06 aoû 2022
Depuis la mise en application de ce nouveau texte en mai 2018, les entreprises tentent d’avancer sur leur mise en conformité. Au-delà des tâches internes comme la cartographie et l’établissement des fiches de registre, il y a aussi un chantier à opérer sur les outils numériques, qui consomment des données personnelles à des fins fonctionnelles, marketing ou commerciales. C’est véritablement la partie émergée de l’iceberg, celle qui est visible et contrôlable à distance. Naturellement, les annonceurs se retournent vers leurs éditeurs pour réaliser cette intervention chirurgicale. Dans ce dossier, on vous aide à voir plus clair en listant ce que vous devez réaliser, en détaillant les bonnes pratiques pour être conforme, sans être tue-l’amour !
La conformité en ligne est la partie visible de l’iceberg
La première des choses à faire, c’est informer en toute transparence sur les différentes collectes et traitements que vous réalisez. Cette communication doit se faire à 2 niveaux :
Dans les 2 cas, vous devez avertir votre utilisateur que vous allez stocker et traiter ses données personnelles en précisant certaines choses :
1. La nature des données collectées : il convient de préciser exactement les données personnelles que vous allez collecter dans le cadre de la finalité. Attention à ne stocker que les données strictement nécessaires à l’accomplissement de cette dernière (par exemple, dans le cas d’une newsletter, vous n’avez à priori besoin que de l’email)
2. La finalité de la collecte doit également être clairement accessible (envoi d’une newsletter, analyse statistique, affichage de publicités ciblées …)
3. Les sous-traitants qui auront accès à ces données personnelles. Il peut s’agir de sociétés partenaires (un call center par exemple) ou de logiciels externes que vous utilisez (une CRM, un routeur emailing …)
4. La durée de conservation des données personnelles. Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.
Pour calculer automatiquement les durées de conservation, la société Axeptio a publié ce référentiel construit sur la base d’informations publiques fournies par la CNIL
5. La prise de décisions automatisées : Si vous utilisez des outils (comme Matlab, SiSense, Alteryx, Anodot, Radius, Parti, Trendalyse, …) pour analyser les profils de vos utilisateurs en vue de prédire leurs comportements, vous avez également un devoir d’information à ce niveau.
Comme dans la vraie vie, on a besoin de se sentir en confiance pour se confier
Chaque finalité a une durée de conservation définie par la CNIL. Néanmoins, sur Internet, il y a 3 chiffres qu’il faut surtout retenir pour un site internet :
Vos utilisateurs disposent de nouveaux droits que vous devez faciliter sur votre site internet. Pour éviter que ces demandes ne soient noyées dans la masse, il est conseillé de les isoler et de les adresser directement au responsable des données personnelles (le fameux DPO).
Le plus simple est d’ajouter un formulaire de contact indépendant des autres pour isoler ces demandes des autres et éviter qu’elles tombent dans l’oubli …
Il s’agit ici de passer l’ensemble de vos pages en mode sécurisé HTTPS. Ce protocole de sécurisation permettra de sécuriser les échanges entre le navigateur et les serveurs de bases de données. Les données personnelles saisies et envoyées par vos utilisateurs ne pourront donc pas être lues par des tiers lors de leur voyage, entre le navigateur et la base de données de destination.
En réalité, le RGPD impose que vous fassiez cette intervention sur les pages recueillant des données personnelles (la plupart du temps, des formulaires). Mais c’est mieux de le faire sur l’intégralité de votre site car c’est également une exigence des moteurs de recherche pour ne pas pénaliser son SEO.
Comment s’y prendre ? Les registrars (ces entreprises qui vous vendent vos noms de domaine et votre service d’hébergement) proposent généralement l’achat de certificats indispensables à la migration de votre site en HTTPS.
Voici une sélection de fournisseurs proposant un service de qualité avec des prix très compétitifs (entre 10 et 300 euros / mois en fonction du niveau de sécurité et d’assurance voulu) : SSL2BUY, Symantec, GlobalSign, Comodo, Digicert, GeoTrust, Entrust Datacard, IdenTrust, Godaddy, NetWork Solutions, une solution gratuite proposée par Linux.
Les certificats Let’sEncrypt sont une excellente alternative pour les petits budgets puisque c’est totalement gratuit ! À une seule condition, il faut renouveler le certificat tous les 3 mois.
