Comment concilier RGPD et analytics ?

,

A partir du 1er avril 2021, les sites doivent être conformes à de nouvelles règles concernant le RGPD et peuvent être sanctionnés. Au delà de l’importance de la mise en conformité, de la protection des données, les conséquences sur le tracking analytics ne sont pas anodines et il faut essayer de concilier les deux. C’est ce qu’on va voir dans cet article.

Qu’est-ce qui change pour le bandeau RGPD ?

Si il fallait résumer en une phrase ce serait:
il doit être aussi facile d’accepter que de refuser
Donc les parcours du combattant où il faut cliquer sur « plus de paramètres », décocher un par un chaque cookie, chercher le bouton caché pour refuser, c’est fini, en tout cas il faut éviter ! En gros, Il doit y avoir un bouton « tout accepter », un bouton pour personnaliser les cookies, un bouton « tout refuser », au même niveau que le bouton « tout accepter », facilement accessible et visible. Après, rien n’empêche un code couleur pour différencier les boutons (ex: vert pour le bouton accepter, et neutre pour le bouton refuser par exemple )
Concernant le popup ou bandeau de consentement, en résumé:
– On ne doit pas accepter les cookies si l’internaute ne fait rien.
– On doit refuser les cookies tant que l’internaute n’accepte pas et ne pas cocher « accepter » par défaut
– il doit être aussi facile de tout refuser que de tout accepter: notre fameux bouton « tout refuser »
– Le popup doit comporter un message expliquant brièvement le but des cookies.
– Un refus des cookies doit être enregistré, afin de ne pas reposer la question à chaque visite
– Il doit y avoir une page cookie qui permettra au visiteur de revenir sur son consentement si besoin. Le lien vers cette page peut se situer en footer par exemple.
Ce n’est pas exhaustif mais disons que ce sont des points importants à respecter

Comment limiter les refus des cookies et donc préserver ses stats analytics ?

Bien sûr, il peut y avoir un impact sur les données analytics, Google analytics utilise un cookie justement pour enregistrer les visites. Le but est donc de se mettre en conformité tout en limitant au maximum les refus en jouant sur certains aspects UX (couleur, position du bouton, ..) en évitant de faire de l’excès de zèle dans un sens comme dans l’autre.

Dans les exemples de bandeaux de consentement des cookies que j’ai rencontré, voir plus bas, je vois souvent le bouton « accepter » à droite et ce n’est pas un hasard à mon avis.
Sur mobile, le bouton accepter est plus près du pouce comme ça ! Et même sur desktop, j’ai pas trouvé de stats là dessus mais je suppose qu’avec une majorité de droitiers, la souris est plus souvent à droite de l’écran et doit glisser plus facilement vers la droite que vers la gauche. (je me base sur mon ressenti)

Si certains cookies sont nécessaires au bon fonctionnement du site, vous pouvez l’indiquer dans le message expliquant le but des cookies afin de donner un petit côté dissuasif au refus. De plus un long texte explicatif (même si personne le lit) mettra surement plus en confiance les visiteurs et les inciteront certainement à cliquer sur tout accepter. Un message très court crée surement plus de suspicions.

Le truc c’est que logiquement on devrait faire des tests AB et tracker les différents boutons pour s’en assurer mais vu qu’on a pas droit de stocker des cookies avant acceptation on l’a dans l’os 😉

Exemples de bandeaux de cookies conformes

Exemple de bandeau de cookie conforme - leguide

Exemple de bandeau de cookie conforme - leclerc

Exemples de bandeaux de cookies conformes

Exemples de bandeaux de cookies conformes

J’aime bien le popup de leguide.com « Accepter et fermer », car après tout, ce que veux la plupart des gens c’est fermer rapidement le popup et là au moins on indique clairement au visiteur qu’en cliquant sur « accepter et fermer » tu fermes le bandeau et tu peux continuer ta navigation. L’attention des visiteurs sur ce genre de bandeau est de quelques dixièmes de secondes, et avoir un code couleur bien contrasté, un message explicite, et en plus un bouton positionné près du pouce (sur mobile) ou du curseur (sur ordi) permettra de minimiser les refus.

Le bouton « tout refuser » est tout à gauche et « loin » du bouton « tout accepter qui lui possède une couleur qui le met bien en évidence.

A ne pas faire si on veux être conforme ET minimiser les refus

Il faut éviter de laisser l’utilisateur naviguer sans qu’il choisisse d’accepter ou de refuser. Vu qu’on ne peut pas accepter par défaut les cookies, le fait de ne rien choisir signifie automatiquement de refuser les cookies. On peut voir parfois des petits bandeaux en bas de pages par exemple qui ne sont pas forcément très gênant et qui n’empêche pas de continuer la navigation.

Un truc que je vois souvent, c’est qu’après avoir refusé par exemple, le cookie analytics est tout de même stocké sur le navigateur. C’est le cas sur des gros sites et c’est facile à vérifier avec la console du navigateur.

 

 

Qu’est ce qu’on risque à ne pas être conforme RGPD ?

Concernant le nombre de sanctions elles restent relatives et surtout ciblées sur les très grosses entreprises et établissements publics, il y a eu 67 amendes en 2020 en france sur 5789 notifications adressées aux autorités de régulation , la plus grosse étant les 100 millions d’euros de Google ou les 35 millions d’Amazon (qui n’est toujours pas conforme d’après ce que je vois de leurs sites). Parmi les autres entreprises sanctionnées: carrefour, Bouygues Telecom, Darty, Optical Center, Direct Energie, Malakoff Mederic,… notamment et pour certains, pour des faits de volume important de données personnelles collectées sans consentement ou des données restées après la durée de conservation déterminée par le responsable de traitement.

Dans une moindre mesure, certaines PME ont aussi été sanctionnés comme la société sergic sanctionnée à cause de la gravité des faits (accès en ligne à des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition) et de leur manque de diligence à se mettre en conformité.

Il y a des avertissements avant d’arriver à une éventuelle sanction financière, et les sanctions dépendent de la taille de l’entreprise, du caractère personnelle des données collectées, de leur volume et aussi de la bonne volonté ou non de l’entreprise à se mettre en conformité.

Le RGPD va plus loin qu’une « simple » conformité du bandeau de consentement, je n’ai pas vu de sanctions à ma connaissance uniquement pour ça.

Pour en savoir plus sur le RGPD au sens large, je vous recommande ces sources:

https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation

https://www.service-public.fr/particuliers/actualites/A14782

https://www.journaldunet.com/management/direction-generale/1498291-gdpr-etat-des-sanctions-fondees-sur-le-defaut-et-l-insuffisance-de-mesures-de-securite-dans-l-ue/

https://www.journaldeleconomie.fr/Controles-de-la-CNIL-toutes-les-entreprises-sont-concernees_a9788.html

 

 

0 réponses

Laisser un commentaire

Rejoindre la discussion?
N'hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *