Cookies d'analyse et de test A/B — uniquement après consentement en Europe ?

Mise à jour le 19 février 2020 : Une nouvelle mise à jour de la CNIL précise que l'A/B testing et la mesure d'audience sont désormais dispensés de consentement .

Vous pensez peut-être que le RGPD n'a provoqué une perturbation que lorsqu'il est entré en vigueur en mai 2018.

La vérité est que l'Europe a été bouleversée tout au long de 2019 et ce n'est pas une bonne nouvelle.

Les autorités françaises et britanniques de protection des données (la CNIL et l'ICO) ont mis à jour leurs notes d'orientation publiées en juillet 2019, soulignant que les cookies d'analyse (y compris les tests A/B et la personnalisation) nécessitent un consentement explicite avant d'être placés sur l'appareil d'un visiteur. Ils font spécifiquement référence au RGPD lorsqu'ils mentionnent le consentement (comme les opt-ins). Il doit être basé sur l'action active de l'utilisateur, et non sur les paramètres par défaut.

En février 2020, la CNIL a changé de position à ce sujet (merci Paul Schmitt de me l'avoir signalé). Même si l'ICO et la CNIL ont précédemment déclaré que les cookies pour les tests et analyses A/B nécessitaient un consentement, les dernières directives (en français) disent le contraire :

« Bénéficiez de la dispense de consentement, sous réserve d'un certain nombre de conditions, les cookies utilisés à des fins de mesure d'audience sont dispensés de consentement. Ces conditions, telles que précisées dans les lignes directrices sur les cookies et autres traceurs, sont (1) d'informer les utilisateurs de leur utilisation ; (2) leur donner le pouvoir de s'y opposer ; (3) limiter le système aux seules finalités suivantes : mesure d'audience et tests A/B.

Cela signifie que les outils d'analyse configurés uniquement pour la collecte de données par une organisation (et non partagés de quelque manière que ce soit avec des tiers) peuvent être installés sans consentement. Ce changement pourrait être difficile pour Google Analytics. Cet accord spécial de Mozilla a poussé Google Analytics à ne pas partager ses données avec d'autres services. Pour le moment, il n'est pas certain que ce paramètre soit disponible pour tous les utilisateurs. Pourtant, si l'Europe ouvre la porte à l'analyse sans consentement, je suppose que Google devra suivre le cours et fournir cette fonctionnalité à sa clientèle européenne.

Bien qu'aucune autre autorité nationale européenne de protection de la vie privée n'ait apporté de tels ajouts aux lois de la directive ePrivacy (qui étaient en place avant le RGPD), cela aurait pu créer un vide juridique entre juillet 2020 et le moment où le nouveau règlement ePrivacy remplacera la directive actuelle.

Qu'est-il arrivé? Qu'est ce qui a changé?

Pour un résumé des principaux changements apportés aux lois sur la protection de la vie privée en Europe, regardez la vidéo ci-dessous ( avertissement : dans la vidéo, j'ai mentionné par erreur que les changements ont été mis en œuvre en 2018, alors qu'en fait ils ont été effectués en 2019).

La « loi sur les cookies » de la directive européenne ePrivacy de 2011 et la version britannique, la réglementation sur la confidentialité et les communications électroniques (directive CE) de 2003 (« PECR »), ont été récemment réinterprétées par l'ICO. Ce changement signifie demander le « consentement » pour déposer tout cookie « non essentiel », que des données personnelles soient collectées ou non.

En 2012, l'ICO a déclaré que le consentement implicite (c'est-à-dire un opt-out plutôt qu'un opt-in) était autorisé :

Le consentement implicite a toujours été une proposition raisonnable dans le contexte de la loi sur la protection des données et de la réglementation sur la vie privée et il le reste dans le contexte du stockage d'informations ou de l'accès aux informations à l'aide de cookies et de dispositifs similaires.

Le 18 juillet 2019, l'autorité française chargée de la protection de la vie privée (la CNIL) a publié ses nouvelles directives concernant l'utilisation des cookies. Les règles applicables aux cookies HTTP s'appliquent également à de nombreuses autres technologies de suivi ("trackers"), y compris les objets locaux partagés, les empreintes digitales des équipements terminaux, les identifiants matériels et les identifiants générés par les systèmes d'exploitation. Tout comme les directives de l'ICO et du RGPD, il n'y a pas non plus de décision distincte concernant l'utilisation des cookies, mais la prise d'empreintes digitales relève désormais du consentement.

Mais ensuite la CNIL rend le tout un peu confus en mettant à jour sa page Github. Les dernières directives de la CNIL précisent que la mesure d'audience et l'A/B testing sont exemptés de consentement et peuvent être placés d'emblée (opt-out).

