Cookies et traceurs : comment se mettre en conformité avec la CNIL et le RGPD ?

Depuis le 1^er avril 2021, les acteurs numériques français doivent impérativement respecter les directives de la CNIL relatives aux cookies et autres traceurs. Le challenge des éditeurs ? Choisir une stratégie de consentement efficiente pour réduire la perte des données analytics et une diminution potentielle des revenus. Explications.

Lignes directrices CNIL : quels sont les grands changements pour les éditeurs numériques ?

En application depuis le 1^er avril 2021, les lignes directrices présentent plusieurs nouveautés pour les éditeurs de sites et applications mobiles par rapport aux précédents textes :

• Une simple poursuite de navigation ou la fermeture d’une bannière cookie ne vaut plus consentement de l’internaute ;
• Certainstraceurs de mesure d’audience peuvent bénéficier d’une exemption du recueil préalable de consentement, exclusivement sous certaines conditions (en avril 2020 seule la solution AT Internet bénéfice de l’exemption du recueil de consentement, mais la CNIL a lancé un programme d’évaluation des solutions. De nouveaux outils comme Matomo devraient rejoindre le mouvement) ;
• Refuser le dépôt de cookies ou traceurs doit être aussi aisé que de les accepter ;
• L’accès à un site web ne doit pas être subordonné à l’acceptation du dépôt des cookies - à l’image du cookie wall. Sauf dans certains cas laissés à la libre appréciation du régulateur (à ne pas confondre avec la pratique selon laquelle les utilisateurs qui n'autorisent pas les cookies doivent payer pour accéder au site. La CNIL ne s’est pas encore prononcé pour l’instant sur la licéité de la pratique) ;
• Les finalités de traitement des cookies doivent être précisées à l’internaute directement sur le bandeau de consentement. Et elles doivent être administrables par l’utilisateur au cas par cas ;
• Enfin, les utilisateurs doivent pouvoir retirer leur consentement à tout moment et aussi simplement qu’ils l’ont donné.

Voir notre formation : Optimiser l'expérience client grâce au digital

Quels sont les risques en cas de non respect des lignes directrices de la CNIL ?

En cas de manquements aux lignes directrices de la CNIL, un éditeur digital s’expose à un contrôle du régulateur, à des plaintes éventuelles. Et les sanctions sont graduelles en fonction de l’infraction constatée.

Ainsi, on dénombre trois catégories de risques :

• Des risques financiers : le montant de l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
• Desrisques techniques : une limitation temporaire ou définitive de traitement, l’effacement des données ou la suppression d’une certification.
• Des risques d’image et d’atteinte à la réputation de la marque

Quels sont les impacts de ces nouvelles directives ?

Les impacts sur l’activité digitale des acteurs numériques peuvent être très importants pour les cookies de personnalisation et de mesure soumis au consentement. En effet, les tests réalisés par l’agence web analytics Empirik indiquent une perte moyenne de données comprise entre 30 et 70 % en cas de strict respect des directives de la CNIL.

La raréfaction des données peut avoir des répercussions significatives sur :

• les revenus du site et de l’entreprise
• les campagnes d’acquisition dépendantes des cookies
• la connaissance client et l’expérience utilisateur

4 conseils pour chercher à maximiser votre taux de consentement

Pour mettre vos plateformes digitales en conformité avec la CNIL et le RGPD, et piloter tous vos projets de consentement, nous vous proposons quelques conseils rapides :

1. Installez une Consent Management Platform (CMP) pour distribuer, stocker, récolter vos consentements et suivre vos taux d’opt-in.
2. Inspirez-vous des bonnes pratiques de certains éditeurs pour concevoir des bandeaux cookies pertinents et efficaces.
3. Maximisez votre taux d’opt-in en réalisant de nombreux A/B tests, adaptés à chaque device.
4. Intégrer vos taux d’opt-in dans des tableaux de bord pour mettre en perspective le nombre de sessions en fonction des chiffres de consentement observés.

>> La formation "Google analytics : améliorez votre site et rentabilisez vos actions" pourrait vous intéresser

Un cadre juridique de plus en plus restrictif sur l’usage des cookies

Le principe du consentement préalable de l’utilisateur avant le dépôt ou l’accès aux cookies date de 2009 avec une mise à jour de la directive européenne ePrivacy. Par la suite, l’article 82 de la loi Informatique et Libertés transpose ce texte en droit français.

Saut dans le temps. En mai 2018, le règlement général sur la protection des données (RGPD) entre en application au sein de l’Union européenne dans le but de renforcer les droits des citoyens dans l’utilisation de leurs données collectées par un tiers. Le texte prévoit entre autres que le consentement doit être un « acte positif clair » d’un utilisateur « manifestant une volonté libre, spécifique, éclairé et univoque ».

Plus récemment, en octobre 2020, la Commission nationale de l'informatique et des libertés (CNIL) publie ses dernières lignes directrices, complétées par une recommandation non prescriptive, afin de rappeler aux éditeurs le droit applicable en France relatif à l’utilisation des cookies et traceurs et préciser des modalités pratiques de recueil du consentement.

Enfin, en 2021, le règlement ePrivacy devrait voir le jour, en lieu et place de la directive éponyme de 2002. Il vise à harmoniser les différentes législations en vigueur avec un texte réglementaire contraignant pour tous les États membres.