Les étapes pour mettre en place votre SSL :
Certains sites proposent des générateurs de confidentialité en ligne, compatibles avec le nouveau RGPD
Pour générer une politique de confidentialité conforme, il faut lister dans un document toutes les collectes et les traitements du site internet. Il existe des solutions en ligne pour générer des documents en quelques clics.
Le seul effet produit par l’ancienne législation sur les cookies ? Des utilisateurs qui cliquent sur « ok » comme des robots.
Au lieu de sensibiliser, on a banalisé. Pires que cela, les solutions actuelles génèrent de la frustration pile au moment où ils devraient être engagés !
RGPD oblige, les marques vont devoir trouver une manière d’obtenir des consentements volontaires pour installer leurs cookies sur les postes de leurs utilisateurs. Et le challenge est de taille ! Il suffit de lire quelques commentaires sur internet pour se rendre compte que tout le monde est agacé par les bandeaux cookies qui cachent la moitié ou parfois la totalité du contenu de la page que l’on souhaite voir ! Et ce n’est pas tout, les cookies sont souvent vus comme des traceurs qui vous espionnent tout au long de votre navigation.
Pourtant, la plupart sont inoffensifs voire extrêmement utiles pour les internautes : pour rester connecté par exemple , afficher le site dans sa langue natale, ou encore pour garder un produit dans son panier.
Mais comme le texte ne livre à aucun moment de spécifications fermes ou de maquettes visuelles, il laisse la place à des interprétations plus ou moins farfelues… Certaines ont commencé à fleurir sur internet, voici notre top 3 :
On comprend vite les conséquences de ces propositions, le site internet qui fait le choix d’intégrer la RGPD de cette façon n’en retirera que deux choses :
La temporisation : Pourquoi sauter à la gorge de l’utilisateur ? C’est sans doute ce qui est le plus agaçant avec les bandeaux cookie. Alors, pourquoi ne pas attendre quelques secondes supplémentaires ou une action de sa part avant de l’interpeller ?
L’interactivité : Engagez la discussion avec une approche conversationnelle. Cela permet de maximiser l’engagement de l’internaute. Il est aussi conseillé de soigner les transitions et les interactions pour rendre l’expérience fluide.
La transparence : Donner le contrôle, être clair et bienveillant sont les meilleurs leviers pour créer le lien de confiance entre les marques et les consommateurs. C’est prouvé !
Le fun : Dédramatiser et vulgariser le concept des cookies à travers une identité graphique et éditoriale fraîche nous permet d’attirer l’attention des utilisateurs sans les frustrer. Évitez le jargon technique en parlant de balises, de scripts, de tags … ça ne parle pas à grand monde sauf dans le monde très fermé des professionnels du web.
Inspiré des solutions de guichet virtuel comme Intercom ou Zendesk, la solution Axeptio offre expérience originale et fraîche, plus signifiante qu’un bandeau
Il y a plusieurs moyens de connaitre les cookies qui sont déposés sur un site internet. On peut le faire directement via le navigateur utilisé ou via des extensions qui facilitent souvent la tâche (surtout si vous le faites souvent).
Sur Firefox, il y a Lightbeam (anciennement Collusion) qui est un excellent outil gratuit :
Sur Chrome, nous vous conseillons d’utiliser BuiltWith (gratuit, lui aussi) qui, au-delà de vous identifier les cookies, vous permettra de visualiser la configuration totale du site, y compris le CMS, les solutions de paiements, les librairies Javascript …
Vraisemblablement, on aime les cookies chez Libération
L’extension BuiltWith permet de scanner toute la technologie d’un site
Les TMS du marché, largement utilisés par les professionnels de la communication digitale proposent généralement des fonctionnalités avancées pour déclencher les balises.
Par exemple, dans Google Tag Manager, vous pouvez ajouter facilement des triggers personnalisés. Dans le cas présenté au dessus, nous allons vous aider à configurer la balise Facebook Pixel.
En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton +
Le trigger « Événement personnalisé » permet de communiquer avec votre solution
Si votre solution propose ce type d’intégration, vous trouverez un évènement à copier coller dans ce champ
Généralement, l’événement prend la forme suivante : nomdelasolution_activate_nomduservice
L’avantage, c’est qu’on peut le faire soi-même sans solliciter un développeur
La plupart des solutions de gestion des cookies ne proposent en réalité qu’un écran de fumée. Ils se contentent de lister une grande quantité de régies sans véritablement envoyer l’information aux vendors. Autrement dit, les toggles présents dans l’interface de gestion n’ont aucun impact sur le dépôt des cookies.
Si vous avez choisi d’utiliser une TMS (Tag Management System) du marché comme Google Tag Manager, vous pouvez afficher une fenêtre de debug qui vous affichera clairement les cookies qui sont déposés et ceux qui sont en stand by (d’un consentement de l’utilisateur)
Cette console s’affiche directement sur votre site et affiche les balises et leur statut
Pour suivre les performances de votre site internet, nombreux sont ceux qui utilisent la célèbre solution Google Analytics. Et dans ce monde post RGPD, vous vous posez surement cette question : dois-je demander un consentement explicite pour installer ce script au chargement de la page ?
Pour faire simple, si le cookie que vous installé est capable d’identifier un individu, alors vous devez appliquer les exigences du RGPD en matière de consentement.
Par défaut, Google Analytics peut le faire grâce au transfert de l’IP. Pour être exempté de consentement, vous devez donc anonymiser les IP dans votre outil de mesure d’audience, qu’il s’agisse de GA ou d’un autre service.
Depuis le 25 mai 2010, la fonctionnalité _anonymizelp est disponible dans la bibliothèque JavaScript ga.js (et plus récemment, ga(‘set’, ‘anonymizeIp’, true) dans la bibliothèque analytics.js). Elle permet aux propriétaires de sites Web de demander à ce que les adresses IP de tous leurs utilisateurs soient anonymes dans Analytics.
En fait, pour garder des statistiques géographiques assez poussées, on vous propose de masquer uniquement les 3 derniers chiffres de l’IP, rendant quasiment impossible l’identification de l’individu.
En masquant les 3 derniers chiffres de l’IP, vos utilisateurs ne peuvent plus être identifiés
Pour que l’IP d’un visiteur soit stocké dans Analytics sous une forme masquée, la fonction _anonymizelp doit être appliquée. L’intégration complète et standardisée d’un code de suivi de Google Analytics ressemble habituellement à cela : En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton +
Le code classique fourni par Google Analytics pour démarrer la synchronisation
En utilisant la fonction anonymize IP, voici ce que ça donne
Si vous utilisez Google Tag Manager, c’est encore plus facile !
Vous pouvez activer cette fonction dans Google Tag Manager en allant dans le menu « Plus de paramètres », puis ajouter un champ « anonymizeip » avec une valeur « True ».
Google Tag Manager permet de réaliser cette manipulation sans l’intervention d’un technicien
Les développeurs sont déjà énormément sollicités par les différents services de la société. Vous priorisez alors naturellement les développements ayant un impact immédiat sur le produit et le business. Et c’est bien normal !
Modification de l’ensemble des formulaires, horodatage des consentements, centre de contrôle… derrière cette exigence légale se cache un chantier important qui vous prendra plusieurs jours de travail. Comme pour les chats, l’authentification ou encore les solutions de paiement, les entreprises se tournent le plus souvent vers solution externe pour vous simplifier la tâche et gagner un temps considérable.
Entre l’expérience utilisateur, la Roadmap chargée, et l’avocat qui veille au grain, c’est parfois difficile de trouver une solution viable.
En s’appuyant sur un tiers de confiance, les entreprises vont pouvoir se mettre en conformité avec la nouvelle législation européenne, mais aussi communiquer sur leur démarche responsable. Dans la même veine que les avis certifiés, la plupart des marques mettent de côté les fonctionnalités natives de leur outil e-commerce pour privilégier des solutions comme TrustPilot ou TrustedShop. La raison est simple : il s’agit là de garantir l’authenticité et la traçabilité des opinions clients. Pour les consentements, c’est la même logique. La promesse ne peut fonctionner que si l’entreprise n’est pas en capacité de modifier les choix des utilisateurs derrière leur dos ! En sous-traitant ces aspects, ses prospects et ses clients seront plus motivés pour lui donner une première chance.
