Effervescence sur le front réglementaire

 

RGPD : bienvenue dans la saison 2

Certains ont pu croire que le sujet du RGPD (Règlement Général pour la Protection des Données) appartenait déjà au passé. Que ce sujet un temps d’actualité avait désormais sa place dans les archives. Et pour cause : les organisations localisées au sein de l’Union européenne (UE) – ou qui traitent des données à caractère personnel relatives à des citoyens de l’UE –  ont vécu l’application du RGPD au 25 mai 2018 comme une échéance clé. De celles qui marquent un avant et un après. De fait, le RGPD a apporté son lot de nouveautés avec des droits renforcés ou ajoutés : droits d’accès et de rectification, droit à l’oubli, droit de portabilité, sans oublier le consentement. Sans oublier… ou presque.

Sur le front digital, si les organisations ont bien revu leurs bandeaux et écrans de consentement à l’occasion du 25 mai 2018, la pratique est toutefois restée assez éloignée des principes du RGPD. Pour une raison simple : les failles du texte, notamment le flou qui entoure la mise en œuvre concrète du RGPD, a permis par exemple à bon nombre d’entreprises de s’en tenir au « soft consent ». Entendez un consentement qui ne repose pas sur une action explicite de l’internaute – par exemple quand la poursuite de navigation vaut consentement. Cette pratique ne sera plus acceptée en juillet 2020. D’ici là, la CNIL, jusqu’alors très tolérante, aura formulé une recommandation définitive sur les cookies qui annulera définitivement celle de 2013. Les premières lignes directrices ayant été publiées durant l’été 2019, les grands principes sont déjà connus.

De manière cohérente avec le RGPD, le dépôt de cookies ou l’activation de tout autre mécanisme de tracking sera soumis à l’obtention d’un consentement libre, spécifique, éclairé et univoque. Concrètement, la position de la CNIL se durcit. Aux oubliettes donc la validation via la poursuite de navigation, mais aussi les cases « J’accepte tout » précochées. D’ici à juillet 2020, il s’agira de proposer à l’internaute un choix équilibré et éclairé pour lui permettre avec la même facilité d’accepter ou de refuser de donner son consentement. Avec quel impact sur l’obtention du consentement ? Difficile de formuler des pronostics à l’heure où 37% seulement des consentements sont collectés de manière explicite selon la 2^e édition du Baromètre Privacy de Commanders Act. Mais il est d’ores et déjà évident que cette nouvelle « présentation » du consentement donnera une bien plus grande matière à réflexion aux internautes…

CCPA : Quand la Californie légifère sur le consentement

Si l’Europe a clairement donné le « La » avec le RGPD, elle est loin d’être la seule aujourd’hui à déployer des mesures de protection des données personnelles. Aux États-Unis, la Californie a ainsi ouvert le sujet avec son « California Consumer Privacy Act » (CCPA). Un texte qui depuis son adoption en juin 2018 a inspiré une dizaine d’autres états et pourrait aussi donner quelques idées à l’échelle fédérale. Le CCPA lui-même présente un champ d’application plus restreint que le RGPD pour plusieurs raisons :

• Il s’intéresse aux droits du consommateur californien là où le RGPD protège le citoyen européen
• Même s’il apporte des droits (d’accès, de portabilité, d’oubli), le CCPA reste fondé sur l’opt-out
• Il concerne les entreprises exerçant une activité dans l’état et qui remplissent l’une de ces conditions : des revenus annuels supérieurs à 20 millions de dollars ; des achats ou ventes d’informations personnelles d’au moins 50 000 consommateurs ; plus de 50% des revenus annuels liés à la vente de données personnelles des consommateurs.
• Enfin, les sanctions sont fixées à 7 500 dollars par infraction constatée – pour rappel avec le RGPD les sanctions peuvent s’élever à 4% du chiffre d’affaires.

Le CCPA, dont l’application est prévue en 2020, n’est donc pas un « RGPD américain ». Il ne se réfère que très peu à la notion de consentement et n’en fait d’ailleurs pas un prérequis à la collecte de données personnelles. En revanche, le texte californien pose, dans l’esprit du RGPD, un principe de transparence et des jalons qui concernent tout de même la 5^e puissance économique mondiale. Avec lui, ce sont aussi les pratiques des grandes entreprises de l’économie numérique qui vont évoluer.

Chine : l’autre vision des données personnelles

Impossible de ne pas évoquer la position de la Chine sur ce sujet. D’une part parce que le pays compte 1,4 milliard d’habitants ; d’autre part, parce que son écosystème digital est en plein développement et attire de nombreux acteurs étrangers. Si la Chine avait pris au fil du temps différentes dispositions pour protéger les données personnelles, celles-ci concernaient la plupart du temps des cas particuliers (entreprises de télécoms, institutions publiques…).

La donne a changé depuis le 1^er juin 2017 avec l’entrée en vigueur d’une loi sur la Cybersécurité pour la République Populaire de Chine. Cet ensemble de 79 articles présente des points communs avec le RGPD puisqu’il fait référence à la nécessité de publier des règles sur la collecte et l’utilisation des données, règles qui doivent préciser les objectifs poursuivis.

Précisons aussi que le texte encadre le stockage de données personnelles et leur envoi à l’extérieur du territoire Chinois. Si les enjeux de souveraineté numérique et de protection des données personnelles s’entremêlent, le principe d’information explicite des personnes concernées par la collecte est donc posé par ces textes. Voilà qui laisse penser que les bonnes pratiques européennes s’avèrent pertinentes dans le contexte chinois.

