La CNIL avait fixé au 31 mars 2021, le délai pour la mise en conformité des sites web et applications en matière de cookies et autres traceurs.
Par la suite, elle a enregistré 4% de plaintes supplémentaires par rapport à 2020. Ces plaintes concernent principalement la prospection commerciale, le droit d’accès aux données, et justement l’un des thèmes prioritaires fixés par la CNIL : les cookies.
En effet, selon le rapport d’activité de la CNIL, depuis mars 2021, la campagne de contrôles de la CNIL envers la conformité relative à la gestion des cookies a donné suite à de nombreuses actions répressives. Plus de 250 plaintes déposées, pour 4 sanctions et 89 mises en demeure.
Rappel du cadre réglementaire
Afin d’assurer la conformité avec les lois sur la protection des données, la CNIL demande aux entreprises d’implémenter des mesures appropriées pour la protection des données personnelles collectées auprès des utilisateurs via leurs sites et/ou applications, selon les règles du RGPD en vigueur.
Cette mise en conformité s’applique :
- Au type de données collectées : Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,
- À la façon de les collecter (traceurs, formulaires),
- À leur traitement,
- À leur mise en sécurité (inaccessibilité aux sources non autorisées),
- À la transparence sur ce qui est fait de ces données et pourquoi, auprès des utilisateurs qui en sont la source,
- À la présence d’une solution d’octroi ou non du consentement des utilisateurs, de manière simple et transparente.
Afin d’éviter toute action répressive pour non-conformité aux règles de privacy et leurs évolutions, certaines actions doivent perdurer et être maintenues, d’où la nécessité de mettre en place une gouvernance autour de cette conformité, en collaboration avec le DPO (ou DCP) et les équipes concernées.
La web analyse et la mise en place de ce que la CNIL appelle « traceurs » à des fins marketing sont notamment soumises à ces règles de conformité.
Tracking et conformité RGPD
La mise en place de trackings partenaires ou pour l’analytics peut se faire pour des besoins d’advertising ou retargeting (Criteo, RTBHouse, Google Ads, etc .), d’affiliation (Awin, Affilae, etc.), ou encore de fonctionnalités (live-shopping, chatbot, recommandations, etc.).
Le tracking en client-side
Ces trackings se mettent en place le plus souvent via un tag (parfois un pixel) : Il s’agit d’un bout code HTML et Javascript succinct, à intégrer soit directement dans le code de la page adéquate du site, soit via un Tag Management System ou TMS, comme tagCommander, GTM ou Adobe Launch.
Selon le besoin, le tag peut :
- soit importer un pixel stocké sur les serveurs du partenaire, ce qui permettra de suivre l’activité de la page concernée à chaque affichage du pixel,
- soit importer une librairie appartenant au partenaire, souvent plus imposante en termes de code que le tag lui-même, et permettant par exemple la lecture et le dépôt de cookies tiers et éventuellement de consommer le Datalayer.
Concernant le Datalayer, il s’agit de la couche de données comprenant des données techniques de navigation, des données déclaratives fournies par les internautes ou des données comportementales sur ces derniers. À ce titre, le Datalayer peut contenir des données personnelles ou identifiantes comme l’e-mail, le nom, le prénom ou le numéro de téléphone, s’ils ont été fournis. En tant qu’informations identifiantes, il convient de transmettre ces données de façon anonymisée (hashage SHA256, tokenisation, cryptage) aux partenaires.
De plus, le Datalayer est concerné par le principe de minimisation : Il est nécessaire de prouver la nécessité de conserver telle ou telle donnée dans le datalayer, diminuant ainsi les risques de data leak vers des partenaires non autorisés.
Le tracking en server-side
Ici pas de notion de librairie importée : L’application web transmet via API les données utiles au tracking (qui peuvent correspondre à ce que contient le Datalayer) à l’outil de tracking server-side, dans lequel sont configurés les trackings vers les différents partenaires, par exemple sous la forme de webhooks ou de connecteurs natifs à l’outil choisi et pré-configurés.
CMP
Il est impératif que parmi les conditions de déclenchement de chaque tracking, qu’il soit client-side et server-side, figure l’acceptation ou le refus du visiteur quant à la finalité dont le tracking fait partie. En effet, l’obligation de transparence sur l’utilisation des données personnelles s’applique notamment par la définition de finalités auxquelles répondent les différents traceurs actifs sur le site. On peut par exemple retrouver la personnalisation du site, le fonctionnement du site (finalité « technique » qu’il n’est pas possible de refuser car porteuse de fonctionnalités nécessaires à la navigation du visiteur), l’audience, les réseaux sociaux, les publicités personnalisées, …
L’application de cette condition de déclenchement pour chaque tracking, qu’il soit client-side ou server-side, est possible grâce à l’utilisation de la « consent string », donnée qui agrège le consentement du visiteur à chaque finalité de traceurs. Cette dernière est récupérée grâce à l’outil de CMP (Consent Management Platform).
