Solutions

Produits

Ressources

Société

Mois : mars 2019

Comment respecter le RGPD sans compromettre l’expérience utilisateur ?

Ce défi résume à lui seul la vocation d’une Consent Management Platform (CMP) capable de concilier conformité réglementaire et expérience utilisateur.

CMP : l’abréviation est encore récente, mais se répand à grande vitesse dans l’univers des Martech. Derrière ces 3 lettres, une nouvelle génération de solutions dédiées à la gestion des consentements : les Consent Management Platform. Ces outils ont été conçus dans le sillage du RGPD (Règlement Général sur la Protection des Données) pour assurer la collecte, l’enregistrement et la gestion des consentements donnés par les utilisateurs à un site ou une app. Un sujet clé, puisque l’activation de tags et le déploiement de cookies dépendent directement de l’obtention de ces consentements. Les 7 caractéristiques d’une telle plate-forme :

1) Une CMP n’impose pas sa lecture de la loi

Le RGPD peut donner lieu à différentes interprétations. D’un pays à l’autre d’ailleurs, on observe des nuances dans la compréhension du texte avec, à la clé, des usages plus ou moins tolérés. Il y a de bonnes chances également que l’interprétation du texte évolue au fil du temps, au fur et à mesure que le marché s’outille et mûrit sur le sujet.

En effet, si la validation des conditions d’usage des données par simple défilement de la page semble pour l’heure tolérée en France, rien ne dit que cette pratique sera acceptée encore bien longtemps… Au contraire, il ne serait pas surprenant de voir la réglementation se durcir davantage. Ce n’est donc pas à la CMP d’interpréter les textes, mais aux responsables des sites et apps d’arrêter cette interprétation et de paramétrer en conséquence leur plateforme. Une CMP doit pouvoir s’adapter à un large éventail de scénarios.

 2) Une CMP fonctionne avec tous les « vendors » (IAB ou pas)

Le framework de l’IAB fait légitimement beaucoup parler de lui. Il fédère d’ores et déjà plus de 400 « vendors », des éditeurs de solutions Martech. Dans ce modèle, chaque « vendor » s’engage à s’outiller pour recevoir le statut (accepté ou rejeté) des consentements des utilisateurs tel que défini par l’IAB afin de savoir s’il est en droit de traiter ou non les données collectées.

Outre le fait que ce framework représente une lecture partisane (car orientée « vendor ») du RGPD, il ne couvre pas l’intégralité des solutions existantes. Tous les « vendors » ne sont pas enregistrés auprès de l’IAB. Autrement dit, une CMP qui se résume à la mise en œuvre du framework IAB n’est pas capable de dialoguer avec des « vendors non-IAB ».

 3) Une CMP désactive réellement les tags non consentis

Dans le modèle de l’IAB, que le consentement soit donné ou pas par un utilisateur, les tags sont bel et bien chargés – c’est au vendor de traiter ou non les données émises selon le statut du consentement. Un mode opératoire qui suscite une question légitime : pourquoi ne pas désactiver les tags par défaut et tant que l’utilisateur n’a pas donné son consentement ?

Ce fonctionnement semble à la fois plus logique et sécurisant, mais toutes les CMP ne le proposent pas. Il existe deux façons de bloquer les tags avant réception du consentement :

Soit, en ajoutant manuellement une condition dans le code des tags afin que ces derniers se déclenchent seulement si l’utilisateur accepte que sa donnée soit traitée.

Ou en associant la CMP à un TMS (Tag Management System) afin que la première commande au second le chargement des conteneurs de tags en fonction de l’obtention du consentement. Aucun tag n’est activé sans accord de l’utilisateur. Une fois le consentement obtenu, le conteneur de tags est chargé automatiquement en arrière-plan (sans attendre le chargement de la page suivante).

 4) Une CMP outille la personnalisation

Pourquoi la pop-in de consentement devrait-elle être la même sur son propre site que sur celui de son concurrent ? Pourquoi le « privacy center » (centre de préférences), cette page où est listé l’ensemble des cookies qui sont activés, semble ne pas respecter la charte graphique ?

Parce qu’il est, de fait, le premier élément que risque bel et bien de découvrir un nouveau visiteur, la pop-in (sur un site) ou l’écran (sur une app) de consentement doit ressembler à l’entreprise. Des éléments de langage aux codes visuels, cette interface dédiée à la collecte du consentement doit porter les attributs de la marque. La CMP doit donc permettre ce « branding » du consentement.

 5) Une CMP s’étend aux sites comme aux apps et module l’UX selon les devices

La gestion des consentements ne vaut pas que pour le web, mais aussi pour les apps mobiles. Une complexité supplémentaire à gérer, notamment pour l’expérience utilisateur, puisqu’il n’est pas envisageable d’afficher les mêmes interfaces de consentement sur le site web affiché sur un ordinateur de bureau, sur un mobile et sur l’app elle-même. Si sur un site il s’avère prudent de ne pas cacher le contenu derrière une pop-in, sur un mobile l’affichage d’un écran de consentement à part entière est plus acceptable. Une certitude donc, la CMP doit être en mesure de moduler l’expérience utilisateur selon le device.

 6) Une CMP permet une mesure fine de la performance

Personnaliser la pop-in de consentement selon les attributs de la marque, tester différentes tailles d’écran de consentement, évaluer l’impact des éléments de langage… Autant de bonnes pratiques à encourager dès lors que l’outillage de mesure suit.

Objectif : mener un A/B Testing des différentes formules et mesurer leur impact sur l’évolution des taux de consentement et le parcours même des visiteurs. Même si elle se présente en premier lieu comme une solution de gestion de la conformité réglementaire, la CMP est aussi une solution Martech et, à ce titre, sa performance doit être mesurée.

 7) Une CMP historise les consentements

Parmi les notions clés du RGPD figure « l’accountability ». En clair, le RGPD demande aux entreprises non seulement de collecter les données à caractère personnel de manière licite et loyale, mais aussi d’être en capacité de prouver a posteriori qu’elles ont bien procédé ainsi.

Voilà pourquoi il s’avère indispensable d’historiser les consentements avec précision (un consentement a-t-il été donné pour un usage particulier ? Pour tous les usages ?) ainsi que les activations qui ont suivi. En cas de contrôle, cet historique fait office de reporting pour démontrer la bonne gestion des données personnelles selon les principes du RGPD. L’historisation est une fonction fondamentale pour de nombreuses entreprises.

La CMP ne doit toutefois pas être confondue avec le « cookie notice », encore en ligne sur de nombreux sites. Ce bandeau informe simplement les visiteurs que la poursuite de leur visite vaut acceptation des conditions d’utilisation des données personnelles. Autant dire que ce dispositif n’est pas vraiment conforme au RGPD qui demande d’afficher clairement la finalité de la collecte des données et, surtout, d’obtenir un consentement explicite.

La CMP entend pour sa part garantir la conformité réglementaire sans compromettre l’expérience client… Respecter le RGPD et faciliter l’obtention des consentements tout en respectant le confort de l’utilisateur !

Pourquoi redonnez-vous votre consentement toutes les semaines sur certains sites ?

Les pop-in RGPD semblent parfois bégayer. Mauvaise nouvelle : ce n’est pas un bug, mais un effet collatéral d’une collecte du consentement un peu trop globale et d’un parti pris plutôt court-termiste…

Une impression de déjà-vu. C’est ce que suscite très régulièrement la navigation sur le web aujourd’hui. Et pour cause : alors que l’utilisateur a déjà donné son consentement, un grand nombre de sites web persistent à renouveler ce consentement, parfois seulement quelques jours après l’avoir demandé. Et pourtant, si ce bégaiement des pop-in de consentement irrite légitimement les utilisateurs, il ne s’agit nullement d’un bug. Explications.

Sur le marché, plusieurs solutions de gestion des consentements – les CMP, pour Consent Management Platform – sont à la disposition des éditeurs de sites. Certaines sont gratuites et génériques, d’autres, payantes et plus personnalisables. Surtout, certaines s’adossent exclusivement au framework de l’IAB, là où d’autres – c’est le cas de la CMP de Commanders Act – ne s’y limitent pas. Cette différence est essentielle, et bien la saisir suppose d’appréhender l’esprit du framework IAB.

Le framework IAB, une lecture orientée « vendors » du RGPD

Sans surprise, ce framework est inspiré par une lecture orientée « vendors » du RGPD (Règlement Général sur la Protection des Données). Entendez par « vendors » les acteurs dont les services et solutions exploitent des données à caractère personnel. Le framework de l’IAB consiste, une fois le consentement obtenu ou refusé, à communiquer cette réponse à ces acteurs. Ce consentement peut être donné globalement (pour toute la liste des « vendors »), par usage (on parle de « purpose » dans le langage IAB) ou par acteur. Mais, finalement, le principe reste le même : le framework fait confiance au « vendor » pour respecter le statut du consentement.

Très concrètement, dans le modèle de l’IAB, les tags des services utilisés par un site sont donc chargés en même temps que les pages web, que le consentement soit donné ou pas. Et il revient aux « vendors » de tenir compte du consentement (obtenu ou rejeté) pour exploiter ou non les données. Ce mode de fonctionnement est radicalement différent de celui de la CMP de Commanders Act : avec elle, les tags ne sont tout simplement pas chargés tant que l’utilisateur n’a pas donné son consentement. Aucune information n’est donc transmise. Rien de magique ici : c’est le fait de coupler CMP et TMS (Tag Management System) qui permet de conditionner ce chargement des tags à l’obtention du consentement.

Renouvellement incessant des consentements

Le mode de fonctionnement des CMP dérivées du framework IAB présente une autre limite. Et c’est elle qui explique le renouvellement incessant des consentements. La liste des « vendors » évolue régulièrement. À l’heure où nous publions cet article, la dernière mise à jour numérotée 135 date ainsi du 21 février 2019. Comme les mises en œuvre les plus courantes de ces CMP « IAB-centric » collectent le consentement en une fois pour l’ensemble de la liste, dès que celle-ci accueille un nouveau vendor, ce consentement doit être renouvelé. Logique. Voilà pourquoi les utilisateurs voient la fameuse pop-in s’afficher parfois plusieurs fois par mois.

Notons que ce phénomène pourrait être moindre si les mises en œuvre s’appuyaient davantage sur l’obtention d’un consentement par « purpose » (versus un consentement pour tous les usages). Dans ce cas, le renouvellement du consentement serait nécessaire uniquement en cas de mise à jour des vendors concernés par l’un des usages acceptés par l’utilisateur – la personnalisation par exemple ou encore la publicité.

Un pari court-termiste

Dans la pratique ce consentement par les usages est délaissé au profit d’une validation globale afin de maximiser le taux d’acceptation. Un pari que l’on peut considérer court-termiste : après plusieurs sollicitations mensuelles pour renouveler le consentement, il ne serait pas surprenant de voir les utilisateurs se lasser au point de baisser la fréquence de leurs visites…

Question légitime pour les éditeurs de sites : comment gérer les consentements relatifs à des « vendors IAB » tout en épargnant aux utilisateurs ces renouvellements intempestifs de leurs consentements ? La solution existe : elle consiste à charger une liste de vendors IAB spécifique (celle qui correspond strictement aux tags à activer sur un site) afin d’éviter une mise à jour dès qu’un nouvel acteur est inscrit dans la liste globale de l’IAB.