 

Un sujet mondialisé et en pleine effervescence

Si le RGPD et le CCPA font couler beaucoup d’encre, le sujet de la protection des données personnelles est bel et bien devenu mondial. Le Canada compte revoir son Personal Information Protection and Electronic Documents Act pour le mettre au niveau du RGPD européen, l’Inde met la dernière main à son Personal Data Protection Bill, le Royaume-Uni a publié son Guidance on the Use of Cookies and Similar Technologies pour encadrer l’usage des cookies…

Cette liste, loin d’être exhaustive, confirme que les données à caractère personnel sont de plus en plus considérées à travers le monde comme un matériel sensible dont la collecte et l’utilisation nécessitent un cadre. Un paysage encore mouvant dans lequel les marques vont devoir apprendre à cultiver la confiance.

Cookies : le mauvais suspense

De l’Europe à la Chine en passant par les États-Unis, la gestion du consentement est donc désormais encadrée – ou en voie de l’être. Ce contexte réglementaire va inévitablement conduire les utilisateurs à davantage sous-peser la valeur de leur consentement. Ce n’est pas la seule variable qui évolue dans l’équation des responsables marketing. Le contexte technique porte, lui aussi, quelques nouveautés…

ITP 2.2 : Apple accentue la pression…

Apple se voit en champion de la protection des données personnelles et a donné le ton dès 2017 avec une première version de son « Intelligent Tracking Prevention ». Logé dans son navigateur Safari, ce mécanisme qui filtre les cookies s’est sensiblement durci au fil du temps. Résultat, si la première version réduisait le cycle de vie des cookies tiers à 24h, les versions suivantes les ont quasiment éradiqués. Rappelons qu’un cookie tiers est associé à un domaine différent de celui du site visité. C’est donc avec un tel cookie que l’on peut suivre le parcours d’un visiteur de site en site. Très concrètement, sans ces cookies, la gestion du programmatique et du retargeting devient hasardeuse au point d’ailleurs que certains ont banni Safari de leurs campagnes.

La dernière version en date (2.2) d’ITP va encore plus loin en s’attaquant aux cookies first, ceux directement associés à un site. La mesure cible en fait un type précis de cookies first parfois utilisés pour contourner les restrictions appliquées aux cookies tiers. Avec ITP 2.2, ces cookies ne peuvent être trackés que 24 heures. Ce qui est bien (trop) court pour suivre un parcours notamment dans une perspective d’attribution. Pas anodin pour un navigateur dont la part de marché sur le mobile avoisine les 30%.

---

Phoenix de Commanders Act – Ou comment prolonger la vie des cookies dans Safari

La suppression des cookies first dans Safari au-delà de 24h00 représente une véritable impasse pour les marketeurs. Un exemple d’impact : avec cette suppression, un outil comme Google Analytics n’est plus en mesure de rapprocher 2 sessions d’un même utilisateur si elles ont lieu à plus de 24 heures d’intervalle. Problématique… Voilà pourquoi Commanders Act intègre depuis octobre 2019 à son TMS TagCommander le module Phoenix. Cette technologie permet de sauvegarder ces cookies dans un cookie serveur pour les maintenir en vie au-delà de ces 24 heures – dans la pratique jusqu’à 13 mois. Appliqué à TrustCommander, la CMP de CommandersAct, Phoenix épargne aux internautes un désagrément (trop) bien connu : la demande d’un consentement à chaque session puisque, par défaut, le cookie d’une CMP a de bonnes chances d’avoir été supprimé par Safari…

---

Et Firefox s’en mêle

Avec sa version 76, Firefox a inauguré la fonction Enhanced Tracking Protection (ETP). Dans le collimateur, les cookies tiers bloqués donc par ce mécanisme. Notons que Facebook a droit à un traitement particulier puisque Firefox empêche le réseau social de suivre le parcours de l’internaute via les boutons Partager et Jaime présents sur des sites.

Chrome : la grande inconnue

Et Chrome dans tout cela ? La réponse est attendue avec un brin d’inquiétude vu la part de marché du navigateur de Google. Une certitude : la firme travaille sur un « privacy framework » dont elle a publié une première esquisse cet été. Un document présenté comme une proposition pour nourrir la réflexion de tous, mais à travers lequel se dessine un Google devenu le hub mondial de la collecte des consentements. De quoi susciter des inquiétudes. Et d’ores et déjà la firme fait évoluer la gestion des préférences en utilisateur en la rendant plus directement accessible et plus lisible dans la dernière version de Chrome.

Takeaway

Que retenir des nouveaux cadres réglementaires et des contraintes techniques qui se multiplient ?

• Pour la plupart des organisations, le sujet de la collecte en ligne des consentements est encore un dossier grand ouvert. La mise en conformité d’ici à juillet 2020 avec les nouvelles recommandations de la CNIL va nécessiter une sérieuse remise à plat des modalités de collecte.
• Les contraintes techniques qui limitent le champ d’action des cookies vont conduire à investiguer, dans le sillage du consentement, comment maintenir un flux de données suffisamment qualitatif pour travailler.
• Plus globalement, l’idée s’impose que la gestion des consentements n’est plus un sujet que le marketing peut se contenter de déléguer au légal ou la technique, mais un pilier à part entière de la stratégie marketing.