Depuis la mise en application de ce nouveau texte en mai 2018, les entreprises tentent d'avancer sur leur mise en conformité par rapport au RGPD. Au delà des tches internes comme la cartographie et l'établissement des fiches de registre, il faut également mettre en œuvre un chantier sur les outils numériques, qui consomment des données personnelles à des fins fonctionnelles, marketing ou commerciales. C'est véritablement la partie émergée de l'iceberg, celle qui est visible et contrôlable à distance. Naturellement, les annonceurs se retournent vers leurs éditeurs pour réaliser cette intervention chirurgicale. Dans ce dossier, notre but est de vous aider à voir plus clair en listant ce que vous devez réaliser, en détaillant les bonnes pratiques pour être conforme, sans être pour autant tue-l'amour !
Fig. 1. La conformité en ligne est la partie la partie visible de l'iceberg.
Concrétement, que faut-il faire sur un site web pour le rendre conforme au RGPD ?
1. Informer sur la collecte des données personnelles
La première des choses à faire est d'informer en toute transparence sur les différentes collectes et traitements que vous réalisez. Cette communication doit se faire à 2 niveaux :
- Au cas par cas lorsque vous collectez des données personnelles : dans un formulaire de contact, dans une page d'atterrissage, dans un tunnel de commande (en fait, partout où vous affichez des formulaires) mais aussi dès votre page d'accueil par le biais des cookies que vous déposez.
- Un résumé de toutes les collectes et traitements réalisés dans une politique de confidentialité hébergée sur une page de votre site et facilement accessible depuis les points de collecte.
Dans les 2 cas, vous devez avertir votre utilisateur que vous allez stocker et traiter ses données personnelles en précisant certaines choses :
- La nature des données collectées : il convient de préciser exactement les données personnelles que vous allez collecter dans le cadre de la finalité. Attention à ne stocker que les données strictement nécessaires à l'accomplissement de cette dernière (par exemple, dans le cas d'une newsletter, vous n'avez a priori besoin que de l'email).
- La finalité de la collecte doit également être clairement accessible (envoi d'une newsletter, analyse statistique, affichage de publicités ciblées...).
- Les sous-traitants qui auront accès à ces données personnelles. Il peut s'agir de sociétés partenaires (un call center par exemple) ou de logiciels externes que vous utilisez (une CRM, un routeur emailing, ...).
- La durée de conservation des données personnelles. Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.
- La prise de décisions automatisées : Si vous utilisez des outils (comme Matlab, SiSense, Alteryx, Anodot, Radius, Parti, Trendalyse, ...) pour analyser les profils de vos utilisateurs en vue de prédire leurs comportement, vous avez également un devoir d'information à ce niveau.
Fig. 2. Pour calculer automatiquement les durées de conservation, la société Axeptio a publié ce référentiel construit sur la base d'informations publiques fournies par la CNIL.
Fig. 3. Comme dans la vraie vie, on a besoin de se sentir en confiance pour se confier.
2. Adapter les durées de conservation des données
Chaque finalité a une durée de conservation définie par la CNIL. Néanmoins, sur Internet, 3 chiffres sont surtout à retenir pour un site web :
- 36 mois (3 ans) : Vous devez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données. Idéalement, vous devez placer ces données dans une base d'exclusion vous permettant de justifier de vos traitements. À savoir : Vous pouvez toujours faire le choix d'anonymiser ces données afin de les conserver pour leur valeur statistique.
- 13 mois : vous devez tous les 13 mois redemander le consentement des visiteurs de votre site web pour le traitement des cookies. On parle ici des cookies de mesure d'audience (exemple : Google Analytics) , d'amélioration de l'expérience utilisateurs (exemple : Hotjar), ou encore publicitaires (Exemple : Facebook pixel ...)
- 1 mois : Un contact dont vous détenez des données personnelles peut vous demander à tout moment de rectifier, d'effacer ou de lui restituer ses données personnelles. Vous êtes tenu d'effectuer cette action dans un délai d'un mois.
Vous devez également conserver les contacts supprimés dans une base/liste d'opposition afin de ne plus les solliciter dans le futur et de pouvoir justifier de vos traitements et de votre conformité avec la réglementation.
Fig. 4. Une illustration de l'illustrateur Mix & Remix.
