Comment concilier RGPD et analytics ?
A partir du 1er avril 2021, les sites doivent être conformes à de nouvelles règles concernant le RGPD et peuvent être sanctionnés. Au delà de l’importance de la mise en conformité, de la protection des données, les conséquences sur le tracking analytics ne sont pas anodines et il faut essayer de concilier les deux. C’est ce qu’on va voir dans cet article.
Sommaire:
Qu’est-ce qui change pour le bandeau RGPD ?
il doit être aussi facile d’accepter que de refuser
– il doit être aussi facile de tout refuser que de tout accepter: notre fameux bouton « tout refuser »
– Un refus des cookies doit être enregistré, afin de ne pas reposer la question à chaque visite
Bien sûr, il peut y avoir un impact sur les données analytics, Google analytics utilise un cookie justement pour enregistrer les visites. Le but est donc de se mettre en conformité tout en limitant au maximum les refus en jouant sur certains aspects UX (couleur, position du bouton, ..) en évitant de faire de l’excès de zèle dans un sens comme dans l’autre.
Dans les exemples de bandeaux de consentement des cookies que j’ai rencontré, voir plus bas, je vois souvent le bouton « accepter » à droite et ce n’est pas un hasard à mon avis.
Sur mobile, le bouton accepter est plus près du pouce comme ça ! Et même sur desktop, j’ai pas trouvé de stats là dessus mais je suppose qu’avec une majorité de droitiers, la souris est plus souvent à droite de l’écran et doit glisser plus facilement vers la droite que vers la gauche. (je me base sur mon ressenti)
Si certains cookies sont nécessaires au bon fonctionnement du site, vous pouvez l’indiquer dans le message expliquant le but des cookies afin de donner un petit côté dissuasif au refus. De plus un long texte explicatif (même si personne le lit) mettra surement plus en confiance les visiteurs et les inciteront certainement à cliquer sur tout accepter. Un message très court crée surement plus de suspicions.
Le truc c’est que logiquement on devrait faire des tests AB et tracker les différents boutons pour s’en assurer mais vu qu’on a pas droit de stocker des cookies avant acceptation on l’a dans l’os 😉
J’aime bien le popup de leguide.com « Accepter et fermer », car après tout, ce que veux la plupart des gens c’est fermer rapidement le popup et là au moins on indique clairement au visiteur qu’en cliquant sur « accepter et fermer » tu fermes le bandeau et tu peux continuer ta navigation. L’attention des visiteurs sur ce genre de bandeau est de quelques dixièmes de secondes, et avoir un code couleur bien contrasté, un message explicite, et en plus un bouton positionné près du pouce (sur mobile) ou du curseur (sur ordi) permettra de minimiser les refus.
Le bouton « tout refuser » est tout à gauche et « loin » du bouton « tout accepter qui lui possède une couleur qui le met bien en évidence.
A ne pas faire si on veux être conforme ET minimiser les refus
Il faut éviter de laisser l’utilisateur naviguer sans qu’il choisisse d’accepter ou de refuser. Vu qu’on ne peut pas accepter par défaut les cookies, le fait de ne rien choisir signifie automatiquement de refuser les cookies. On peut voir parfois des petits bandeaux en bas de pages par exemple qui ne sont pas forcément très gênant et qui n’empêche pas de continuer la navigation.
Un truc que je vois souvent, c’est qu’après avoir refusé par exemple, le cookie analytics est tout de même stocké sur le navigateur. C’est le cas sur des gros sites et c’est facile à vérifier avec la console du navigateur.
Qu’est ce qu’on risque à ne pas être conforme RGPD ?
Concernant le nombre de sanctions elles restent relatives et surtout ciblées sur les très grosses entreprises et établissements publics, il y a eu 67 amendes en 2020 en france sur 5789 notifications adressées aux autorités de régulation , la plus grosse étant les 100 millions d’euros de Google ou les 35 millions d’Amazon (qui n’est toujours pas conforme d’après ce que je vois de leurs sites). Parmi les autres entreprises sanctionnées: carrefour, Bouygues Telecom, Darty, Optical Center, Direct Energie, Malakoff Mederic,… notamment et pour certains, pour des faits de volume important de données personnelles collectées sans consentement ou des données restées après la durée de conservation déterminée par le responsable de traitement.
Dans une moindre mesure, certaines PME ont aussi été sanctionnés comme la société sergic sanctionnée à cause de la gravité des faits (accès en ligne à des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition) et de leur manque de diligence à se mettre en conformité.
Il y a des avertissements avant d’arriver à une éventuelle sanction financière, et les sanctions dépendent de la taille de l’entreprise, du caractère personnelle des données collectées, de leur volume et aussi de la bonne volonté ou non de l’entreprise à se mettre en conformité.
Le RGPD va plus loin qu’une « simple » conformité du bandeau de consentement, je n’ai pas vu de sanctions à ma connaissance uniquement pour ça.
Pour en savoir plus sur le RGPD au sens large, je vous recommande ces sources:
https://www.service-public.fr/particuliers/actualites/A14782
Consultant SEO avancé : Techniques avancées en référencement (crawl, analyse de logs, NLP,…) combinées aux leviers du marketing entrant (UX, CRO, analytics, content marketing, ereputation, ..). Spécialisé sur des sites à grosse volumétrie de pages
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !