la CNIL.
Le cookie analytics, un cookie à part
Afin de voir un cookie analytics être exonéré de toute demande de consentement, celui-ci doit respecter des conditions très strictes.
Les cookies de mesure d’audience doivent respecter certaines conditions :
- Les utilisateurs doivent être informés de la possibilité de s’opposer à tout moment, au traitement de leurs données
- Les informations collectées concernant les utilisateurs, ne doivent pas faire l’objet d’un croisement de données avec d’autres informations clients tels que des fichiers clients, statistiques etc.
- Les statistiques effectuées à l’aide du cookie déposé, doivent être anonymes et ne doivent pas donner d’indication sur la navigation de l’internaute sur plusieurs sites à la fois.
- Le délai de conservation de la donnée, ayant un identifiant ou non, ne doit pas dépasser 13 mois à partir de la première visite, cette période ne doit pas être reconduite lors des visites suivantes de l’internaute sur le site ou application mobile
- A l’issue de ces 13 mois, une nouvelle demande de consentement doit être effectuée
- La géolocalisation depuis l’adresse IP, doit uniquement se limiter aux deux premiers octets IPv4 et six aux premiers octets IPv6, servant dans les deux cas à localiser la ville.
Les tags analytics n’étant pas en mesure de respecter ces conditions, devront alors demander le consentement de l’internaute avant tout dépôt de cookies.
Pour se mettre en conformité avec la loi, il faut donc demander le consentement de l’internaute avant tout dépôt de cookie et mettre en application ce consentement. L’objectif de cette loi est de replacer la protection de l’internaute comme priorité absolue. Ainsi, les sites doivent demander la permission des internautes avant tout dépôt de cookie, l’internaute doit également être informé de la finalité du cookie déposé et doit pouvoir avoir le choix entre accepter ou non le dépôt de cookie. Dans le cas où les visiteurs ont accepté le dépôt de cookies, ils doivent aussi pouvoir modifier à tout moment leurs consentement. Par contre, le visiteur n’ayant ni accepté ni refusé le cookie, est considéré comme ayant accepté le cookie.
La CNIL conseille également de créer une page « Mention légale » sur son site afin d’expliquer en détail ce qu’est un cookie et à quoi il sert, de façon à rassurer l’internaute dans la collecte de données effectuées par l’entreprise.
Quel risque pour les éditeurs ?
Etant donné que le business model des sites web se rémunèrent en grande majorité via la publicité en ligne, il y a un risque pour les éditeurs et annonceurs que les internautes refusent massivement l’utilisation des cookies et à terme perdre tout financement. Le fait que le web est gratuit nécessite que les sites internet doivent avoir d’autres moyens de rémunérations dont les cookies. Se mettre en conformité avec les recommandations de la CNIL risque donc de coûter cher aux différents acteurs du web. Dans un premier temps, avec les optimisations qui doivent être faite afin de déclencher ces tags, uniquement après avoir obtenu le consentement de l’internaute, et d’autre part, dans la baisse de données récoltées.
La solution des TMS (Tag Management System)
Grâce aux différentes règles de déclenchement facilement « configurables » depuis l’interface, les Tags Management System permettent une plus grande flexibilité dans le processus de mise en conformité avec la loi. Car en plus de pouvoir déclencher ses tags qu’après l’acceptation de l’internaute, il est également plus facile de faire la distinction entre les tags analytics, tags publicitaires servant au suivi des conversions ou encore aux tags publicitaires de retargeting. Ainsi, il est plus facile de proposer aux utilisateurs la possibilité de n’accepter que les tags analytics servant à l’amélioration de l’expérience utilisateur sur le site et refuser dans le même temps les autres tags publicitaires jugés plus intrusifs.