3. Mettre en place les nouveaux droits de vos utilisateurs
Vos utilisateurs disposent de nouveaux droits que vous devez faciliter sur votre site web. Pour éviter que ces demandes ne soient noyées dans la masse, il est conseillé de les isoler et de les adresser directement au responsable des données personnelles (le fameux DPO).
Fig. 5. Le plus simple est d'ajouter un formulaire de contact indépendant des autres
pour isoler ces demandes des autres et éviter qu'elles tombent dans l'oubli.
4. Protéger la transmission des données personnelles
Il s'agit ici de passer l'ensemble de vos pages en mode sécurisé HTTPS. Ce protocole de sécurisation permettra de sécuriser les échanges entre le navigateur et les serveurs de bases de données. Les données personnelles saisies et envoyées par vos utilisateurs ne pourront donc pas être lues par des tiers lors de leur voyage entre le navigateur et la base de données de destination
En réalité, le RGPD impose que vous fassiez cette intervention uniquement sur les pages recueillant des données personnelles (la plupart du temps, des formulaires). Mais il est préférable de le faire sur l'intégralité de votre site car c'est également une exigence des moteurs de recherche comme Google.
Comment s'y prendre ? Les registrars (ces entreprises qui vous vendent vos noms de domaine et votre service d'hébergement) proposent généralement l'achat de certificats indispensables à la migration de votre site en HTTPS.
Voici une sélection de fournisseurs proposant un service de qualité avec des prix très compétitifs (entre 10 et 300 euros / mois en fonction du niveau de sécurité et d'assurance désiré) : SSL2BUY,
Symantec,
GlobalSign,
Comodo,
Digicert,
GeoTrust,
Entrust Datacard,
IdenTrust,
Godaddy,
NetWork Solutions.
Il existe également une solution gratuite : les certificats Let'sEncrypt sont une excellente alternative pour les petits budgets puisque c'est totalement gratuit ! À une seule condition : il faut renouveler le certificat tous les 3 mois.
Voici donc un résumé des étapes pour mettre en place votre SSL :
- Achetez le certificat ;
- Activez le HTTPS sur vos serveurs ;
- Assurez-vous que les liens internes de votre site web sont également en HTTPS ou en format relatif ("/catégorie/page-produit" et non pas sous un format classique d'adresse URL tels que "http://www.monsite.com/catégorie/page-produit") ;
- Supprimez le contenu mixte : images, scripts ... qui serait toujours en HTTP (pour vérifier ce type de contenu mixte, Jitbit est un outil parfait qui les pointera automatiquement) ;
- Redirigez de façon permanente (301) toutes les adresses en HTTP vers le HTTPS ;
- Ajoutez une URL canonique en HTTPS pour simplifier la migration pour Google ;
- Enregistrez votre site HTTPS sur la Search Console de Google.
5. Mettre à jour vos documents contractuels
Pour générer une politique de confidentialité conforme, il faut lister dans un document toutes les collectes et les
traitements du site web. Il existe des solutions en ligne pour générer des documents en quelques clics.
Fig. 5. Certains sites proposent des générateurs de confidentialité en ligne, compatibles avec le nouveau RGPD.
6. Quelles sont les bonnes pratiques pour la gestion des cookies ?
Vos utilisateurs et les cookies
Fig. 6. Bandeau "Cookies" sur les sites web.
Le seul effet produit par l'ancienne législation sur les cookies ? Des utilisateurs qui cliquent sur « ok » comme des robots. Au lieu de sensibiliser, on a banalisé. Pire que cela, les solutions actuelles génèrent de la frustration pile au moment où ils devraient être engagés !
RGPD oblige, les marques vont devoir trouver une manière d'obtenir des consentements volontaires pour installer leurs cookies sur les postes de leurs utilisateurs. Et le challenge est de taille ! Il suffit de lire quelques commentaires sur Internet pour se rendre compte que tout le monde est agacé par les bandeaux cookies qui cachent la moitié ou parfois la totalité du contenu de la page que l'on souhaite voir ! Et ce n'est pas tout, les cookies sont souvent vus comme des traceurs qui vous espionnent tout au long de votre navigation.
Pourtant, la plupart sont inoffensifs, voire extrêmement utiles pour les internautes : pour rester connecté par exemple, afficher le site dans sa langue natale, ou encore pour garder un produit dans son panier, etc.
