Le sujet du consentement s’installe, et pour longtemps, dans la todo des responsables marketing. Comment le traiter ? Si certains sont tentés par des tactiques de contournement, d’autres l’inscrivent dans une réflexion plus stratégique.

Sur le terrain

Le réflexe court-termiste : La tentation du contournement

Si la durée de validité de l’opt-in est de 13 mois (autrement dit un cookie légitimement accepté peut avoir un tel cycle de vie), rien ne spécifie en revanche aujourd’hui dans les textes la durée de validité de l’opt-out. Il n’en fallait pas plus pour que des organisations y voient une opportunité : celle de solliciter les visiteurs en opt-out à chacune de leurs visites. Ou comment réinventer à l’heure du digital le harcèlement téléphonique…

Ce n’est pas la seule voie explorée par ceux qui privilégient des tactiques de contournement : opter pour l’affichage paginé des différentes catégories de cookies histoire de lasser le visiteur et l’encourager à tout accepter au plus vite est une autre de ces tactiques. Un comportement qui, à notre sens, s’apparente à une fuite en avant peu efficace, voire nuisible à la marque. La pratique de la collecte du consentement devient  – c’est une évidence – l’un des critères d’évaluation de la confiance à accorder (ou pas) à une marque. Et ne sous-estimons pas non plus « la culture du consentement » que les internautes vont peu à peu acquérir. Les audiences ne seront pas dupées bien longtemps par ces tactiques.

L’investissement long-termiste : Le retour au login et à la connexion

À l’opposé de ces tactiques de contournement, de nombreuses marques revoient plus en profondeur leur stratégie digitale pour y inscrire pleinement la collecte et gestion du consentement. Voilà pourquoi les logins ont tendance à ressurgir sur les sites, y compris sur ceux qui n’offrent pas un espace transactionnel (compte e-commerce par exemple). Mieux, dans des secteurs d’activité, des alliances se créent pour proposer aux internautes un login commun à plusieurs marques et sites. Les groupes de presse notamment sont à l’avant-garde du mouvement. C’est le cas en France, avec l’association d’éditeurs en ligne Le Geste qui avec une dizaine de médias travaille au déploiement d’un tel login commun. Ces initiatives « login et privacy » se multiplient aussi en Allemagne (où Axel Springer est vent debout contre les plateformes) ou encore au Portugal.

De fait, proposer aux utilisateurs de s’authentifier pour accéder à des contenus et services présente plusieurs avantages. Si un tel login ne dispense pas de collecter un consentement dès lors que l’on souhaite utiliser des cookies pour les visiteurs non-connectés, il permet de travailler à deux vitesses. Par exemple en recourant à peu de cookies pour les visiteurs anonymes (ce qui simplifie l’écran de collecte) et en optant pour un suivi plus détaillé pour les visiteurs authentifiés. Pour ces derniers, le login est l’occasion de soigner la formulation du « contrat » et de l’usage des données.

Autre avantage du login, en maintenant une « session utilisateur », il permet de compenser les mécanismes qui, comme vu précédemment, réduisent le champ d’action des cookies. En outre, cette connexion directe avec l’audience est aussi un moyen d’étoffer la data first party. Une préoccupation clairement dans l’air du temps…

Les indispensables

Travailler la formulation du consentement

ou comment renouveler la collaboration entre marketing et légal

Que l’on opte ou non pour le login, une nouvelle collaboration est souhaitable entre les équipes marketing et juridiques. Pour l’heure, la formulation du consentement a trop souvent été sous-traitée à l’équipe juridique. Probablement avec l’idée qu’à l’image des conditions générales de vente, personne ne s’amusera très longtemps à lire ces quelques lignes.

Cette posture peut se comprendre à l’heure où les taux de consentement avoisinent les 90% lorsque les organisations recourent au « soft consent ». Mais, nous l’avons vu, la donne aura changé d’ici à juillet 2020 : une action positive de l’internaute sera requise. Et pour la motiver un texte strictement légal ne suffira pas. Le contrat que représente la collecte des consentements doit désormais être travaillé conjointement entre légal et marketing pour emporter l’adhésion des audiences. Objectif : formuler de la manière la plus lisible possible la valeur de ce consentement et les engagements de la marque. À chacun de trouver sa formule…

Passer de la gestion du consentement à celle des préférences

ou comment faire du consentement une expérience utilisateur

Puisque le consentement ne consiste plus à demander à l’internaute de hocher la tête devant un écran prérempli, il semble logique de considérer cette collecte comme un moment à part entière de l’expérience utilisateur. Et d’utiliser ce moment non seulement pour collecter le consentement, mais aussi pour offrir aux visiteurs la possibilité de déterminer l’ensemble de leurs préférences. Acceptent-ils de recevoir des notifications web ? D’être soumis à des annonces sur les réseaux sociaux ? Souhaitent-ils recevoir un email récapitulatif des dernières informations ? À quelles fréquences ?

On le perçoit avec ces exemples, la gestion des préférences sera d’autant plus exhaustive et « utile » si l’utilisateur est logué. Dans tous les cas, le chemin se dessine : le « privacy center » (cette page où l’internaute visualise ses consentements) devient un « preferences center ». Ce lieu où chaque visiteur dispose d’une vue globale des points de contact et des informations qu’il accepte ou non de partager. Un lieu où il ne se rend pas par défaut, mais pour réguler sa relation à la marque.

Scénariser le consentement

ou comment booster la collaboration entre marketing et martech

Puisque le « soft consent » appartient au passé, chaque organisation doit se préparer à une collecte beaucoup plus explicite des consentements. Et, aussi, à une chute sensible des taux de consentement. Jusqu’à quel point ? La dernière édition du Baromètre Privacy Commanders Act donne des indices.

Près de 32% des sites étudiés s’en tiennent à un consentement « super soft » (validation du consentement au scroll ou premier clic sur un élément) et 31% à un consentement « soft » (validation à la deuxième page visitée). D’où des taux de consentement dans des secteurs comme « Mode & Retail » ou « Voyages » qui oscillent entre 66% et 91% ! Ces taux contrastent fortement avec ceux d’acteurs de la finance qui, appliquant davantage un « strict consent » (clic explicite sur un bouton accepter), enregistrent pour leur part un taux moyen de consentement de… 29%. Voilà qui donne un aperçu de ce à quoi peuvent s’attendre les éditeurs de site avec la fin du « soft consent ».

Avec des consentements divisés par 2 ou 3, la scénarisation du consentement devient un sujet. Sans question tabou.

Superviser le consentement

ou comment s’outiller pour agir

Parce qu’elle fait partie de l’expérience utilisateur, parce qu’elle détermine la capacité à acquérir de la connaissance client et à activer des leviers digitaux, la collecte des consentements appelle un suivi de précision avec des KPI (Key Performance Indicators) dédiés. Et pour cause : les questions ne manquent pas :

• Quel est le taux d’optin global ?
• Comment se distribuent les optins par catégories (analytique, retargeting, emailing…) ?
• Entre les différents écrans et messages proposés, lesquels convertissent le mieux ?
• Quel est le trafic sur le Privacy Center ?

Des données précieuses pour se donner les moyens d’une amélioration continue du consentement et soigner ce contrat de confiance avec son audience.

Découvrez notre CMP : TrustCommander

Takeaway

Puisque le consentement est là et pour longtemps, les tentatives de contournement sont vouées à l’échec. Les marques ont tout intérêt à travailler le consentement comme un moment de l’expérience utilisateur. Un moment qui, pour être réussi, appelle une collaboration resserrée entre équipes juridique, technique et marketing.

Retrouvez le livre blanc complet sur la gestion des consentement

Effervescence sur le front réglementaire

RGPD : bienvenue dans la saison 2

Certains ont pu croire que le sujet du RGPD (Règlement Général pour la Protection des Données) appartenait déjà au passé. Que ce sujet un temps d’actualité avait désormais sa place dans les archives. Et pour cause : les organisations localisées au sein de l’Union européenne (UE) – ou qui traitent des données à caractère personnel relatives à des citoyens de l’UE –  ont vécu l’application du RGPD au 25 mai 2018 comme une échéance clé. De celles qui marquent un avant et un après. De fait, le RGPD a apporté son lot de nouveautés avec des droits renforcés ou ajoutés : droits d’accès et de rectification, droit à l’oubli, droit de portabilité, sans oublier le consentement. Sans oublier… ou presque.

Sur le front digital, si les organisations ont bien revu leurs bandeaux et écrans de consentement à l’occasion du 25 mai 2018, la pratique est toutefois restée assez éloignée des principes du RGPD. Pour une raison simple : les failles du texte, notamment le flou qui entoure la mise en œuvre concrète du RGPD, a permis par exemple à bon nombre d’entreprises de s’en tenir au « soft consent ». Entendez un consentement qui ne repose pas sur une action explicite de l’internaute – par exemple quand la poursuite de navigation vaut consentement. Cette pratique ne sera plus acceptée en juillet 2020. D’ici là, la CNIL, jusqu’alors très tolérante, aura formulé une recommandation définitive sur les cookies qui annulera définitivement celle de 2013. Les premières lignes directrices ayant été publiées durant l’été 2019, les grands principes sont déjà connus.