C’est la voie choisie par Commanders Act dont la CMP fonctionne également sur la base des « purposes ». Résultat, les consentements sont obtenus sur la base d’usages explicites associés à une liste spécifique de « vendors ». Une collecte qui concilie conformité (au RGPD) et qualité de l’expérience (les renouvellements de consentement sont sensiblement réduits). Last but not least : le procédé est ouvert aux « vendors » non-IAB. Car, oui, ne l’oublions pas, tous les acteurs Martech ne sont pas inscrits sur la liste de l’IAB, mais tous sont bien concernés par le RGPD…

7 caractéristiques d’une CMP capable de soigner votre conformité réglementaire et l’expérience utilisateur

Comment respecter le RGPD sans compromettre l’expérience utilisateur ? Ce défi résume à lui seul la vocation d’une Consent Management Platform

CMP : l’abréviation est encore récente, mais se répand à grande vitesse dans l’univers des Martech. Derrière ces 3 lettres, une nouvelle génération de solutions dédiées à la gestion des consentements : les Consent Management Platform. Ces outils ont été conçus dans le sillage du RGPD (Règlement Général sur la Protection des Données) pour assurer la collecte, l’enregistrement et la gestion des consentements donnés par les utilisateurs à un site ou une app. Un sujet clé, puisque l’activation de tags et le déploiement de cookies dépendent directement de l’obtention de ces consentements.

La CMP ne doit toutefois pas être confondue avec le « cookie notice », encore en ligne sur de nombreux sites. Ce bandeau informe simplement les visiteurs que la poursuite de leur visite vaut acceptation des conditions d’utilisation des données personnelles. Autant dire que ce dispositif n’est pas vraiment conforme au RGPD qui demande d’afficher clairement la finalité de la collecte des données et, surtout, d’obtenir un consentement explicite.

La CMP entend pour sa part garantir la conformité réglementaire sans pour autant nuire à l’expérience client. Une alchimie délicate qui repose sur des combinaisons différentes pour chacun. Voilà pourquoi une CMP doit permettre une forte personnalisation. Mais ce n’est là que l’une des 7 caractéristiques d’une telle plateforme…

 

1) Une CMP n’impose pas sa lecture de la loi

Le RGPD peut donner lieu à différentes interprétations. D’un pays à l’autre d’ailleurs, on observe des nuances dans la compréhension du texte avec, à la clé, des usages plus ou moins tolérés. Il y a de bonnes chances également que l’interprétation du texte évolue au fil du temps, au fur et à mesure que le marché s’outille et mûrit sur le sujet.

Exemple concret : si la validation des conditions d’usage des données par simple défilement de la page semble pour l’heure tolérée en France, rien ne dit que cette pratique sera acceptée encore bien longtemps… Au contraire, il ne serait pas surprenant de voir la réglementation se durcir davantage. Ce n’est donc pas à la CMP d’interpréter les textes, mais aux responsables des sites et apps d’arrêter cette interprétation et de paramétrer en conséquence leur plateforme. Une CMP doit pouvoir s’adapter à un large éventail de scénarios.

 

2) Une CMP fonctionne avec tous les « vendors » (IAB ou pas)

Le framework de l’IAB fait légitimement beaucoup parler de lui. Il fédère d’ores et déjà plus de 400 « vendors », des éditeurs de solutions Martech. Dans ce modèle, chaque « vendor » s’engage à s’outiller pour recevoir le statut (accepté ou rejeté) des consentements des utilisateurs tel que défini par l’IAB afin de savoir s’il est en droit de traiter ou non les données collectées.

Outre le fait que ce framework représente une lecture partisane (car orientée « vendor ») du RGPD, il ne couvre pas l’intégralité des solutions existantes. Tous les « vendors » ne sont pas enregistrés auprès de l’IAB. Autrement dit, une CMP qui se résume à la mise en œuvre du framework IAB n’est pas capable de dialoguer avec des « vendors non-IAB ».