Mais comme le texte officiel ne livre à aucun moment de spécifications fermes ou de maquettes visuelles potentielles, il laisse la place à des interprétations plus ou moins farfelues... Certaines ont commencé à fleurir sur Internet, voici notre top 3 :
- Prendre une capture d'écran de la page au moment où l'utilisateur coche la case ;
- Systématiser le double opt-in et obliger les utilisateurs à cliquer sur deux cases plutôt qu'une ;
- Masquer tout le site et interdire l'accès au contenu pour afficher la liste des 231 sous-traitants qui ont accès aux données personnelles.
On comprend vite les conséquences de ces propositions, le site web qui fait le choix d'intégrer le RGPD de cette façon n'en retirera que deux choses :
- L'épuisement inéluctable et irréversible de son opt-in marketing ;
- Une fuite de ses clients vers un concurrent qui n'en a rien à faire de la mise en conformité !
4 idées simples pour réconcilier vos utilisateurs avec les cookies
La temporisation : Pourquoi sauter à la gorge de l'utilisateur ? C'est sans doute ce qui est le plus agaçant avec les bandeaux cookie actuels. Alors pourquoi ne pas attendre quelques secondes supplémentaires ou une action de sa part avant de l'interpeller ?
L'interactivité : Engagez la discussion avec une approche conversationnelle. Cela permet de de maximiser l'engagement de l'internaute. Il est aussi conseillé de soigner les transitions et les interactions pour rendre l'expérience fluide.
La transparence : Donner le contrôle, être clair et bienveillant sont les meilleurs leviers pour créer le lien de confiance entre les marques et les consommateurs. C'est prouvé !
Le fun : Dédramatiser et vulgariser le concept des cookies à travers une identité graphique et éditoriale fraîche nous permet d'attirer l'attention des utilisateurs sans les frustrer. Évitez le jargon technique en parlant de balises, de scripts, de tags... Ca ne parle pas à grand monde sauf dans le monde très fermé des professionnels du Web.
Fig. 7. Inspiré des solutions de guichet virtuel comme Intercom ou Zendesk, la solution Axeptio offre expérience originale et fraîche, plus signifiante qu'un bandeau.
Des extensions gratuites pour connaitre les cookies déposés sur un site web
Il existe plusieurs moyens de connaitre les cookies qui sont déposés sur un site web. On peut le faire directement via le navigateur utilisé ou via des extensions qui facilitent souvent la tâche (surtout si vous le faites souvent).
Sur Firefox, il existe Lightbeam (anciennement Collusion) qui est un excellent outil gratuit.
Fig. 8. Vraisemblablement, on aime les cookies chez Libération.
Sur Chrome, nous vous conseillons d'utiliser BuiltWith (gratuit, lui aussi) qui, au delà d'identifier les cookies, vous permettra de visualiser la configuration totale du site, y compris le CMS, les solutions de paiements, les librairies Javascript ...
Fig. 9. L'extension BuiltWith permet de scanner toute la technologie d'un site.
Comment se synchroniser avec Google Tag Manager ou Commander Act ?
Les TMS (Tag Management System) du marché, largement utilisés par les professionnels de la communication digitale, proposent généralement des fonctionnalités avancées pour déclencher les balises. Par exemple, dans Google Tag Manager, vous pouvez ajouter facilement des triggers personnalisés. Dans le cas présenté ci-dessous, nous allons vous aider à configurer la balise Facebook Pixel.
Fig. 10. En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton + .
Fig. 11. Le trigger "Événement personnalisé" permet de communiquer avec votre solution.
Si votre solution propose ce type d'intégration, vous trouverez un évènement à copier coller dans ce champ.
Fig. 12. Généralement, l'événement prend la forme suivante : nomdelasolution_activate_nomduservice.
Fig. 13. L'avantage est qu'on peut le faire soi-même sans solliciter un développeur.
Comment être certain que ma solution contrôle bien les cookies ?
La plupart des solutions de gestion des cookies ne proposent en réalité qu'un écran de fumée. Elles se contentent de lister une grande quantité de régies sans véritablement envoyer l'information aux vendeurs. Autrement dit, les toggles présents dans l'interface de gestion n'ont aucun impact sur le dépôt des cookies.
Si vous avez choisi d'utiliser une TMS du marché comme Google Tag Manager, vous pouvez afficher une fenêtre de debug qui vous indiquera clairement les cookies qui sont déposés et ceux qui sont en stand by (d'un consentement de l'utilisateur).
