Utilisez-vous des cookies exemptés de consentement ? Oui sans doute, les cookies techniques, nécessaires pour faire fonctionner le site sont dans ce cas. Les cookies de mesure d’audience peuvent être considérés comme techniques à condition de respecter des règles strictes. Quoiqu’il en soit, absence de consentement ne veut pas dire absence de mesures à respecter. On vous en parle. C’est notre product news du jour.
Quelle est la liste des cookies exemptés de consentement ?
Somme toute, la règle est assez simple. Tous les cookies explicitement nécessaires pour faire fonctionner votre site correctement et délivrer le service sont exemptés de consentement.
Les autres correspondent en quelque sorte à des fonctionnalités additionnelles : boutons de partage, personnalisation de la publicité… Ils ne peuvent donc être déposés que si l’utilisateur les a autorisés.
Parmi la liste des traceurs exemptés, on trouvera les cookies utilisés pour :
- stocker le choix du user d’accepter ou non les cookies ;
- authentifier, connecter le user à son compte ;
- assurer la sécurité du site (par exemple les cookies utilisés pour empêcher les tentatives d’accès frauduleuses ;
- mémoriser le contenu d’un panier d’achat ou pour enregistrer les préférences de langue ;
- l'équilibrage de la charge des équipements (load balancing) ;
- limiter l’accès gratuit aux contenus d’un site à un échantillon pré-défini.
Pourquoi les cookies de mesure d’audience sont exemptés de consentement ?
Tous ne le sont pas, en vérité.
Malgré le relatif silence de la directive ePrivacy de 2002 sur ce point, les autorités de régulation nationale ont tendance à prévoir des cas d’exemption. C’est le cas de la CNIL en France et du Garante en Italie.
Les cookies servant exclusivement à mesurer l’audience du site sont assimilés à des cookies techniques. Ils servent au final à :
- produire des reportings agrégés et ainsi avoir une vision des comportements clients par les grandes masses ;
- améliorer l’ergonomie du site.
Pour cette raison, les régulateurs ont tendance à accepter que l’éditeur du site les dépose sans consentement préalable de son audience.
Comment bénéficier de l’exemption de consentement pour les cookies de mesure d’audience ?
Là, ça se complique sérieusement.
Généralement, les régulateurs européens définissent des conditions assez drastiques pour bénéficier de l’exemption.
L’une des plus difficiles à respecter sera celle liée à la finalité. Les cookies ne doivent servir qu’à de la mesure d’audience agrégée. Pas de finalité marketing liée à de l’envoi de communications commerciales ou à la personnalisation de campagnes de display retargetting.
Or dans bien des situations, ce n’est pas le cas.
- Beaucoup d’éditeurs utilisent une solution de mesure d’audience pour récolter l’historique individuel de navigation des internautes. Autrement dit, la data récoltée se déverse dans des infrastructures servant à analyser comment améliorer l’ergonomie du site… et dans d’autres infrastructures servant au ciblage publicitaire.
- Une\tsolution comme Google Analytics est couplée à l’outil publicitaire Google Ads. Même sans activer de campagnes, votre utilisation de l’outil pourrait être considérée comme publicitaire et non pas purement analytique.
- Les acteurs comme Facebook ou Google exploitent les données récoltées par leurs clients pour leurs besoins propres. Cela écarte toute possibilité de bénéficier de l’exemption.
Il y a aussi d’autres conditions. Par exemple :
- ne pas recouper la donnée avec d’autres bases ;
- anonymiser les adresses IP ;
- etc.
En pratique, si vous voulez absolument échapper au consentement, le mieux est de vous appuyer sur une solution reconnue par la CNIL en France. Elle tient une liste à jour d’outils qui, dans une certaine configuration, sont dans les clous.
On notera qu’à ce jour, Google Analytics n’y figure pas...
Comment gérer les cookies exemptés de consentement ?
Quand bien même certains de vos cookies peuvent être déposés sans le consentement de vos visiteurs, il faut respecter quelques règles.
Rassurez-vous, elles n’ont rien de bien compliqué. Quelles sont ces règles ?
- Informer vos users que vous déposez ces cookies en affichant un bandeau dès le chargement du site ;
- Donner un moyen simple de bloquer le dépôt des cookies de mesure d’audience. C’est un droit à l’opt-out. Par contre, pour les cookies techniques, il n’y a pas besoin d’accorder cette faculté.
Dans la pratique, cela laisse une grande marge de manœuvre aux éditeurs et effectivement, on trouve des façons différentes de gérer ces cookies :
- certains sites se contentent d’un bandeau informatif et renvoient à leurs politiques de confidentialité pour trouver un lien d’opt-out pour le cookie de mesure d’audience. Dans la plus grande majorité des\tcas, ces solutions sont fournies par un acteur tiers. Le lien d’opt-out correspond donc à un mécanisme créé par ce tiers.
- D’autres sites intègrent un module de gestion de préférences dans la rubrique d’informations sur des cookies. Vous pouvez cocher une case pour vous opposer au dépôt de cookies de mesure d’audience.
La mise en œuvre des règles sera néanmoins plus simple si vous dotez votre site d’une consent management platform. Une CMP reste donc utile pour les sites, vitrine ou de e-commerce, qui déposent un ou deux cookies.
Conclusion : Avez-vous des cookies exemptés de consentement ?
Tout n’est pas blanc ou noir sur votre site.
Vous déposez des cookies qui relèvent de plusieurs régimes juridiques. D’où le besoin d’avoir une vraie gestion des cookies. Finis les bandeaux informatifs.
Place aux CMP qui vous permettront de mettre en avant au mieux vos cookies et d’en gérer le dépôt en fonction des règles juridiques qui s’appliquent.
Le cas de la mesure d’audience reste le plus difficile. Il existe bien un régime d’exemption mais dans beaucoup de cas, il ne s’appliquera pas. Votre mesure d’audience peut donc elle aussi être soumise au consentement de votre audience.
Ce qui compte en pareil cas, c’est la qualité de l’interpellation de l’utilisateur. Axeptio a travaillé de ce point de vue l’UX design et le graphisme de son module de gestion des cookies.
En l’utilisant, vous mettez en avant vos cookies d’une manières imple et fun. Vous dédramatisez la collecte de données tout en étant totalement transparent.
C’est une excellente manière de préserver la confiance de votre audience et d’aller chercher des opt-in.
Ne partez pas si vite
Data Protection Officer – Comment choisir son DPO et bien le positionner ?
Maxime JAILLETLe Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.
Quelle UX design pour votre bandeau cookies ?
Maxime JAILLETAdoptez une UX design claire et transparente pour votre bandeau cookies ! La réglementation pousse à recueillir un consentement actif et spécifique. Emplacement, contenu, ergonomie… Proposez une expérience utilisateur fluide permettant d’être informé et d’exprimer ses préférences. Devenez ainsi un acteur du marketing choisi.
Comment gérer la conformité RGPD de votre site Wordpress ?
Maxime JAILLETVotre site web Wordpress respecte-t-il les standards du RGPD ? Une démarche active sera nécessaire de votre part pour réaliser cette mise en conformité. Gestion des cookies, transparence, sécurité, consentement… les mesures à appliquer sont multiples. Heureusement, vous pouvez vous appuyer sur des outils dédiés… à condition de bien les choisir.