De manière cohérente avec le RGPD, le dépôt de cookies ou l’activation de tout autre mécanisme de tracking sera soumis à l’obtention d’un consentement libre, spécifique, éclairé et univoque. Concrètement, la position de la CNIL se durcit. Aux oubliettes donc la validation via la poursuite de navigation, mais aussi les cases « J’accepte tout » précochées. D’ici à juillet 2020, il s’agira de proposer à l’internaute un choix équilibré et éclairé pour lui permettre avec la même facilité d’accepter ou de refuser de donner son consentement. Avec quel impact sur l’obtention du consentement ? Difficile de formuler des pronostics à l’heure où 37% seulement des consentements sont collectés de manière explicite selon la 2^e édition du Baromètre Privacy de Commanders Act. Mais il est d’ores et déjà évident que cette nouvelle « présentation » du consentement donnera une bien plus grande matière à réflexion aux internautes…

CCPA : Quand la Californie légifère sur le consentement

Si l’Europe a clairement donné le « La » avec le RGPD, elle est loin d’être la seule aujourd’hui à déployer des mesures de protection des données personnelles. Aux États-Unis, la Californie a ainsi ouvert le sujet avec son « California Consumer Privacy Act » (CCPA). Un texte qui depuis son adoption en juin 2018 a inspiré une dizaine d’autres états et pourrait aussi donner quelques idées à l’échelle fédérale. Le CCPA lui-même présente un champ d’application plus restreint que le RGPD pour plusieurs raisons :

• Il s’intéresse aux droits du consommateur californien là où le RGPD protège le citoyen européen
• Même s’il apporte des droits (d’accès, de portabilité, d’oubli), le CCPA reste fondé sur l’opt-out
• Il concerne les entreprises exerçant une activité dans l’état et qui remplissent l’une de ces conditions : des revenus annuels supérieurs à 20 millions de dollars ; des achats ou ventes d’informations personnelles d’au moins 50 000 consommateurs ; plus de 50% des revenus annuels liés à la vente de données personnelles des consommateurs.
• Enfin, les sanctions sont fixées à 7 500 dollars par infraction constatée – pour rappel avec le RGPD les sanctions peuvent s’élever à 4% du chiffre d’affaires.

Le CCPA, dont l’application est prévue en 2020, n’est donc pas un « RGPD américain ». Il ne se réfère que très peu à la notion de consentement et n’en fait d’ailleurs pas un prérequis à la collecte de données personnelles. En revanche, le texte californien pose, dans l’esprit du RGPD, un principe de transparence et des jalons qui concernent tout de même la 5^e puissance économique mondiale. Avec lui, ce sont aussi les pratiques des grandes entreprises de l’économie numérique qui vont évoluer.

Chine : l’autre vision des données personnelles

Impossible de ne pas évoquer la position de la Chine sur ce sujet. D’une part parce que le pays compte 1,4 milliard d’habitants ; d’autre part, parce que son écosystème digital est en plein développement et attire de nombreux acteurs étrangers. Si la Chine avait pris au fil du temps différentes dispositions pour protéger les données personnelles, celles-ci concernaient la plupart du temps des cas particuliers (entreprises de télécoms, institutions publiques…).

La donne a changé depuis le 1^er juin 2017 avec l’entrée en vigueur d’une loi sur la Cybersécurité pour la République Populaire de Chine. Cet ensemble de 79 articles présente des points communs avec le RGPD puisqu’il fait référence à la nécessité de publier des règles sur la collecte et l’utilisation des données, règles qui doivent préciser les objectifs poursuivis.

Précisons aussi que le texte encadre le stockage de données personnelles et leur envoi à l’extérieur du territoire Chinois. Si les enjeux de souveraineté numérique et de protection des données personnelles s’entremêlent, le principe d’information explicite des personnes concernées par la collecte est donc posé par ces textes. Voilà qui laisse penser que les bonnes pratiques européennes s’avèrent pertinentes dans le contexte chinois.

Un sujet mondialisé et en pleine effervescence

Si le RGPD et le CCPA font couler beaucoup d’encre, le sujet de la protection des données personnelles est bel et bien devenu mondial. Le Canada compte revoir son Personal Information Protection and Electronic Documents Act pour le mettre au niveau du RGPD européen, l’Inde met la dernière main à son Personal Data Protection Bill, le Royaume-Uni a publié son Guidance on the Use of Cookies and Similar Technologies pour encadrer l’usage des cookies…

Cette liste, loin d’être exhaustive, confirme que les données à caractère personnel sont de plus en plus considérées à travers le monde comme un matériel sensible dont la collecte et l’utilisation nécessitent un cadre. Un paysage encore mouvant dans lequel les marques vont devoir apprendre à cultiver la confiance.

