Depuis le 1er avril, la CNIL peut commencer ses actions de contrôle sur l’usage des cookies et le recueil du consentement. Et si votre site internet n’est pas encore aux normes, c’est maintenant qu’il faut agir.
Dans cet article nous reprenons les bases des recommandations. Et aussi les changements dans les communications de la CNIL. Et les initiatives d’acteurs comme Apple et Google qui viennent compléter et parfois contredire certaines règles.
Voici ce que dit la CNIL dans son communiqué du 1er octobre 2020 intitulé Cookies et traceurs : comment mettre mon site web en conformité ?
Il faut informer l’utilisateur avec
Il faut permettre à l’utilisateur de
Dans cet article, la CNIL ne fait pas mention de date de mise en application. Le RGPD étant en vigueur depuis mai 2018, on peut considérer que la mise en place doit être immédiate. Cette position a ensuite été précisée, avec l’objectif du 1er avril 2021 pour les premiers audits de conformité. Donc tout est clair depuis octobre, finalement
Et tout le monde est en règle Tout le monde ? Pas vraiment.
D’ailleurs la date butoir est au 1er avril. Donc jusqu’ici tout va bien.
Et surtout, une ambiguïté persiste sur la gestion des cookies analytics. En effet, la mise en place de solution de recueil du consentement pose la question des services soumis à consentement. Et ceux qui sont exemptés de consentement.
Le bandeau est assez clair depuis octobre.
Ce que la CNIL a clarifié dans sa communication du 8 mars 2021, c’est la gestion spécifique des outils de mesure d’audience. En octobre déjà, la CNIL distinguait bien
Dans l’article de mars 2021, elle précise dans quels cas une solution de mesure d’audience pourrait être exemptée.
Et a promis d’afficher sur cette même page « la liste des solutions pouvant être configurées pour être utilisées sans recueil du contement ». Et au 8 avril 2021, la liste contient… un seul nom
Que vous utilisiez Google Analytics, Adobe Analytics, Matomo, Xiti ou encore Open Web Analytics, Clicky ou Statcounter, la même question revient : est-ce que je peux garder mon Analytics hors du CMP ?
Chez Eficiens, nous pensions avoir trouvé une solution en rendant nos configurations Google Analytics RGPD-compatible.
Nous avons documenté dans notre article sur les CMP comment nous combinons le CMP Tarteaucitron avec Tag Manager et Analytics. Et surtout les changements que nous avons opérés pour mettre notre analytics en conformité.
Mais la dernière communication de la CNIL nous laisse dans le flou
Si la partie Analytics est encore en discussion, la gestion des cookies publicitaires est très claire : soumis au consentement préalable.
Donc, si vous avez constitué des bassins d’audience Google Ads, Facebook, Instagram, LinkedIn, Twitter… vous avez dû constater une baisse suite à la mise en place du CMP. En juin 2020, la société Commanders Act a sorti sa 3e édition du Baromètre Privacy, avec notamment des indications de taux de consentement selon les types de bannières.
Car oui, comme tout élément de votre site internet, la bannière du CMP peut et doit être optimisée. Dans le respect de la règlementation bien évidemment, et la CNIL est assez explicite dans ses recommandations sur le sujet. Il ressort de cette étude des taux d’optin qui varient de 11 à 94% selon l’emplacement de la bannière et les boutons proposés !
Apple l’a annoncé depuis longtemps : c’est la fin des cookies tiers !Apple les enterre avec les nouvelles version de Safari et le système « Intelligent Tracking Prevention ». Et Google avance la date de 2022 pour Chrome. Chacun y va de ses propositions. Et le mot à la mode est : cohorte. (ou dans sa version acronyme : FLoC pour « Federated Learning of Cohorts« ).
Dans une communication de janvier 2021 intitulée Building a privacy-first future for web advertising, Google décrit un système capable de remplacer les cookies tiers avec une efficacité de 95% par rapport au système actuel fondé sur les cookies.
Comment vont-elles être mises en place ?
Début mars 2021, France Digitale a porté réclamation auprès de la CNIL. En effet, Les publicités proposées par l’entreprise américaine peuvent apparaitre dans l’App Store, Apple News et Bourse. Elles doivent permettre aux internautes de découvrir des applications, des produits et des services « tout en respectant la confidentialité », détaille Apple.
« Les pratiques publicitaires d’Apple nécessitent un consentement lorsqu’elles impliquent la lecture ou le stockage de données sur le terminal de l’utilisateur », explique la CNIL. Pourtant, il n’est pas sûr qu’elles respectent ce principe…
Google ne s’arrête pas aux cohortes. 2022, c’est encore un peu loin. Et parce qu’il y a toujours une solution intermédiaire, Google ajuste ses balises avec le mode consentement.
Encore en bêta, ce dernier « permet d’ajuster le comportement de vos balises Google en fonction de l’état de consentement de vos utilisateurs« . Euh… n’est-ce que justement la finalité d’une CMP ?
Sur le cas spécifique de Google Analytics, le Consent Mode permettrait à Analytics d’envoyer des « pings sans cookie à des fins de mesure et de modélisation de base ». Donc, de faire du tracking hors consentement. A ce stade, nous n’avons pas encore mis en place le Consent Mode sur nos balises Analytics et Ads. Et d’ailleurs tous les CMP ne le prennent pas non plus en charge.
La conformité n’est pas discutable. Il vous faut un « bandeau cookies » conforme aux recommandations de la CNIL. Avec ses boutons bien visibles, son information claire, qui permette un choix éclairé. Choisissez emplacement et textes qui encouragent vos visiteurs à exprimer leur choix. N’oubliez pas que l’absence d’action vaut refus.
Quelles sont les solutions exemptes de consentement ?
Peut-on modifier Google Analytics pour le garder hors du CMP ?
Au dernier pointage (8 avril 2021), la liste de la CNIL contient enfin un nom.
Oui, un seul nom.
L’heureux élu est Analytics Suite Delta de AT Internet « dans sa version du 30 mars 2021 ». Cette recommandation est accompagnée d’un guide de configuration de 7 pages !
Continuez de surveiller cette page. Nous la mettons à jour régulièrement, et ajouterons les autres solutions validées par la CNIL.
Si cette solution est jugée conforme, il sera important et sans doute urgent de la mettre en place sur les balises Analytics et Ads.