La CNIL vient de frapper du poing sur la table. À partir de mars 2021, la gestion des consentements des utilisateurs devra être beaucoup plus rigoureuse. Et le moins que l’on puisse affirmer, c’est qu’il y a du boulot et des répercussions importantes pour la plupart des propriétaires de sites web.
RGPD, CCPA, ePrivacy… et autres réglementations s’empilent, se cumulent et exigent que les sites web se mettent en conformité quant au consentement préalable de l’internaute en matière de cookies non obligatoires.
Tout le monde y va à reculons car les solutions disponibles ne sont ni bonnes pour l’UX et l’utilisateur qui se dépêche de trouver le bouton « tout refuser » ou « accepter tout » ni pour les propriétaires de sites qui doivent s’adapter et qui perdent de la donnée (30% de perte selon les études de cas les plus optimistes, de 60 à 90% selon les plus pessimistes).
La CNIL, après avoir laissé une longue période de grâce, vient préciser ce qu’elle attendait dans une mise à jour début octobre. Concrètement et pour faire très simple, il est interdit de déposer un cookie non nécessaire sur le navigateur d’un internaute sans que ce dernier ne l’ai choisi.
Cookies nécessaires et non nécessaires
Tous les cookies ne nécessitent pas le consentement de l’internaute. Un site web peut déposer un cookie sans que l’internaute n’ait été informé et/ou sans que l’internaute ait exprimé son consentement lorsque :
- les traceurs de connexion et authentification ;
- les traceurs de panier d’achat ou de personnalisation d’espace utilisateur ;
- les traceurs liés au consentement (et oui, un cookie pour se souvenir si l’internaute veut des cookies) ;
- certains outils de mesure d’audience basiques.
Par contre, les autres cookies nécessitent le consentement de l’utilisateur :
- Statistiques web évoluées ;
- Remarketing et publicité ;
- Traceurs de réseaux sociaux ;
- Fonctionnalités « gratuites » : police web, cartographie, incrustation de vidéos…
Dans le cas d’un site ecommerce, cela signifie que :
- les cookies liés à la création de compte utilisateur, de connexion automatique et de personnalisation du compte sont nécessaires et ne nécessitent pas de consentement ;
- les cookies pour se rappeler des préférences de consentement ne nécessitent pas de consentement ;
- les cookies de Google Analytics, de paniers d’audience, de Google Ads, de Bing Ads, le pixel Facebook, de Criteo, du module de chat… nécessitent l’accord préalable de l’utilisateur.
Ce qui n’est pas/plus OK avec la gestion des cookies / consentement
Entre autres :
- Ne pas demander le consentement ;
- Dire que le consentement est donné lorsque l’internaute scrolle dans la page ;
- Dire que le consentement est donné lorsque l’internaute voit plusieurs pages ;
- Dire que l’acceptation des CGV/CGU vaut consentement ;
- Afficher un gros bouton « Accepter » et un petit bouton « Refuser » ;
- Ne pas proposer de choisir les cookies ;
- Ne pas expliquer le rôle de chaque cookie ;
- Interdire l’accès au site tant que les cookies non nécessaires ne sont pas acceptés.
Ce qui est désormais exigé pour gérer le consentement des utilisateurs
- Consentement d’abord : aucun cookie non nécessaire doit être déposé avant que l’internaute n’est donné son feu vert ;
- Consentement positif et choix réel : l’internaute doit réaliser une action concrète pour valider son consentement ;
- Information simple, complète et consentement éclairé : l’internaute doit comprendre la finalité et ne doit pas être incité vers une action précise ;
- Pouvoir prouver le consentement : le propriétaire du site doit pouvoir montrer qu’il a archivé de façon sécurisée et fiable la preuve et le détail du consentement;
- L’internaute doit pouvoir modifier ou retirer son consentement.
Et les professionnels du web ?
Le devoir de conseil, ça vous parle ? Et la co-responsabilité ? Dans les faits, qui est-ce qui paramètre ces aspects sur le site ? Qui est-ce qui active les paniers d’audience GA ? Qui est-ce qui dépose le pixel Facebook ou qui paramètre des campagnes de remarketing ?
Webmasters et agences doivent donc alerter leurs clients et les guider vers une mise en conformité. Sinon, le prestataire pourrait se trouver dans une fâcheuse position de coresponsable.
Comment gérer le consentement ?
- La plupart des solutions simples déjà existantes ne fonctionnent plus. Plugins RGPD et autres scripts à installer sur site sont dans leur grande majorité obsolètes et ne couvrent pas tous les points exigés par la CNIL.
- Les plus techniciens pourront se lancer dans le paramétrage d’un GTM. Ce n’est pas à la portée du premier webmaster venu.
- Reste la solution des plateformes dédiées de gestion du consentement. Certaines sont complexes à mettre en oeuvre et il y a forcément du travail de paramétrage et de mise à jour. Mais un de leurs avantages est l’externalisation et le stockage des consentements recueillis.
Quelques mots pour relativiser. La CNIL ne va pas tomber sur tous les sites en mars 2021. Et il y a d’autres données personnelles plus sensibles stockées en ligne. Probablement que certains gros sites qui ne se seront pas mis en conformité se feront prendre la main dans le sac et devront s’adapter très vite. Mais la plupart des petits sites peuvent se débrouiller en minimisant d’une part le nombre de cookies et en demandant le consentement via une plateforme de gestion du consentement d’autre part. Verdict d’ici quelques mois…