[ MISE À JOUR 2 SEPTEMBRE 2022 – POSITION DE LA CNIL SUR GOOGLE ANALYTICS ]

[ MISE À JOUR 6 DÉCEMBRE 2021 – TROIS NOUVELLES AJOUTÉES, DONT MATOMO ]

[ MISE À JOUR 6 OCTOBRE 2021 – 10 SOLUTIONS SONT MAINTENANT VALIDÉES… TOUJOURS PAS GOOGLE ANALYTICS ]

[ MISE À JOUR 28 JUILLET 2021 – TROIS NOUVELLES SOLUTIONS DE MESURE D’AUDIENCE VALIDÉES PAR LA CNIL, DONT PIWIK PRO ]

[ MISE À JOUR 28 MAI 2021 – TROIS SOLUTIONS DE MESURE D’AUDIENCE SONT VALIDÉES PAR LA CNIL ET UN BANDEAU PAS TRÈS RESPONSIVE… ]

Depuis le 1er avril 2021, la CNIL a commencé ses actions de contrôle sur l’usage des cookies et le recueil du consentement. Et si votre site internet n’est pas encore aux normes, c’est maintenant qu’il faut agir.
​
Dans cet article nous reprenons les bases des recommandations. Et aussi les changements dans les communications de la CNIL. Et les initiatives d’acteurs comme Apple et Google qui viennent compléter et parfois contredire certaines règles.

👩🏽‍⚖️ La règlementation du 1er octobre 2020 – rappel des fondamentaux

​
Voici ce que dit la CNIL dans son communiqué du 1er octobre 2020 intitulé Cookies et traceurs : comment mettre mon site web en conformité ?
​
Il faut informer l’utilisateur avec

• l’ensemble des finalités d’usage liées aux traceurs
• une liste des responsables du traitement des données

Il faut permettre à l’utilisateur de

1- Consentir par un acte positif clair

• un silence est un refus
• les cases sont décochées par défaut

2- Faire un choix par finalité

• un consentement indépendant et spécifiques
• des boutons « tout accepter » et « tout refuser »

3- Exercer ses choix avec le même degré de simplicité

• deux boutons au même niveau
• le choix conservé pour 12 mois

4- Revenir sur sa décision à tout moment

• un lien en pied de page ou tout autre mécanisme​

Dans cet article, la CNIL ne fait pas mention de date de mise en application. Le RGPD étant en vigueur depuis mai 2018, on peut considérer que la mise en place doit être immédiate. Cette position a ensuite été précisée, avec l’objectif du 1er avril 2021 pour les premiers audits de conformité. Donc tout est clair depuis octobre 2020, finalement.
​
Et tout le monde est en règle.
Tout le monde ?
Pas vraiment.
D’ailleurs la date butoir était au 1er avril 2021. Donc personne ne s’est réellement pressé.
​
Et surtout, une ambiguïté persiste sur la gestion des cookies analytics. En effet, la mise en place de solution de recueil du consentement pose la question des services soumis à consentement. Et ceux qui sont exemptés de consentement.

🍪 Cookies analytics et mesure d’audience, que faut-il faire ?

​Le bandeau est assez clair depuis octobre.

Ce que la CNIL a clarifié dans sa communication du 8 mars 2021, c’est la gestion spécifique des outils de mesure d’audience. En octobre déjà, la CNIL distinguait bien

• les traceurs exemptés de consentement, dont certains traceurs de mesure d’audience
• les traceurs nécessitant le recueil du consentement préalable, et notamment la publicité (personnalisée ou pas) et le partage sur les réseaux sociaux​

Dans l’article de mars 2021, elle précise dans quels cas une solution de mesure d’audience pourrait être exemptée.
​
Et a promis d’afficher sur cette même page « la liste des solutions pouvant être configurées pour être utilisées sans recueil du contement ». Et au 8 avril 2021, la liste contenait… un seul nom

💥 Les impacts sur votre site

​Que vous utilisiez Google Analytics, Adobe Analytics, Matomo, Xiti ou encore Open Web Analytics, Clicky ou Statcounter, la même question revient : est-ce que je peux garder mon Analytics hors du CMP ?

Chez Eficiens, nous pensions avoir trouvé une solution en rendant nos configurations Google Analytics RGPD-compatible.

Nous avons documenté dans notre article sur les CMP comment nous combinons le CMP Tarteaucitron avec Tag Manager et Analytics. Et surtout les changements que nous avons opérés pour mettre notre analytics en conformité.​

Mais la communication 2021 de la CNIL nous laisse dans le flou

• les changements sont-ils suffisants ?
• faut-il ré-intégrer Google Analytics dans notre CMP ? et perdre une partie des statistiques visiteurs
• faut-il basculer vers une autre solution Analytics ? au risque de perdre l’historique
  ​
  ​

Quelle baisse craindre sur mes bassins d’audience ?