Le comité européen de la protection des données (EDPB) a publié un avis écrit en mars 2019 sur l'interaction entre la directive ePrivacy et le RGPD, car le RGPD ne mentionne pas les cookies et il existe un écart entre les deux lois.

Certains ont interprété l'avis de l'EDPB comme signifiant que toutes les références au « consentement » dans la directive ePrivacy désignent le consentement tel que défini par le RGPD. Pour les cookies, cela signifie que vous ne pouvez pas placer de cookies sans que les personnes ne s'y engagent activement.

Alors pourquoi l'ICO et aussi la CNIL ont-elles modifié leurs orientations un an après l'entrée en vigueur du RGPD ? Pourquoi les informations concernant la "désactivation" des cookies ont-elles été remplacées par l'acceptation du consentement en 13 mois ?

Nous devons remercier Planet49 pour cela.

Le 30 novembre 2017, Planet49, un site Web et une société allemande, a été traduit en justice pour de multiples pratiques douteuses compte tenu du RGPD et de la directive ePrivacy.

Même si nous avons dû attendre les résultats (joints en entier au bas de l'article), la décision a donné le ton que des directives plus claires étaient nécessaires pour chaque pays.

En raison de cette décision, la CNIL et l'ICO ont commencé à mettre à jour leurs lignes directrices pour refléter la manière dont les lois actuelles sur la protection de la vie privée couvrent le consentement, le partage d'informations et les cookies (d'analyse et de suivi). Il faudra attendre et voir si la CNIL influence d'autres pays européens pour autoriser les cookies de mesure d'audience et d'A/B testing.

La bataille de l'exemption des cookies « strictement nécessaires »

Lorsque nous, sociétés de test A/B, avons adapté les pratiques du RGPD, les cookies d'analyse et de test A/B ont pu être présentés aux clients comme essentiels pour une entreprise. Au lieu de cela, l'accent était davantage mis sur les trackers publicitaires.

De nos jours, on pourrait se cacher derrière l'exemption de cookies strictement nécessaire. J'ai même entendu quelqu'un dire "mais notre équipe juridique a dit que nous pouvions placer le cookie Google Analytics sans consentement". J'étais également dans ce camp jusqu'à ce que je lise les nouvelles directives de l'ICO. Leur site donne de bons exemples de ce que les cookies sont essentiels au fonctionnement du site Web et à la bonne interaction de l'utilisateur. Avec de nouvelles directives qui sortent tout le temps, adhérer strictement d'un côté ou de l'autre peut être déroutant. Certaines entreprises suivent désormais les dernières recommandations de la CNIL.

Dans les exemples ci-dessous, un cookie est « strictement nécessaire » pour fournir un service aux utilisateurs. Dans chaque cas, des exceptions s'appliquent et aucun consentement n'est requis :

• Un cookie utilisé pour mémoriser les produits qu'un utilisateur souhaite acheter lorsqu'il passe à la caisse ou ajoute des produits à son panier,
• Les cookies indispensables au respect du principe de sécurité du RGPD pour une activité demandée par l'utilisateur — par exemple, en lien avec les services bancaires en ligne,
• Cookies qui aident à garantir que le contenu d'une page se charge rapidement et efficacement en répartissant la charge de travail sur de nombreux ordinateurs (ceci est souvent appelé « équilibrage de charge » ou « proxy inverse »).

Il est important de se rappeler que ce qui est « strictement nécessaire » doit être évalué du point de vue de l'utilisateur ou de l'abonné, et non du vôtre. Ainsi, par exemple, bien que vous puissiez considérer les cookies publicitaires comme « strictement nécessaires » car ils génèrent des revenus qui financent votre service, ils ne sont pas « strictement nécessaires » du point de vue de l'utilisateur.

Les cookies qui, selon l'ICO, nécessitent le consentement de l'utilisateur (opt-in proactif par action de l'utilisateur) sont par exemple :

• Cookies utilisés à des fins d' analyse , par exemple pour compter le nombre de visites uniques sur un site Web (ce qui inclurait la personnalisation et les tests A/B),
• Cookies publicitaires propriétaires et tiers (y compris ceux utilisés à des fins opérationnelles liées à la publicité tierce, telles que la détection de la fraude au clic, la recherche, l'amélioration des produits, etc.),
• Cookies utilisés pour reconnaître un utilisateur lorsqu'il revient sur un site Web afin que l'accueil qu'il reçoit puisse être personnalisé (la personnalisation est spécifiquement mentionnée par l'ICO).

