Quelle est la nouvelle règlementation de la CNIL au 1er avril 2021 en matière de gestion cookies | Que faire ? Le plan d'action expliqué par notre expert Analytics

Depuis le 1er avril, la CNIL peut commencer ses actions de contrôle sur l’usage des cookies et le recueil du consentement. Et si votre site internet n’est pas encore aux normes, c’est maintenant qu’il faut agir.
​
Dans cet article nous reprenons les bases des recommandations. Et aussi les changements dans les communications de la CNIL. Et les initiatives d’acteurs comme Apple et Google qui viennent compléter et parfois contredire certaines règles.

👩🏽‍⚖️ La règlementation du 1er octobre 2020 – rappel des fondamentaux

​
Voici ce que dit la CNIL dans son communiqué du 1er octobre 2020 intitulé Cookies et traceurs : comment mettre mon site web en conformité ?
​
Il faut informer l’utilisateur avec

• l’ensemble des finalités d’usage liées aux traceurs
• une liste des responsables du traitement des données

Il faut permettre à l’utilisateur de

1- Consentir par un acte positif clair

• un silence est un refus
• les cases sont décochées par défaut

2- Faire un choix par finalité

• un consentement indépendant et spécifiques
• des boutons « tout accepter » et « tout refuser »

3- Exercer ses choix avec le même degré de simplicité

• deux boutons au même niveau
• le choix conservé pour 12 mois

4- Revenir sur sa décision à tout moment

• un lien en pied de page ou tout autre mécanisme​

Dans cet article, la CNIL ne fait pas mention de date de mise en application. Le RGPD étant en vigueur depuis mai 2018, on peut considérer que la mise en place doit être immédiate. Cette position a ensuite été précisée, avec l’objectif du 1er avril 2021 pour les premiers audits de conformité. Donc tout est clair depuis octobre, finalement
​
Et tout le monde est en règle Tout le monde ? Pas vraiment.
D’ailleurs la date butoir est au 1er avril. Donc jusqu’ici tout va bien.
​
Et surtout, une ambiguïté persiste sur la gestion des cookies analytics. En effet, la mise en place de solution de recueil du consentement pose la question des services soumis à consentement. Et ceux qui sont exemptés de consentement.

🍪 Cookies analytics et mesure d’audience, que faut-il faire ?

​Le bandeau est assez clair depuis octobre.

Ce que la CNIL a clarifié dans sa communication du 8 mars 2021, c’est la gestion spécifique des outils de mesure d’audience. En octobre déjà, la CNIL distinguait bien

• les traceurs exemptés de consentement, dont certains traceurs de mesure d’audience
• les traceurs nécessitant le recueil du consentement préalable, et notamment la publicité (personnalisée ou pas) et le partage sur les réseaux sociaux​

Dans l’article de mars 2021, elle précise dans quels cas une solution de mesure d’audience pourrait être exemptée.
​
Et a promis d’afficher sur cette même page « la liste des solutions pouvant être configurées pour être utilisées sans recueil du contement ». Et au 8 avril 2021, la liste contient… un seul nom

💥 Les impacts sur votre site

​Que vous utilisiez Google Analytics, Adobe Analytics, Matomo, Xiti ou encore Open Web Analytics, Clicky ou Statcounter, la même question revient : est-ce que je peux garder mon Analytics hors du CMP ?

Chez Eficiens, nous pensions avoir trouvé une solution en rendant nos configurations Google Analytics RGPD-compatible.

Nous avons documenté dans notre article sur les CMP comment nous combinons le CMP Tarteaucitron avec Tag Manager et Analytics. Et surtout les changements que nous avons opérés pour mettre notre analytics en conformité.​

Mais la dernière communication de la CNIL nous laisse dans le flou

• les changements sont-ils suffisants ?
• faut-il ré-intégrer Google Analytics dans notre CMP ? et perdre une partie des statistiques visiteurs
• faut-il basculer vers une autre solution Analytics ? au risque de perdre l’historique
  ​
  ​

Quelle baisse craindre sur mes bassins d’audience ?

​
Si la partie Analytics est encore en discussion, la gestion des cookies publicitaires est très claire : soumis au consentement préalable.
​
Donc, si vous avez constitué des bassins d’audience Google Ads, Facebook, Instagram, LinkedIn, Twitter… vous avez dû constater une baisse suite à la mise en place du CMP. En juin 2020, la société Commanders Act a sorti sa 3e édition du Baromètre Privacy, avec notamment des indications de taux de consentement selon les types de bannières.
​
Car oui, comme tout élément de votre site internet, la bannière du CMP peut et doit être optimisée. Dans le respect de la règlementation bien évidemment, et la CNIL est assez explicite dans ses recommandations sur le sujet. Il ressort de cette étude des taux d’optin qui varient de 11 à 94% selon l’emplacement de la bannière et les boutons proposés !
​
​

🍎 Le cas particulier de deux poids lourds du marché : Google et Apple

​Apple l’a annoncé depuis longtemps : c’est la fin des cookies tiers !Apple les enterre avec les nouvelles version de Safari et le système « Intelligent Tracking Prevention ». Et Google avance la date de 2022 pour Chrome. Chacun y va de ses propositions. Et le mot à la mode est : cohorte. (ou dans sa version acronyme : FLoC pour « Federated Learning of Cohorts« ).
​
Dans une communication de janvier 2021 intitulée Building a privacy-first future for web advertising, Google décrit un système capable de remplacer les cookies tiers avec une efficacité de 95% par rapport au système actuel fondé sur les cookies.
Comment vont-elles être mises en place ?

Apple sous la surveillance de la CNIL pour iAD

Début mars 2021, France Digitale a porté réclamation auprès de la CNIL. En effet, Les publicités proposées par l’entreprise américaine peuvent apparaitre dans l’App Store, Apple News et Bourse. Elles doivent permettre aux internautes de découvrir des applications, des produits et des services « tout en respectant la confidentialité », détaille Apple.

« Les pratiques publicitaires d’Apple nécessitent un consentement lorsqu’elles impliquent la lecture ou le stockage de données sur le terminal de l’utilisateur », explique la CNIL. Pourtant, il n’est pas sûr qu’elles respectent ce principe…

​

Et en attendant, Google invente le Consent Mode

​
Google ne s’arrête pas aux cohortes. 2022, c’est encore un peu loin. Et parce qu’il y a toujours une solution intermédiaire, Google ajuste ses balises avec le mode consentement.

Encore en bêta, ce dernier « permet d’ajuster le comportement de vos balises Google en fonction de l’état de consentement de vos utilisateurs« . Euh… n’est-ce que justement la finalité d’une CMP ?
​
Sur le cas spécifique de Google Analytics, le Consent Mode permettrait à Analytics d’envoyer des « pings sans cookie à des fins de mesure et de modélisation de base ». Donc, de faire du tracking hors consentement. A ce stade, nous n’avons pas encore mis en place le Consent Mode sur nos balises Analytics et Ads. Et d’ailleurs tous les CMP ne le prennent pas non plus en charge.

​

🗓 Alors, on fait quoi au 1er avril 2021 ?

> La base : un bandeau cookie conforme et qui transforme

La conformité n’est pas discutable. Il vous faut un « bandeau cookies » conforme aux recommandations de la CNIL. Avec ses boutons bien visibles, son information claire, qui permette un choix éclairé. ​Choisissez emplacement et textes qui encouragent vos visiteurs à exprimer leur choix. N’oubliez pas que l’absence d’action vaut refus.
​

> Pour Analytics, la liste arrive

​Quelles sont les solutions exemptes de consentement ?
Peut-on modifier Google Analytics pour le garder hors du CMP ?

Au dernier pointage (8 avril 2021), la liste de la CNIL contient enfin un nom.

Oui, un seul nom.

L’heureux élu est Analytics Suite Delta de AT Internet « dans sa version du 30 mars 2021 ». Cette recommandation est accompagnée d’un guide de configuration de 7 pages !

Continuez de surveiller cette page. Nous la mettons à jour régulièrement, et ajouterons les autres solutions validées par la CNIL.
​

> On évalue le Google Consent Mode

Si cette solution est jugée conforme, il sera important et sans doute urgent de la mettre en place sur les balises Analytics et Ads.