pixel facebook
Programme-one-to-one-biarritz-2018

Programme

Customer Knowledge Data

Consentement : zoom sur la réglementation ePrivacy

Publié le par Maxime Ollivier - mis à jour le

Comment traiter le consentement, les témoins et les autres problèmes liés à la protection de la vie privée au regard du règlement ePrivacy ?

Comment traiter le consentement au regard du règlement ePrivacy ?

Victoria Gardin, Offering Manager chez OneTrust, intervient au cours de cette conference One-to-One Biarritz pour évoquer la question du consentement et du règlement ePrivacy sur la protection de la vie privée et des données personnelles.

Une définition du règlement ePrivacy

L’ePrivacy est une directive européenne centrée sur la confidentialité des communications électroniques, contrairement au RGPD qui prend en compte toutes les données personnelles, indépendamment des moyens de transmission. Le RGPD va donc promouvoir le droit à la protection des données personnelles ; l’ePrivacy se charge du droit à la vie privée et à la protection des communications.

En 2017, il était question de faire passer l’ePrivacy du statut de directive à celui de règlement, plus strict dans son application, non interprétable par les États membres. Ceci met au jour les exigences en termes techniques et la nécessité d’adapter l’ePrivacy au RGPD. Une harmonisation doit se faire au niveau européen et une loi 2.0 sur les cookies devrait aussi voir le jour.

L’ePrivacy met également à l’ordre du jour la nécessité du consentement, ainsi que les injonctions faites aux navigateurs vis-à-vis de la politique des cookies. La protection touche aussi au traitement des signaux Wi-Fi émis lors de communications, afin de veiller à ce qu’ils ne soient pas détournés de leur rôle et utilisés à d’autres fins.

L’ePrivacy importe pour le marketing digital dans la mesure où il instaure de nouvelles règles relatives au consentement (stratégies opt-in ou opt-out). Certains points nécessitent un contentement de la part des utilisateurs, d’autres non, d’autres encore demandent un consentement implicite.

Il incombe à l’éditeur du site Internet de supprimer traceurs et cookies, puis d’obtenir le consentement. Quelques dérogations plus générales concernent toutefois les analytics ou les mises à jour. La CNIL a longtemps toléré le soft opt-in, à savoir le consentement implicite de l’internaute à partir du moment où il continue la navigation sur le site en question, bien qu’il ait été informé de la présence de cookies. Aujourd’hui la CNIL ne l’autorise plus.

ePrivacy et RGPD

Le RGPD et l’ePrivacy ont eu des impacts importants dans l’industrie, notamment en termes de relation client. Au nombre de ces changements majeurs : la possibilité d’utiliser des cookies walls, ces pop-ins qui apparaissent à l’écran, empêchant la navigation de l’utilisateur, mais également la possibilité de se baser sur d’autres finalités (cookies de performance, etc.) que le seul consentement.

C’est l’idée de l’ « intérêt légitime » : selon le RGPD, le fait de traiter des données personnelles implique de devoir choisir l’un des sept cadres juridiques disponibles. Le consentement est l’un de ces cadres, mais l’intérêt légitime également, c’est-à-dire tous les traitements nécessaires à la poursuite d’une activité professionnelle.

Une autre voie préconise de demander directement au navigateur de gérer, non pas le blocage sans contentement, mais les préférences utilisateurs. On relève que plus d’un tiers des entreprises américaines ont préféré bloquer leur site Internet aux internautes européens plutôt que de se mettre en règle vis-à-vis du RGPD et de la protection des données personnelles.

Quel est le rôle de l’IAB ?

L’IAB (Interactive Advertising Bureau) a mis en place un framework qui permet aux publishers de récolter le consentement. Ces derniers vont donc payer pour des encarts publicitaires, puis déposer des publicités ciblées sur leur site Internet.

Les recommandations de l’IAB concernent également l’introduction de l’intérêt légitime. Ils déconseillent d'avoir recours au consentement via les navigateurs. L’IAB agit en toute transparence ; il y a volonté manifeste de sa part de normaliser rapidement le modèle.

Quelques bonnes pratiques en matière de consentement

« Le but est de penser le consentement sous un angle un peu plus novateur, en termes non plus seulement informatiques, mais aussi marketing », précise Victoria Gardin. La tendance est de permettre à l’utilisateur de donner des consentements de manière un peu plus subtile.

Par exemple, au lieu de limiter le consentement à la communication marketing, on va l’autoriser sur le thème « newsletter », et plus spécifiquement encore sur « newsletter nouveau produit », ce qui permettra à l’internaute un choix à la carte. Un meilleur taux de rétention a ensuite été observé, grâce à cela.

Il faut par ailleurs que toutes ces options de consentement soient bien intégrées sur le site Internet et accessibles au moment opportun. Tout doit être clairement exprimé, il faut en définitive former l’utilisateur à cette pratique, au réflexe du consentement, de manière à se mettre en conformité avec la protection des données personnelles.

La méthode de l’opt-out va consister à déposer les cookies sur la machine de l’utilisateur. Le consentement implicite fera intervenir uniquement les cookies strictement nécessaires au bon fonctionnement du site (informations conservées dans le panier d’achat). L’opt-in demeure la méthode la plus stricte : il s’agit d’afficher le bandeau avec les cookies inactifs, puis d’attendre que l’utilisateur les accepte.

Pour information, la CNIL est intervenue aussi sur les smartphones, où les cookies sont remplacés par les SDK, qui sont également des trackeurs dont il faut réglementer l’usage. Des stratégies existent ici aussi pour récolter le consentement des utilisateurs.

Intervenante : Victoria Gardin (One Trust).

6 / 8 oct. 2020 Biarritz

#1to1Biarritz