 

3) Une CMP désactive réellement les tags non consentis

Dans le modèle de l’IAB, que le consentement soit donné ou pas par un utilisateur, les tags sont bel et bien chargés – c’est au vendor de traiter ou non les données émises selon le statut du consentement. Un mode opératoire qui suscite une question légitime : pourquoi ne pas désactiver les tags par défaut et tant que l’utilisateur n’a pas donné son consentement ?

Ce fonctionnement semble à la fois plus logique et sécurisant, mais toutes les CMP ne le proposent pas. Il existe deux façons de bloquer les tags avant réception du consentement :

  • En ajoutant manuellement une condition dans le code des tags afin que ces derniers se déclenchent seulement si l’utilisateur accepte que sa donnée soit traitée.
  • En associant la CMP à un TMS (Tag Management System) afin que la première commande au second le chargement des conteneurs de tags en fonction de l’obtention du consentement.

La CMP de Commanders Act, adossée au TMS Tag Commander, fonctionne pour sa part sur le deuxième modèle. Aucun tag n’est activé sans accord de l’utilisateur. Une fois le consentement obtenu, le conteneur de tags est chargé automatiquement en arrière-plan (sans attendre le chargement de la page suivante).

 

4) Une CMP outille la personnalisation

Pourquoi la pop-in de consentement devrait-elle être la même sur votre site que sur celle de votre concurrent ? Pourquoi le « privacy center » (centre de préférences), cette page où est listé l’ensemble des cookies que vous activez, semble ne pas respecter votre charte graphique ?

Parce qu’il est, de fait, le premier élément que risque bel et bien de découvrir un nouveau visiteur, la pop-in (sur un site) ou l’écran (sur une app) de consentement doit vous ressembler. Des éléments de langage aux codes visuels, cette interface dédiée à la collecte du consentement doit porter vos attributs de marque. La CMP doit donc permettre ce « branding » du consentement.

 

5) Une CMP s’étend aux sites comme aux apps et module l’UX selon les devices

La gestion des consentements ne vaut pas que pour le web, mais aussi pour les apps mobiles. Une complexité supplémentaire à gérer, notamment pour l’expérience utilisateur, puisqu’il n’est pas envisageable d’afficher les mêmes interfaces de consentement sur le site web affiché sur un ordinateur de bureau, sur un mobile et sur l’app elle-même. Si sur un site il s’avère prudent de ne pas cacher le contenu derrière une pop-in, sur un mobile l’affichage d’un écran de consentement à part entière est plus acceptable. Une certitude donc, la CMP doit être en mesure de moduler l’UX selon le device.

 

6) Une CMP permet une mesure fine de la performance

Personnaliser la pop-in de consentement selon les attributs de la marque, tester différentes tailles d’écran de consentement, évaluer l’impact des éléments de langage… Autant de bonnes pratiques à encourager dès lors que l’outillage de mesure suit.

Objectif : mener un A/B Testing des différentes formules et mesurer leur impact sur l’évolution des taux de consentement et le parcours même des visiteurs. Même si elle se présente en premier lieu comme une solution de gestion de la conformité réglementaire, la CMP est aussi une solution Martech et, à ce titre, sa performance doit être mesurée.

 

7) Une CMP historise les consentements

Parmi les notions clés du RGPD figure « l’accountability ». En clair, le RGPD demande aux entreprises non seulement de collecter les données à caractère personnel de manière licite et loyale, mais aussi d’être en capacité de prouver a posteriori qu’elles ont bien procédé ainsi.

Voilà pourquoi il s’avère indispensable d’historiser les consentements avec précision (un consentement a-t-il été donné pour un usage particulier ? Pour tous les usages ?) ainsi que les activations qui ont suivi. En cas de contrôle, cet historique fait office de reporting pour démontrer la bonne gestion des données personnelles selon les principes du RGPD. La CMP de Commanders Act assure cette historisation, une fonction fondamentale pour de nombreux clients.

Pour ne rien manquer des dernières actualités de Commanders Act, abonnez-vous à notre newsletter !  

© Commanders Act. Tous droits réservés.
Powered by CREAATION.