​
Si la partie Analytics est encore en discussion, la gestion des cookies publicitaires est très claire : soumis au consentement préalable.
​
Donc, si vous avez constitué des bassins d’audience Google Ads, Facebook, Instagram, LinkedIn, Twitter… vous avez dû constater une baisse suite à la mise en place du CMP. En juin 2020, la société Commanders Act a sorti sa 3e édition du Baromètre Privacy, avec notamment des indications de taux de consentement selon les types de bannières.
​
Car oui, comme tout élément de votre site internet, la bannière du CMP peut et doit être optimisée. Dans le respect de la règlementation bien évidemment, et la CNIL est assez explicite dans ses recommandations sur le sujet. Il ressort de cette étude des taux d’optin qui varient de 11 à 94% selon l’emplacement de la bannière et les boutons proposés !
​
​

🍎 Le cas particulier de deux poids lourds du marché : Google et Apple

​Apple l’a annoncé depuis longtemps : c’est la fin des cookies tiers !Apple les enterre avec les nouvelles version de Safari et le système « Intelligent Tracking Prevention ». Et Google avance la date de 2022 pour Chrome. Chacun y va de ses propositions. Et le mot à la mode est : cohorte. (ou dans sa version acronyme : FLoC pour « Federated Learning of Cohorts« ).
​
Dans une communication de janvier 2021 intitulée Building a privacy-first future for web advertising, Google décrit un système capable de remplacer les cookies tiers avec une efficacité de 95% par rapport au système actuel fondé sur les cookies.
Comment vont-elles être mises en place ?

Apple sous la surveillance de la CNIL pour iAD

Début mars 2021, France Digitale a porté réclamation auprès de la CNIL. En effet, Les publicités proposées par l’entreprise américaine peuvent apparaitre dans l’App Store, Apple News et Bourse. Elles doivent permettre aux internautes de découvrir des applications, des produits et des services « tout en respectant la confidentialité », détaille Apple.

« Les pratiques publicitaires d’Apple nécessitent un consentement lorsqu’elles impliquent la lecture ou le stockage de données sur le terminal de l’utilisateur », explique la CNIL. Pourtant, il n’est pas sûr qu’elles respectent ce principe…

​

Et en attendant, Google invente le Consent Mode

​
Google ne s’arrête pas aux cohortes. 2023, c’est encore un peu loin. Et parce qu’il y a toujours une solution intermédiaire, Google ajuste ses balises avec le mode consentement.

Encore en bêta, ce dernier « permet d’ajuster le comportement de vos balises Google en fonction de l’état de consentement de vos utilisateurs« . Euh… n’est-ce que justement la finalité d’une CMP ?
​
Sur le cas spécifique de Google Analytics, le Consent Mode permettrait à Analytics d’envoyer des « pings sans cookie à des fins de mesure et de modélisation de base ». Donc, de faire du tracking hors consentement. A ce stade, nous n’avons pas encore mis en place le Consent Mode sur nos balises Analytics et Ads. Et d’ailleurs tous les CMP ne le prennent pas non plus en charge.

​

🗓 Alors, quel outil analytics choisir ?

> La base : un bandeau cookie conforme et qui transforme

La conformité n’est pas discutable. Il vous faut un « bandeau cookies » conforme aux recommandations de la CNIL. Avec ses boutons bien visibles, son information claire, qui permette un choix éclairé. ​Choisissez emplacement et textes qui encouragent vos visiteurs à exprimer leur choix. N’oubliez pas que l’absence d’action vaut refus.

Et au passage… faites attention au responsive ! C’est presque surprenant de devoir encore en parler en 2021. Mais nous avons trouvé des bandeaux cookies qui n’était pas du tout adaptés aux écrans mobiles.

Le meilleur exemple ? Cet article du journal Le Parisien dont la version tablette n’est simplement pas fonctionnelle. Et le plus amusant (?), c’est que le mode portrait et le mode paysage présentent des défauts différents.

Saurez-vous les identifier ?

> Pour Analytics, la liste est arrivé

​Quelles sont les solutions exemptes de consentement ?
Peut-on modifier Google Analytics pour le garder hors du CMP ?

Au dernier pointage (6 octobre 2021), la liste de la CNIL contient dix noms.

1️⃣ Le premier élu est Analytics Suite Delta de AT Internet « dans sa version du 30 mars 2021 ». Cette recommandation est accompagnée d’un guide de configuration de 7 pages !

2️⃣ Le deuxième service est SmartProfile de Net Solution Partner « dans sa version 21 ». Et là aussi, il est accompagné d’un guide de configuration de 7 pages.

3️⃣ Dans l’ordre, le troisième service est Wysistat Business « dans sa version 12.1 ».

4️⃣ Puis la solution Piwik PRO Analytics Suite « dans sa version 15.2.0 », plutôt couplée au gestionnaire de consentement Piwik PRO Consent Manager, et qui prévoit un mode de collecte de données avec ou sans consentement.