Fig. 14. Cette console s'affiche directement sur votre site et affiche les balises et leur statut.
7. Comment paramétrer Google Analytics pour être exempté de consentement ?
Pour suivre les performances de votre site web, nombreux sont ceux qui utilisent la célèbre solution Google Analytics. Et dans ce monde post RGPD, vous vous posez surement cette question : dois-je demander un consentement explicite pour installer ce script au chargement de la page ?
Pour faire simple, si le cookie que vous installez est capable d'identifier un individu, alors vous devez appliquer les exigences du RGPD en matière de consentement.
Par défaut, Google Analytics peut le faire grâce au transfert de l'IP. Pour être exempté de consentement, vous devez donc anonymiser les IP dans votre outil de mesure d'audience, qu'il s'agisse de GA ou d'un autre service.
Depuis le 25 mai 2010, la fonctionnalité _anonymizelp est disponible dans la bibliothèque JavaScript ga.js (et plus récemment, ga('set', 'anonymizeIp', true) dans la bibliothèque analytics.js). Elle permet aux propriétaires de sites Web de demander à ce que les adresses IP de tous leurs utilisateurs soient anonymes dans Analytics.
En fait, pour garder des statistiques géographiques assez poussées, on vous propose de masquer uniquement les 3 derniers chiffres de l'IP, rendant quasiment impossible l'identification de l'individu.
Fig. 15. En masquant les 3 derniers chiffres de l'IP, vos utilisateurs ne peuvent plus être identifiés.
Pour que l'IP d'un visiteur soit stocké dans Analytics sous une forme masquée, la fonction _anonymizelp doit être appliquée. L'intégration complète et standardisée d'un code de suivi de Google Analytics ressemble habituellement à celui de la figure 16. En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton +.
Fig. 16. Le code classique fourni par Google Analytics pour démarrer la synchronisation.
Fig. 17. En utilisant la fonction anonymize IP, voici ce que ça donne.
Si vous utilisez Google Tag Manager, c'est encore plus facile ! Vous pouvez activer cette fonction en allant dans le menu "Plus de paramètres", puis ajouter un champs "anonymizeip" avec une valeur "True".
Fig. 18. Google Tag Manager permet de réaliser cette manipulation sans l'intervention d'un technicien.
Ai-je raison de développer mon propre module de consentement ?
Un chantier technique
Les développeurs sont déjà énormément sollicités par les différents services de la société. Vous priorisez alors naturellement les développements ayant un impact immédiat sur le produit et le business. Et c'est bien normal !
Modification de l'ensemble des formulaires, horodatage des consentements, centre de contrôle... Derrière cette exigence légale se cache un chantier important qui vous prendra plusieurs jours de travail. Comme pour les chats, l'authentification ou encore les solutions de paiement, les entreprises se tournent le plus souvent vers une solution externe pour se simplifier la tâche et gagner un temps considérable.
Fig. 19. Entre l'expérience utilisateur, la Roadmap chargée et l'avocat qui veille au grain, il est parfois difficile de trouver une solution viable.
L'intégrité des consentements, un argument de communication
En s'appuyant sur un tiers de confiance, les entreprises vont pouvoir se mettre en conformité avec la nouvelle législation européenne, mais également communiquer sur leur démarche responsable. Dans la même veine que les avis certifiés, la plupart des marques mettent de côté les fonctionnalités natives de leur outil e-commerce pour privilégier des solutions comme TrustPilot ou TrustedShop. La raison est simple : il s'agit là de garantir l'authenticité et la traçabilité des opinions clients. Pour les consentements, la logique est la même. La promesse ne peut fonctionner que si l'entreprise n'est pas en capacité de modifier les choix des utilisateurs derrière leur dos ! En sous-traitant ces aspects, ses prospects et ses clients seront plus motivés pour lui donner une première chance.
Le coût de la validation juridique
La question du RGPD n'est pas si simple à appréhender ... On trouve sur Internet des informations complètement erronées participant activement au flou actuel sur le sujet. En s'engouffrant seul dans l'adaptation de ses outils internes, on risque de passer à côté de l'essentiel. Seul un avocat peut aider à identifier ce qu'on doit faire... Là encore, c'est un nouveau devis que les entreprises trouveront sur leur bureau venant ainsi s'ajouter aux jours de développements nécessaires. Ce sera alors à chaque entreprise de prendre les décisions qui lui semblent les plus conformes à son mode de fonctionnement.
