Conformité RGPD et tracking : Mesurer et encadrer l’activité web grâce à la gouvernance de données 

Conformité RGPD et tracking : Mesurer et encadrer l’activité web grâce à la gouvernance de données 

La CNIL avait fixé au 31 mars 2021, le délai pour la mise en conformité des sites web et applications en matière de cookies et autres traceurs.
Par la suite, elle a enregistré 4% de plaintes supplémentaires par rapport à 2020.  Ces plaintes concernent principalement la prospection commerciale, le droit d’accès aux données, et justement l’un des thèmes prioritaires fixés par la CNIL : les cookies.   
En effet, selon le rapport d’activité de la CNIL, depuis mars 2021, la campagne de contrôles de la CNIL envers la conformité relative à la gestion des cookies a donné suite à de nombreuses actions répressives. Plus de 250 plaintes déposées, pour 4 sanctions et 89 mises en demeure.

Rappel du cadre réglementaire

Afin d’assurer la conformité avec les lois sur la protection des données, la CNIL demande aux entreprises d’implémenter des mesures appropriées pour la protection des données personnelles collectées auprès des utilisateurs via leurs sites et/ou applications, selon les règles du RGPD en vigueur. 

Cette mise en conformité s’applique :  

Afin d’éviter toute action répressive pour non-conformité aux règles de privacy et leurs évolutions, certaines actions doivent perdurer et être maintenues, d’où la nécessité de mettre en place une gouvernance autour de cette conformité, en collaboration avec le DPO (ou DCP) et les équipes concernées. 

La web analyse et la mise en place de ce que la CNIL appelle « traceurs » à des fins marketing sont notamment soumises à ces règles de conformité.  

Tracking et conformité  RGPD

 La mise en place de trackings partenaires ou pour l’analytics peut se faire pour des besoins d’advertising ou retargeting (Criteo, RTBHouse, Google  Ads, etc .), d’affiliation (Awin, Affilae, etc.), ou encore de fonctionnalités (live-shopping, chatbot, recommandations, etc.).

Le tracking en client-side

Ces trackings se mettent en place le plus souvent via un tag (parfois un pixel) : Il s’agit d’un bout code HTML et Javascript succinct, à intégrer soit directement dans le code de la page adéquate du site, soit via un Tag Management System ou TMS, comme tagCommander, GTM ou Adobe Launch.  

Selon le besoin, le tag peut : 

Concernant le Datalayer, il s’agit de la couche de données comprenant des données techniques de navigation, des données déclaratives fournies par les internautes ou des données comportementales sur ces derniers. À ce titre, le Datalayer peut contenir des données personnelles ou identifiantes comme l’e-mail, le nom, le prénom ou le numéro de téléphone, s’ils ont été fournis. En tant qu’informations identifiantes, il convient de transmettre ces données de façon anonymisée (hashage SHA256, tokenisation, cryptage) aux partenaires.  

De plus, le Datalayer est concerné par le principe de minimisation : Il est nécessaire de prouver la nécessité de conserver telle ou telle donnée dans le datalayer, diminuant ainsi les risques de data leak vers des partenaires non autorisés.  

Le tracking en server-side

Ici pas de notion de librairie importée : L’application web transmet via API les données utiles au tracking (qui peuvent correspondre à ce que contient le Datalayer) à l’outil de tracking server-side, dans lequel sont configurés les trackings vers les différents partenaires, par exemple sous la forme de webhooks ou de connecteurs natifs à l’outil choisi et pré-configurés. 

CMP 

Il est impératif que parmi les conditions de déclenchement de chaque tracking, qu’il soit client-side et server-side, figure l’acceptation ou le refus du visiteur quant à la finalité dont le tracking fait partie. En effet, l’obligation de transparence sur l’utilisation des données personnelles s’applique notamment par la définition de finalités auxquelles répondent les différents traceurs actifs sur le site. On peut par exemple retrouver la personnalisation du site, le fonctionnement du site (finalité « technique » qu’il n’est pas possible de refuser car porteuse de fonctionnalités nécessaires à la navigation du visiteur), l’audience, les réseaux sociaux, les publicités personnalisées, …  

L’application de cette condition de déclenchement pour chaque tracking, qu’il soit client-side ou server-side, est possible grâce à l’utilisation de la « consent string », donnée qui agrège le consentement du visiteur à chaque finalité de traceurs. Cette dernière est récupérée grâce à l’outil de CMP (Consent Management Platform). 