L'arrêt « Planet49 » de la CJCE du 1er octobre 2019

En octobre 2019, la Cour de justice de l'Union européenne (la « CJUE ») a statué dans son arrêt « Planet49 » que le consentement standard GDPR s'applique également à l'installation de cookies dans le cadre de la directive ePrivacy , suivant l'interprétation que la CNIL et l'ICO avait mis en place depuis juillet 2019.

Par conséquent, un consentement actif et éclairé est requis pour placer des cookies et des technologies de profilage (comme les empreintes digitales), y compris les cookies publicitaires (mais pas les cookies strictement nécessaires).

Les cases pré-cochées, comme celles avec lesquelles Planet49 a tenté de s'en tirer, ne sont pas un moyen valable d'obtenir le consentement.

En tant qu'entreprise, nous avons reconstruit l'ensemble de notre infrastructure pour nous assurer que nous nous conformions au RGPD et ne stockons aucune donnée personnelle dans les cookies.

L'arrêt de la CJUE stipule qu'il importe peu que des données personnelles soient collectées via des cookies. Le consentement doit être obtenu même lorsque le placement de cookies n'implique pas le traitement de données personnelles. Le responsable du traitement doit informer les utilisateurs de la durée de vie de chaque cookie et de l'accès de tout tiers aux informations collectées par le biais de ces cookies, avant d'obtenir leur consentement.

Un espoir de non-consentement pour les cookies d'analyse et de test A/B ?

L'ICO ne fait pas de distinction entre les cookies utilisés à des fins d'analyse et ceux utilisés à d'autres fins, mais la CNIL le fait.

Les cookies d'analyse ne relèvent pas de l'exemption « strictement nécessaire » pour l'ICO. Cela signifie que les entreprises doivent informer les utilisateurs sur les cookies d'analyse et obtenir le consentement pour leur utilisation au Royaume-Uni, tandis qu'en France, la CNIL autorise l'analyse (avec des limitations) et les tests A/B sans consentement.

L'ICO (Royaume-Uni) décrit les cookies utilisés pour la publicité en ligne ou l'analyse Web comme non essentiels, ils nécessitent donc un consentement préalable. Cela inclut les cookies de première partie et les cookies de première partie définis par des fournisseurs tiers (lisez Convert ou Google Analytics). Convert est également conforme aux réglementations de la CNIL et ne partage pas les ensembles de données entre les clients et les installations sont par client uniquement, de sorte que les tests A/B et la personnalisation avec retenue pour les tests sont autorisés.

Les directives de l'ICO indiquent clairement :

Le consentement est nécessaire pour les cookies d'analyse de première partie, même s'ils peuvent ne pas sembler aussi intrusifs que d'autres qui pourraient suivre un utilisateur sur plusieurs sites ou appareils.

Le consentement est nécessaire pour les cookies d'analyse de première partie, même s'ils peuvent ne pas sembler aussi intrusifs que d'autres qui pourraient suivre un utilisateur sur plusieurs sites ou appareils.

Bien que l'ICO ne puisse exclure la possibilité d'une action formelle dans n'importe quel domaine, cela peut ne pas toujours être le cas lorsque l'installation d'un cookie d'analyse de première partie entraîne un faible niveau d'intrusion et un faible risque de préjudice pour les individus. Cependant, vous devez également noter que lorsque vous utilisez des cookies d'analyse de première partie fournis par un tiers, cela ne sera pas nécessairement le cas.

Vous devez savoir qu'il existe une période de grâce pour suivre les directives PECR de l'ICO jusqu'en juillet 2020.

Si les informations collectées sur l'utilisation du site Web sont transmises à un tiers, cela doit être clairement indiqué aux utilisateurs. Il doit également être clair ce que ce tiers fait avec les informations .

Selon votre service, vous pouvez également offrir aux utilisateurs la possibilité de modifier les paramètres de compte pour limiter le partage d'informations avec des tiers, y compris des fournisseurs d'analyse. (Un service d'analyse peut également fournir cette fonctionnalité, envisagez de l'activer, le cas échéant.) Les contrôles fournis à l'utilisateur doivent être affichés bien en vue et non cachés.

Enfin, fournir des informations claires aux utilisateurs sur les cookies d'analyse et demander leur consentement ou partager les informations (anciennes bannières de cookies). Cela impliquera probablement de montrer aux utilisateurs pourquoi ces cookies leur sont utiles, mais vous devez vous assurer que vous ne poussez pas l'utilisateur à choisir une option plutôt qu'une autre.