Cookies : le mauvais suspense

De l’Europe à la Chine en passant par les États-Unis, la gestion du consentement est donc désormais encadrée – ou en voie de l’être. Ce contexte réglementaire va inévitablement conduire les utilisateurs à davantage sous-peser la valeur de leur consentement. Ce n’est pas la seule variable qui évolue dans l’équation des responsables marketing. Le contexte technique porte, lui aussi, quelques nouveautés…

ITP 2.2 : Apple accentue la pression…

Apple se voit en champion de la protection des données personnelles et a donné le ton dès 2017 avec une première version de son « Intelligent Tracking Prevention ». Logé dans son navigateur Safari, ce mécanisme qui filtre les cookies s’est sensiblement durci au fil du temps. Résultat, si la première version réduisait le cycle de vie des cookies tiers à 24h, les versions suivantes les ont quasiment éradiqués. Rappelons qu’un cookie tiers est associé à un domaine différent de celui du site visité. C’est donc avec un tel cookie que l’on peut suivre le parcours d’un visiteur de site en site. Très concrètement, sans ces cookies, la gestion du programmatique et du retargeting devient hasardeuse au point d’ailleurs que certains ont banni Safari de leurs campagnes.

La dernière version en date (2.2) d’ITP va encore plus loin en s’attaquant aux cookies first, ceux directement associés à un site. La mesure cible en fait un type précis de cookies first parfois utilisés pour contourner les restrictions appliquées aux cookies tiers. Avec ITP 2.2, ces cookies ne peuvent être trackés que 24 heures. Ce qui est bien (trop) court pour suivre un parcours notamment dans une perspective d’attribution. Pas anodin pour un navigateur dont la part de marché sur le mobile avoisine les 30%.

Phoenix de Commanders Act – Ou comment prolonger la vie des cookies dans Safari

La suppression des cookies first dans Safari au-delà de 24h00 représente une véritable impasse pour les marketeurs. Un exemple d’impact : avec cette suppression, un outil comme Google Analytics n’est plus en mesure de rapprocher 2 sessions d’un même utilisateur si elles ont lieu à plus de 24 heures d’intervalle. Problématique… Voilà pourquoi Commanders Act intègre depuis octobre 2019 à son TMS TagCommander le module Phoenix. Cette technologie permet de sauvegarder ces cookies dans un cookie serveur pour les maintenir en vie au-delà de ces 24 heures – dans la pratique jusqu’à 13 mois. Appliqué à TrustCommander, la CMP de CommandersAct, Phoenix épargne aux internautes un désagrément (trop) bien connu : la demande d’un consentement à chaque session puisque, par défaut, le cookie d’une CMP a de bonnes chances d’avoir été supprimé par Safari…

Et Firefox s’en mêle

Avec sa version 76, Firefox a inauguré la fonction Enhanced Tracking Protection (ETP). Dans le collimateur, les cookies tiers bloqués donc par ce mécanisme. Notons que Facebook a droit à un traitement particulier puisque Firefox empêche le réseau social de suivre le parcours de l’internaute via les boutons Partager et Jaime présents sur des sites.

Chrome : la grande inconnue

Et Chrome dans tout cela ? La réponse est attendue avec un brin d’inquiétude vu la part de marché du navigateur de Google. Une certitude : la firme travaille sur un « privacy framework » dont elle a publié une première esquisse cet été. Un document présenté comme une proposition pour nourrir la réflexion de tous, mais à travers lequel se dessine un Google devenu le hub mondial de la collecte des consentements. De quoi susciter des inquiétudes. Et d’ores et déjà la firme fait évoluer la gestion des préférences en utilisateur en la rendant plus directement accessible et plus lisible dans la dernière version de Chrome.

Takeaway

Que retenir des nouveaux cadres réglementaires et des contraintes techniques qui se multiplient ?

• Pour la plupart des organisations, le sujet de la collecte en ligne des consentements est encore un dossier grand ouvert. La mise en conformité d’ici à juillet 2020 avec les nouvelles recommandations de la CNIL va nécessiter une sérieuse remise à plat des modalités de collecte.
• Les contraintes techniques qui limitent le champ d’action des cookies vont conduire à investiguer, dans le sillage du consentement, comment maintenir un flux de données suffisamment qualitatif pour travailler.
• Plus globalement, l’idée s’impose que la gestion des consentements n’est plus un sujet que le marketing peut se contenter de déléguer au légal ou la technique, mais un pilier à part entière de la stratégie marketing.