5️⃣ La solution Abla Analytics de Astra Porta « dans sa version 1.9 » – une solution présentée comme « conforme aux exigences réglementaires et aux recommandations de la CNIL ». Et qui vient donc avec un certain nombre de limitations, décrites dans le document d’information :

• impossible de créer des cohortes de visiteurs pour l’affichage de contenus différenciés
• collecte d’informations de localisation limitée au niveau du pays
• adresses IP anonymisées instantanément
• impossible de suivre la navigation d’un visiteur sur plusieurs sites et/ou avec différents terminaux

6️⃣ Et aussi la solution Beyable Analytics « dans sa version 1.0 »

7️⃣ Chez etracker, la solution etracker Analytics dans sa version du 4 août 2021. De manière assez intéressante, si les paramètres permettent de le mettre en catégorie « absolument nécessaire », la société a quand même prévu une possibilité d’opt-out. Comme pour Abla Analytics, sont désactivées la création de cohortes, la collecte de localisation à l’échelle des villes. Et le dépôt des cookies est limité à un domaine ou une application – sauf ensemble de domaines clairement identifiés comme liés au même site.

8️⃣ Retency propose Retency Web Audience, dans sa version 1.0 – qui vient avec son guide de 10 pages bien détaillé. Et aussi avec les mêmes limites décrites plus haut. En effet, ces dernières sont liées à la règlementation.

9️⃣ On continue avec Nonli dans sa version 2.0. Dans leur document, la couverture note qu’il faut 30 minutes pour cette mise en conformité.

🔟 Et ContentSquare qui fait son entrée avec CS Digital, dans sa version 1.0 datée de septembre 2021.

1️⃣1️⃣ Matomo et la version 4 de Matomo Analytics, en version auto-hébergée et dans sa version cloud, en utilisant les paramètres par défaut, et en désactivant les cookies tiers, le cross-domain, le User ID et le e-commerce

1️⃣2️⃣ Avant-dernière solution (de cette màj de décembre 2021), la solution Wizaly, dans sa version 12

1️⃣3️⃣ Et enfin Compass, de Marfeel Solutions, qui est également compatible TCF v2

Continuez de surveiller cette page.
Nous la mettons à jour régulièrement avec les solutions validées par la CNIL.
​

> On évalue le Google Consent Mode

Si cette solution est jugée conforme, il sera important et sans doute urgent de la mettre en place sur les balises Analytics et Ads.

À la mise à jour de cet article (décembre 2021), la CNIL ne s’est toujours pas prononcée sur le Consent Mode. Et même si la plupart des CMP vous permettent de le mettre en place, nous laisserons le mot de la fin à Axeptio :

source : https://www.axeptio.eu/post/utiliser-le-google-consent-mode-avec-axeptio

> Et depuis juillet 2022, on ré-évalue Google Analytics !!

Le 7 juin 2022, la CNIL publie deux articles retentissants :

• Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?
• Questions-Réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics

Ces articles font suite à une action du 10 février 2022, où la CNIL avait mis en demeure des entreprises concernant leur usage de Google Analytics. En effet, l’organise de régulation a estimé que des données d’internautes européens étaient transférées illégalement par le biais de l’outil.

Dans l’article de Questions / Réponses, la CNIL clarifie un certain nombre de points :

1. l’usage de Google Analytics « de façon similaire aux organismes [mis en demeure] être considéré comme illégal au regard du RGPD
2. tous les organismes dans cette situation ont 1 mois pour se mettre en conformité
3. il n’est pas possible de paramétrer simplement Google Analytics pour éviter de transférer des données personnelles hors de l’UE
4. le consentement explicite des utilisateurs n’est pertinent que pour des transferts non systématiques, et pas du traçage systématique comme c’est le cas d’une solution Analytics
5. il existe des outils alternatifs (cf. plus haut) – mais, comme le souligne la CNIL, « la liste n’examine pas, à l’heure actuelle, les enjeux posés par les transferts internationaux »

Bref

C’est plus clair côté Google Analytics.

Et en même temps le plan d’action reste très flou :

• faut-il enlever tout de suite Google Analytics ?
• quelle solution alternative choisir, si elle peut être remise en question dans 3 mois sur les transferts internationaux ?
• faut-il tout simplement arrêter le Web Analytics ?
• Google va-t-il prendre le risque de perdre sa position plus que dominante sans proposer de solution simple ?
• et au fait, on fait quoi avec Google Analytics 4 ?

Depuis le début, chez Eficiens, nous veillons, conseillons, et accompagnons les choix de nos clients.

Les stratégies sont multiples : maintien de Google Analytics, migration sur Matomo, AT Internet, … Dans tous les cas, nous vous aidons à clarifier la stratégie et mettre en place le plan de tracking pertinent.