Les Consent Management Platforms permettent la gestion des finalités de traceurs et le respect du consentement des visiteurs vis-à-vis de ces finalités, et ce grâce à ces principales fonctionnalités :
- Permettre de générer et récupérer la « consent string », donnée qui agrège le consentement de l’utilisateur à l’utilisation de ses données personnelles, pour toute ou partie des finalités définies en amont.
- Permettre l’affichage d’une bannière à l’arrivée sur le site, plus ou moins personnalisable tout en assurant qu’elle soit conforme aux exigences du RGPD en termes de facilité d’utilisation et de transparence.
- Permettre la récupération de la preuve de consentement pour chaque visiteur (historique).
Le nombre de partenaires externes et donc de traceurs pouvant varier au jour le jour, il convient donc de maintenir constamment à jour la liste de ces partenaires externes classés par finalité. Liste qui doit être facilement accessible pour le visiteur.
De plus, les tags étant capables dans certains cas d’importer des librairies pour leur fonction de tracking, il peut arriver que ces dernières soient mises à jour par le partenaire et procèdent au dépôt ou à la lecture de nouveaux cookies tiers, voire au déclenchement de tags qui ne font pas partie de la liste définie sur le site (piggybacking).
Les outils de monitoring
Dans ce contexte, il convient de s’équiper pour mesurer de façon manuelle, puis automatique la conformité relative aux trackings et au consentement. Par exemple, en mettant en place un monitoring adapté permettant d’automatiser la surveillance des dépôts et de lecture des cookies, des partenaires consommateurs des données visiteur, des déclenchements de tags selon le consentement du visiteur à la finalité adéquate, …
Pour le contrôle manuel, CookieViz est un outil de data visualisation développé par les experts de la CNIL. Il permet, sous forme d’extension de navigateur ou standalone, de mesurer l’impact des cookies et traceurs sur un site choisi.
L’interface permet par exemple de voir sous forme de diagramme l’ensemble des acteurs ayant un traceur sur le site choisi, lesquels ont lu des cookies issus d’une précédente navigation.
Pour un contrôle automatisé et pérenne, plusieurs outils comme Seenaptic et Agnostik permettent, grâce à des crawlers (dans le cas de scénarios de navigation) ou des analyses de dépôts de cookies sur les pages du site, de restituer les données dans des interfaces à la prise en main simplifiée, et d’émettre des recommandations et un alerting adapté.
Le choix de l’outil se fera en fonction du niveau d’informations remontées souhaité, de la facilité d’utilisation de l’interface, du degré de personnalisation de l’alerting et des scénarios de crawl possibles sur le site, ou encore de l’autonomie de l’utilisateur sur le paramétrage de l’ensemble de ces éléments.
Considérant cet ensemble de mesures liées aux traceurs et à la gestion du consentement des visiteurs, et le fait que ces mesures sont amenées à perdurer dans le temps, cela peut faire l’objet de la mise en place d’une gouvernance autour de la conformité relative à la privacy.
Stratégie de gouvernance de données
La gouvernance de données, dans le contexte de conformité CNIL, est l’ensemble des politiques et processus par lesquels les entreprises concernées peuvent gérer et protéger les données personnelles de leurs clients.
Cet ensemble se doit d’implémenter une organisation et des outils permettant le respect des lois et régulations en matière de data privacy, et une assurance que la collecte, le stockage et l’utilisation des informations personnelles sont effectués en respectant les guidelines émises par la CNIL en la matière.
Il convient donc de définir, sous l’impulsion du DPO (ou DCP) en collaboration avec les équipes concernées, une organisation en identifiant :
- Les bonnes pratiques,
- Les points de vigilance,
- Les parties prenantes, destinataires des notifications ou messages d’alerte,
- Les outils nécessaires à une conformité pérenne,
- Les fonctionnalités attendues (notifications d’alerte, niveau de personnalisation, niveau d’autonomie…),
- Les KPI (indicateurs de performance).
De plus, une veille technologique est nécessaire : En effet, il arrive que des outils utilisés en interne (analytics par exemple), sortent de la conformité au RGPD sous décision de justice. C’est notamment le cas de Google Analytics, dont la CNIL a estimé, le 10 février 2022, que l’utilisation entraînait, des transferts vers les États-Unis insuffisamment encadrés. (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite).
Dans cet exemple, certains outils d’analyse bénéficient d’exemptions de la CNIL quant à la nécessité d’obtention du consentement des utilisateurs, sous certaines conditions d’usage et grâce à des processus conformes.
Par exemple, Matomo Analytics ou encore Analytics Suite Delta de AT Internet, sont donc moins à risques de non-conformité que d’autres.
Il est donc indispensable d’avoir connaissance de l’ensemble de la réglementation dans ce domaine, de mettre en place une stratégie de gouvernance de données adaptée, et de suivre l’évolution des solutions techniques périphériques.
Si vous souhaitez être accompagné sur ces sujets ou souhaitez en savoir plus sur nos offres, consultez notre site web et nos offres d’emploi.
Nous publions aussi régulièrement des articles sur des sujets de développement produit web et mobile, data et analytics, sécurité, cloud, hyperautomatisation et digital workplace.
Suivez-nous sur notre compte Medium pour réaliser votre veille professionnelle.