La question du RGPD n’est pas si simple à appréhender … On trouve sur internet des informations complètement erronées participant activement au flou actuel sur le sujet. En s’engouffrant seul dans l’adaptation de ses outils internes, on risque de passer à côté de l’essentiel. Seul un avocat peut aider à identifier ce qu’on doit faire … Là encore, c’est un nouveau devis que les entreprises trouveront sur leur bureau venant ainsi s’ajouter aux jours de développements nécessaires. En adoptant une solution spécialisée, l’entreprise gagnera un temps précieux pour se consacrer sur son activité principale.
Les entreprises doivent sortir des cases à cocher traditionnelles ON/OFF. Sandra, mère de famille, acceptera peut-être plus volontiers d’être appelée le mercredi après-midi ? Jules acceptera peut-être une newsletter si la marque lui compose un digest une seule fois par mois ? En permettant à ses clients de gérer la pression publicitaire qu’ils subissent, ils laisseront sans doute une première chance à l’entreprise.
Redonnez le contrôle à vos utilisateurs et valorisez tous les canaux
Dans la pratique, ces multiples segments dans votre base se gèreront très bien à l’heure car les CRM puissantes et les routeurs emailings ont tous déployé des fonctionnalités de marketing automation.
Canal, thématique, fréquence : donnez plus de profondeur au recueil de consentement pour maximiser vos opt-in
Pour inciter un internaute à s’abonner dans vos listes de diffusion, pourquoi ne pas lui montrer un exemple de ce que vous faites ? Dans le cas d’une newsletter, il suffit de glisser un petit lien vers une version en ligne d’une newsletter dont vous êtes fiers, avec un maximum de contenu pertinent. En lisant cet exemple, il sera sans doute tenté de s’abonner.
Les adblockeurs ont le vent en poupe. La moitié des Français se seraient dotés d’un logiciel anti-pub faisant chuter considérablement les revenus de certains sites. Problème ? Lorsqu’il s’agit d’un site gratuit, c’est une question de vie ou de mort.
Alors que certains canards décident de bloquer la navigation lorsqu’un adblocker est détecté (ce qu’il ne faut à mon sens pas faire), d’autres décident d’être plus pédagogiques en expliquant la réalité.
Dans le cas ci-dessous, l’express explique clairement que des centaines de personnes (des graphistes, des rédacteurs, des développeurs…) produisent chaque jour des contenus gratuits grâce à la publicité.
En jouant la transparence, il y a sans doute beaucoup de lecteurs qui auront passé le site dans la whitelist de leur adblocker.
Désactiver parfois son adblocker, ça peut préserver des emplois
Avec le sourire, ça marche encore mieux : cette fois-ci, c’est Numérama qui remplace ses publicités par un message plein d’humour …
Moins culpabilisant, le message de Numérama est tout aussi puissant
Vous vous demandez surement ce qui se cache derrière cette proposition ? En fait, c’est tout simplement un abonnement temporaire. Reprenons le cas de la traditionnelle newsletter : pourquoi ne pas proposer un abonnement temporaire d’un mois à vos utilisateurs ? Cela leur permettrait d’évaluer le contenu que vous leur proposez. Au bout de 30 jours, vous pouvez leur reposer la question : avez vous été satisfait du contenu que nous vous avons envoyé ? Souhaitez-vous toujours recevoir notre lettre d’information ? Encore une fois, c’est une marque de respect et cela vous permettra d’avoir des feedbacks en temps réel sur votre inbound marketing.
Après avoir passé votre site en HTTPS, intégré un recueil de consentement conforme (cookies + formulaires), rédigé une politique de confidentialité … votre site sera conforme avec le nouveau RGPD. Toutefois, vous l’aurez compris dans ce document, il y a plusieurs façons de procéder et les marques vont rapidement se diviser en 2 clans : Il y aura celles qui continuent de penser que, pour connaître le client, il faut regarder par-dessus son épaule, et de l’autre les marques qui comprennent qu’à l’avenir le marketing se fera avec des clients qui acceptent de se faire bien connaître. De quel côté serez-vous ? Aurez-vous vraiment le choix ? Il est bien évidemment conseillé de vous habituer au plus vite à ces nouvelles pratiques.
Contrôler sa pression publicitaire, une nécessité pour les années à venir
Article proposé par Laurent THOMAS
Cofondateur de la solution Axeptio – www.axeptio.eu, laurent@axeptio.eu, Linkedin personnel, Linkedin entreprise