Sur certains aspects, ces documents d'orientation vont plus loin que le projet actuel de nouveau règlement ePrivacy (dd. 4 octobre 2019), qui remplacera la directive ePrivacy existante (et les lois PECR et françaises actuelles). Dans le projet actuel, il permet aux opérateurs de placer des cookies propriétaires ou tiers sur les appareils des utilisateurs sans consentement pour la "mesure d'audience" (c'est-à-dire pour analyser le trafic passant par leurs sites Web pour optimiser le service).

En cas de doute, voici un schéma de l'ICO qui explique très bien l'utilisation des cookies.

Donne-le moi directement

Un problème qui pourrait survenir ici est que les entreprises plaçant des cookies essaieront d'interpréter la loi à leur manière. Mais même si nous fabriquons des logiciels d'analyse, de test A/B et de personnalisation, nous vous le fournirons directement.

1. Les autorités de protection de la vie privée du Royaume-Uni (ICO) et de la France (CNIL) ont modifié leurs directives en juillet 2019 indiquant que les logiciels d'analyse, de test A/B et de personnalisation tels que Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize et les autres doivent tous s'inscrire en utilisant le consentement pour placer des cookies propriétaires et tiers pour leurs citoyens.
2. France (CNIL) a modifié sa page Github avec des directives exemptant les tests A/B et les analyses de base du consentement aux cookies.
3. L'Allemagne et l'Espagne suivent soit le Royaume-Uni (ICO) soit la France (CNIL) et vous pouvez vous attendre à des mises à jour de leurs directives sous peu.
4. La Cour de justice de l'Union européenne (la « CJUE ») a statué dans son arrêt « Planet49 » d'octobre 2019 que le consentement standard du RGPD s'applique également à l'installation de cookies dans le cadre de la directive ePrivacy. La décision réaffirme que les lignes directrices britanniques et françaises doivent être adoptées par toutes les autorités nationales chargées de la protection de la vie privée.
5. La nouvelle loi en projet appelée Règlement ePrivacy qui remplacera la directive ePrivacy prévoit une exception relative aux cookies pour les tests A/B, la personnalisation et l'analyse.
6. Il est peu probable que l'ICO ou la CNIL s'attaquent activement aux entreprises qui utilisent l'analyse de première partie, les tests A/B et la personnalisation pour le moment. Le règlement ePrivacy entrera probablement en vigueur au (milieu) 2021 et il y a une période de grâce jusqu'en juillet 2020. La portée du travail de ces organisations est très large.
7. Tirez vos propres conclusions sur la base de ce que nous considérons comme une représentation juste de ce qui s'est passé depuis juillet 2019 en Europe. Parlez-en à votre conseiller juridique. Ne basez pas vos conseils sur un outil qui vend des plateformes de gestion du consentement (ils veulent tous les consentements), mais ni sur des fournisseurs d'outils d'analyse, de test A/B et de personnalisation… nous et eux.

J'espère que cet article a aidé à faire la lumière sur les changements qui se produisent actuellement en Europe.

Bien que cela nuise à notre modèle commercial, nous nous efforçons toujours de partager la vérité.

Nous voulons que nos outils d'optimisation soient utilisés pour fournir la meilleure expérience utilisateur, afin que les utilisateurs obtiennent la meilleure page de produit, le menu le moins déroutant, le formulaire qui leur fait gagner du temps pour le remplir.

Nous considérons l'optimisation du site Web comme un métier noble, dans le meilleur intérêt des visiteurs et des propriétaires du site Web (nos clients payants). Nous voulons que nos clients prennent la confidentialité au sérieux et intègrent des avertissements et la confidentialité directement dans chaque couche de nos outils. Nous stockons uniquement des données agrégées - et aucune donnée personnelle - dans nos outils, dans un souci de conformité et de confidentialité.

Nous nous soucions réellement . Bien que nous soyons peut-être dans une situation difficile en raison de l'ICO actuelle, des directives en constante évolution de la CNIL et du Règlement ePrivacy, nous savons qu'en toute transparence, nous serons l'entreprise de choix pour les marques qui se soucient de la confidentialité et auxquelles les consommateurs peuvent faire confiance. .

À cette fin, nous avons lancé une petite fenêtre contextuelle qui montre aux visiteurs du site Web de quelles personnalisations et tests A/B ils font partie.

Il s'agit d'un code facultatif que les clients peuvent ajouter à leur Javascript global dans l'outil de test et de personnalisation A/B de Convert Experiences (voir l'image ci-dessous pour savoir comment cela fonctionne).

Si vous souhaitez discuter de la confidentialité, des solutions CNAME sur lesquelles nous travaillons ou de nouveaux développements juridiques, veuillez me contacter sur LinkedIn.