8. Les pistes pour maximiser vos consentements sans piéger vos visiteurs
N'imposez pas un canal
Les entreprises doivent sortir des cases à cocher traditionnelles On/Off. Sandra, mère de famille, acceptera peut-être plus volontiers d'être appelée le mercredi après-midi ? Jules acceptera peut-être une newsletter si la marque lui propose un digest une seule fois par mois ? En permettant à ses clients de gérer la pression publicitaire qu'ils subissent, ils laisseront sans doute une première chance à l'entreprise.
Fig. 20. Redonnez le contrôle à vos utilisateurs et valorisez tous les canaux.
Osez le consentement granulaire
Dans la pratique, ces multiples segments dans votre base se gèreront très bien à l'heure car les CRM puissants et les routeurs emailings ont tous déployé des fonctionnalités de marketing automation.
Fig. 21. Canal, thématique, fréquence : donnez plus de profondeur au recueil de consentement pour maximiser vos opt-in.
Proposez des exemples de contenu
Pour inciter un internaute à s'abonner à vos listes de diffusion, pourquoi ne pas lui montrer un exemple de ce que vous faites ? Dans le cas d'une newsletter, il suffit de glisser un petit lien vers une version en ligne d'une newsletter dont vous êtes fier, avec un maximum de contenu pertinent. En lisant cet exemple, il sera sans doute tenté de s'abonner. Parfois, il faut expliquer votre métier ...
9. Gérez les adblockeurs
Les adblockeurs ont le vent en poupe. La moitié des français se seraient dotés d'un logiciel anti-pub faisant chuter considérablement les revenus de certains sites. Problème ? Lorsqu'il s'agit d'un site gratuit, c'est une question de vie ou de mort.
Alors que certains sites décident de bloquer la navigation lorsqu'un adblocker est détecté (ce qu'il ne faut à notre sens pas faire), d'autres décident d'être plus pédagogiques en expliquant la réalité.
Dans le cas ci-dessous, le site L'express explique clairement que des centaines de personnes (des graphistes, des rédacteurs, des développeurs, ...) produisent chaque jour des contenus gratuits grâce à la publicité.
En jouant la transparence, beaucoup de lecteurs auront sans doute passé le site dans la whitelist de leur adblocker.
Fig. 22. Désactiver parfois son adblocker, ça peut préserver des emplois.
Avec le sourire, ça marche encore mieux : cette fois ci, c'est Numérama qui remplace ses publicités par un message plein d'humour ...
Fig. 23. Moins culpabilisant, le message de Numérama est tout aussi puissant.
10. Proposez un double opt-in à retardement
Vous vous demandez surement ce qui se cache derrière cette proposition ? En fait, c'est tout simplement un abonnement temporaire. Reprenons le cas de la traditionnelle newsletter : pourquoi ne pas proposer un abonnement temporaire d'1 mois à vos utilisateurs. Cela leur permettrait d'évaluer le contenu que vous leur proposez. Au bout de 30 jours, vous pouvez leur reposer la question : avez vous été satisfait du contenu que nous vous avons envoyé ? Souhaitez-vous toujours recevoir notre lettre d'information ? Encore une fois, c'est une marque de respect et cela vous permettra d'avoir des feedbacks en temps réel sur votre inbound marketing.
En conclusion...
Après avoir passé votre site en HTTPS, intégré un recueil de consentement conforme (cookies + formulaires), rédigé une politique de confidentialité... Votre site sera conforme avec le nouveau RGPD. Toutefois, vous l'aurez compris, il existe plusieurs façons de procéder et les marques vont rapidement se diviser en 2 clans : Il y aura celles qui continuent de penser que, pour connaître le client, il faut regarder par-dessus son épaule, et de l'autre les marques qui comprennent qu'à l'avenir le marketing se fera avec des clients qui acceptent de bien se faire connaître. De quel côté serez-vous ? Aurez-vous vraiment le choix ? Il est bien évidemment conseillé de vous habituer au plus vite à ces nouvelles pratiques...
Fig. 24. Contrôler sa pression publicitaire, une nécessité pour les années à venir.
Laurent Thomas
Cofondateur de la solution Axeptio (https://www.axeptio.eu/)