La conformité au RGPD est devenu un enjeu crucial pour tout site web collectant des données.

Pourtant, peu de sites semblent respecter (et simplement connaître) les règles concernant la bannière associée à leur PGC (Plateforme de Gestion du Consentement) ou CMP (Consent Management Platform).

On voit souvent un peu n’importe quoi sur les sites, notamment des bannières :

  • Qui ne proposent pas de réel choix aux internautes – c’est encore fréquent (ou mieux pas de bannière….comme certaines agences pourtant très visibles).
  • Qui ne parle simplement pas de manière conforme des raisons d’être de la bannière

Quelques exemples:

 

  

Pour vous accompagner dans ce processus, nous avons utilisé une checklist de conformité de la bannière de consentement. Elle est inspirée d’une checklist fournie par Consent Manager (l’une des CMPs avec lesquelles nous travaillons) mais nous avons fait au mieux pour la compléter et l’accompagner d’ illustrations.

Pour rappel, Snow Globe fournit du Conseil en Webmarketing – nous ne sommes pas un cabinet d’avocats mais, comme la plupart des cabinets de conseil webmarketing et analytics qui font leur travail, nous n’échappons pas au sujet de la gestion du consentement des utilisateurs. La quasi totalité des outils avec lesquels nous travaillons quotidiennement (Google Ads, Meta Ads, Google Analytics 4, etc.) dépendent désormais directement ou indirectement du consentement des utilisateurs l’utilisation de leurs données. Surtout, la performance de vos campagnes webmarketing dépendra de plus en plus de votre capacité à optimiser la récolte du consentement des utilisateurs. Un simple exemple: depuis mars 2024, il devient très compliqué de recibler des utilisateurs via Google Ads sans fournir l’état du consentement à Google.

 

1. Bannière de consentement, le premier (et principal) écran :

La première couche de la bannière de cookies se réfère à l’information essentielle qui est présentée immédiatement à l’utilisateur.

Cette première couche devrait notamment comprendre les éléments suivants :

  • La notification de l’utilisation de cookies,
  • les finalités de ces mêmes cookies,
  • Les boutons “Accepter” et “Refuser

a. Notification de l’utilisation des données

C’est la partie en encadrée dans l’image ci-dessous :

Les recommandations

  • S’assurer que le titre du consentement aux cookies et au traitement des données est clair et explicite.
  • Inclure dans le texte les informations sur des exemples/catégories de données traitées (par ex. adresse IP, informations sur l’appareil, comportement de navigation, …)
  • Décrire les finalités du traitement des données (pour les juristes…cela se passe ici => Art. 4 No. 11, 5 Para. 1 lit. b, 6 Para. 1 lit. a RGPD)
  • Indiquer si le traitement des données et les cookies sont également effectués par des tiers (Art. 4 No. 11 RGPD)
  • Préciser le nombre de tiers impliqués
  • Préciser si les données peuvent être traitées en dehors de l’UE
  • Clarifier si les données de différentes sources sont combinées (Art. 7 Para. 4 RGPD, ErwGr. 42, 43 RGPD)
  • Clarifier que le consentement est facultatif/non requis pour utiliser le service (Art. 7 Para. 3, Para. 4 RGPD)
  • Indiquer comment révoquer le consentement et les conséquences éventuelles (Art. 7 Para. 3, Para. 4 RGPD)

Les mauvaises idées

  • Éviter les titres vagues et non spécifiques comme “Nous utilisons des cookies.”, “Cookie bla bla bla” etc.

 

b.Finalités associées au choix de l’utilisateur

 

Les recommandations

  • Inclure des informations sur la raison pour laquelle les données personnelles sont traitées et les cookies sont placés sur le site web (…juristes:  Art. 4 No. 11, 5 Para. 1 lit. b,6 Para. 1 lit. a RGPD)
  • Veiller à ce que les finalités de l’utilisation des cookies soient spécifiques (marketing, mesure etc.) et facilement compréhensibles par les utilisateurs.

Les mauvaises idées

  • Utiliser des cases précochées (CJUE, Urt. v. 1.10.2019 – C-673/17 –„Planet49“, ErwGr. 32 RGPD)
  • Éviter les définitions et formulations générales qui pourraient induire en erreur les utilisateurs.
  • Ne rien mettre (le cas le plus courant)

 

c. Boutons d’acceptation, refus et personnalisation

Les recommandations

  • Nommer clairement les boutons (cela peut être aussi simple que “Accepter” et “Refuser“)
  • Offrir un choix clair entre l’acceptation et le refus (ErwGr. 42, 43 RGPD)
  • Toujours présenter les boutons d’acceptation ET de refus de manière visible et accessible.
  • Les deux options doivent avoir le même design et la même importance
  • Veiller à ce que le processus de refus soit aussi simple et facile que celui d’acceptation.
  • Facultatif : Si le site web ou l’application est destiné aux moins de 16 ans (par exemple, en DE) ou aux moins de 13 ans (UK), envisager de mettre en place une vérification de l’âge conforme à l’Art. 8 Para. 2 RGPD.