Les Consent Management Platforms permettent la gestion des finalités de traceurs et le respect du consentement des visiteurs vis-à-vis de ces finalités, et ce grâce à ces principales fonctionnalités : 

Le nombre de partenaires externes et donc de traceurs pouvant varier au jour le jour, il convient donc de maintenir constamment à jour la liste de ces partenaires externes classés par finalité. Liste qui doit être facilement accessible pour le visiteur. 

De plus, les tags étant capables dans certains cas d’importer des librairies pour leur fonction de tracking, il peut arriver que ces dernières soient mises à jour par le partenaire et procèdent au dépôt ou à la lecture de nouveaux cookies tiers, voire au déclenchement de tags qui ne font pas partie de la liste définie sur le site (piggybacking).  

 Les outils de monitoring

Dans ce contexte, il convient de s’équiper pour mesurer de façon manuelle, puis automatique la conformité relative aux trackings et au consentement. Par exemple, en mettant en place un monitoring adapté permettant d’automatiser la surveillance des dépôts et de lecture des cookies, des partenaires consommateurs des données visiteur, des déclenchements de tags selon le consentement du visiteur à la finalité adéquate, …  

Pour le contrôle manuel, CookieViz est un outil de data visualisation développé par les experts de la CNIL. Il permet, sous forme d’extension de navigateur ou standalone, de mesurer l’impact des cookies et traceurs sur un site choisi.  
L’interface permet par exemple de voir sous forme de diagramme l’ensemble des acteurs ayant un traceur sur le site choisi, lesquels ont lu des cookies issus d’une précédente navigation.

Pour un contrôle automatisé et pérenne, plusieurs outils comme Seenaptic et Agnostik permettent, grâce à des crawlers (dans le cas de scénarios de navigation) ou des analyses de dépôts de cookies sur les pages du site, de restituer les données dans des interfaces à la prise en main simplifiée, et d’émettre des recommandations et un alerting adapté. 

Le choix de l’outil se fera en fonction du niveau d’informations remontées souhaité, de la facilité d’utilisation de l’interface, du degré de personnalisation de l’alerting et des scénarios de crawl possibles sur le site, ou encore de l’autonomie de l’utilisateur sur le paramétrage de l’ensemble de ces éléments.  

Considérant cet ensemble de mesures liées aux traceurs et à la gestion du consentement des visiteurs, et le fait que ces mesures sont amenées à perdurer dans le temps, cela peut faire l’objet de la mise en place d’une gouvernance autour de la conformité relative à la privacy. 

Stratégie de gouvernance de données 

La gouvernance de données, dans le contexte de conformité CNIL, est l’ensemble des politiques et processus par lesquels les entreprises concernées peuvent gérer et protéger les données personnelles de leurs clients.   

Cet ensemble se doit d’implémenter une organisation et des outils permettant le respect des lois et régulations en matière de data privacy, et une assurance que la collecte, le stockage et l’utilisation des informations personnelles sont effectués en respectant les guidelines émises par la CNIL en la matière.  

Il convient donc de définir, sous l’impulsion du DPO (ou DCP) en collaboration avec les équipes concernées, une organisation en identifiant : 

De plus, une veille technologique est nécessaire : En effet, il arrive que des outils utilisés en interne (analytics par exemple), sortent de la conformité au RGPD sous décision de justice. C’est notamment le cas de Google Analytics, dont la CNIL a estimé, le 10 février 2022, que l’utilisation entraînait, des transferts vers les États-Unis insuffisamment encadrés. (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite). 

Dans cet exemple, certains outils d’analyse bénéficient d’exemptions de la CNIL quant à la nécessité d’obtention du consentement des utilisateurs, sous certaines conditions d’usage et grâce à des processus conformes. 
Par exemple, Matomo Analytics ou encore Analytics Suite Delta de AT Internet, sont donc moins à risques de non-conformité que d’autres. 

Il est donc indispensable d’avoir connaissance de l’ensemble de la réglementation dans ce domaine, de mettre en place une stratégie de gouvernance de données adaptée, et de suivre l’évolution des solutions techniques périphériques.
Si vous souhaitez être accompagné sur ces sujets ou souhaitez en savoir plus sur nos offres, consultez notre site web et nos offres d’emploi.

Nous publions aussi régulièrement des articles sur des sujets de développement produit web et mobile, data et analytics, sécurité, cloud, hyperautomatisation et digital workplace.
Suivez-nous sur notre compte Medium pour réaliser votre veille professionnelle.