Les mauvaises idées

  • L’utilisation de “Techniques abusives” (choix de design qui rendent l’acceptation inévitable ou masquent le plus possible la possibilité d’un refus) ou de toute pratique trompeuse qui pourrait influencer le choix des utilisateurs => le RGPD exige un consentement authentique (“genuine consent“). Voici aussi ce que vous trouverez sur le site de la CNIL. Une fois de plus, nous ne sommes pas juristes, mais vous aurez compris qu’il convient de proposer clairement aux utilisateurs de donner ou de ne PAS donner leur consentement.
  • Ne pas inclure d’options telles que “Accepter + Paramètres” ou “Accepter + Personnaliser” qui pourraient induire en erreur les utilisateurs en leur faisant croire qu’ils doivent accepter pour accéder aux paramètres ou aux options de personnalisation

Cette partie de la bannière est généralement celle qui pousse à la plus grande créativité les responsables de site. Il doit bien exister 50 manières de vous proposer de consentir à l’utilisation de vos données personnelles. Quelques exemples, dont la plupart se trouvent dans une zone grise (voir très très grise) d’un point de vue légal…..cherchez bien, vous pouvez refuser les cookies

 

 

Si vous voulez la recommandation de l’état, la voici (car l’état possède un site qui prescrit ce qui est attendu des sites…de l’état)…..vous constaterez probablement quelques différences avec les CMPs ci-dessus:

2. Bannière de consentement, le deuxième écran :

Cette partie permet de configurer les préférences de manière plus détaillée. Elle est rarement vue par les utilisateurs donc nous n’allons pas trop détailler.

a. Informations générales

Recommandations

  • Assurer que chaque finalité du traitement des données est accompagnée d’une description précise (l’Art. 5 Para. 1 lit. b et à l’Art. 13 Para. 1 RGPD
  • Énumérer tous les fournisseurs tiers recevant des données, y compris les sous-traitants pertinents (l’Art. 4 No. 11 RGPD et l’Art. 13 Para. 1 RGPD)
  • Inclure une liste de tous les cookies avec leurs détails, en incluant la période de stockage et la catégorie (CJUE, Urt. v. 1.10.2019 – C-673/17 – „Planet49“)
  • Permettre des choix granulaires pour les finalités et les fournisseurs (Art. 7 Para. 4, ErwGr. 42, 43 RGPD)
  • Inclure des informations sur le responsable du traitement des données (généralement votre entreprise) et, si disponible, le délégué à la protection des données (Art. 13 Para. 1 a+b RGPD)
  • Offrir la possibilité de retirer le consentement à tout moment, inclure un bouton “Tout refuser“(Art. 7 Para. 3 S. 4 RGPD)

b.  Détails sur les fournisseurs

Voici un exemple des détails fournis par Consent Manager pour Google Ads. C’est assez intimidation à première vue mais si vous travaillez avec une plateforme de gestion du consentement sérieuse – voir nos recommandations en bas d’article – ces informations devraient être fournies sans travail de votre part:

Recommandations

Lister tous les fournisseurs de service associés à votre site internet, avec les détails suivants pour chacun. Cela peut paraître difficile mais une plateforme de gestion du consentement sérieuse fera l’immense majorité du travail pour vous :

  • Nom de l’entreprise (Art. 4 No. 11 RGPD, Art. 13 Para. 1 RGPD, CJUE, Urt. v. 1.10.2019 – C-673/17 -„Planet49“ Spécification des destinataires requise)
  • Adresse (Art. 4 No. 11 RGPD, Art. 13 Para. 1 RGPD)
  • Bases légales (Art. 6 Para. 1 RGPD)
  • Finalités (Art. 5 Para. 1 lit. b, 13 Para. 1 RGPD)
  • Description du traitement des données (Art. 13 Para. 1 RGPD)
  • Catégories de données traitées (Art. 15 Para. 1 b RGPD)
  • Liste des cookies et des technologies similaires, y compris la durée de stockage (CJUE, Urt. v. 1.10.2019 – C-673/17 – „Planet49“)
  • Ajouter une note si les fournisseurs sont situés ou traitent les données en dehors de l’UE
  • Considérer un consentement supplémentaire pour le transfert de données Hors de l’UE 
  • Utiliser des recommandations de crawler de cookies

 

Et notre agence webmarketing dans tout ça? 

Nous avons travaillé dur sur ce sujet. Nous n’aimons pas les CMP, les textes juridiques etc. mais…

nous voulons fournir la meilleure prestation webmarketing possible à nos clients. Fournir la meilleure prestation de marketing digital en 2024 n’est pas envisageable sans s’être adapté à la profonde évolution règlementaire en cours:

  • non, le tracking server-side ne vous permettra pas de récupérer toutes les données/comportements de vos utilisateurs (leur consentement reste indispensable)
  • non, le “cookie less” ne permet pas d’utiliser les données de vos utilisateurs pour faire du marketing.
  • etc.

C’est assez simple: si vous voulez utiliser des données utilisateurs pour les cibler (remarketing, customer lists / lookalike…), vous devez avoir leur autorisation et vous devez avoir récolté/conservé cette autorisation dans des conditions correctes. Les mêmes règles s’imposent si vous voulez avoir accès à leur comportement sur votre site via des outils comme GA4, Hotjar, etc.

Cette évolution rend notre métier plus compliqué. L’époque ou une installation Google Analytics standard vous permettez de voir la quasi-intégralité des actions réalisées sur un site nous manquera mais c’est ainsi.

Dans ces circonstances, nous avons donc:

  • Étudié, en détails, une dizaine de fournisseurs de solutions (Didomi, Axeptio, CookiePro, Consent Manager, etc.)
  • Testé 4 CMPs
  • Retenu à date 2 CMPs
  • Installé plus de 20 CMPs 
  • Intégré le Consent Mode recommandé par Google
  • Réalisé des dizaines d’AB tests de CMPs avec un objectif d’optimisation de taux de consentement.

et nous poursuivons de travail au quotidien.

Si le sujet vous concerne, vous pouvez nous contacter.

Bonne journée,

L’équipe Snow Globe