RGPD Deep Dive : que faire à propos des cookies

Publié: 2018-02-16
RGPD Deep Dive : que faire à propos des cookies

Tous les cookies semblent fonctionner plus ou moins de la même manière. Petit fichier Web, stocké par un utilisateur, suit l'activité, etc. etc.

Mais certains sont plus "privés" que d'autres.

Et maintenant, plus que jamais, cela va faire une différence pour votre pile marketing.

La route vers la conformité GDPR et ePrivacy est cahoteuse. Cela oblige vos processeurs de données à s'appuyer sur la « confidentialité dès la conception » et à demander le consentement s'ils utilisent TOUTE donnée personnelle. Cela signifie tous les identifiants personnels. Cela signifie des cookies, ou des adresses IP, ou des codes postaux.

Chez Convert, nous voulions nous assurer qu'aucune donnée personnelle ne serait stockée dans nos systèmes et qu'aucune personne ne serait identifiée par l'utilisation de cookies. C'était le seul moyen de maintenir l'équilibre entre la croissance de l'entreprise, les connaissances stratégiques et la confidentialité personnelle des visiteurs du site Web.

Parce que, vous êtes-vous déjà demandé ce qui se passerait si vous deviez demander un consentement explicite pour votre outil de test A/B ?

Si pour que votre logiciel fonctionne, chaque utilisateur de votre site Web devait donner son consentement aux tests A/B.

Comment expliqueriez-vous cela clairement? De façon convaincante ?

Et à votre avis, combien d'utilisateurs donneraient leur accord ?

Éditeurs de logiciels : si vous voulez sauver votre entreprise, il est temps de repenser vos applications

L'UE nous a donné des directives claires sur la manière dont les cookies doivent être traités dans le RGPD, même sans la nouvelle réglementation ePrivacy en place.

Nous voulons vraiment partager un message clair avec nos visiteurs Web : nous nous soucions de votre vie privée.

Et pour ce faire, je pense que nous devrons annuler 20 % des 72 outils logiciels que nous utilisons.

JUSTE à cause du manque de clarté sur la vie privée. Ou le manque de fonctionnalités adaptées au RGPD. Ou le manque de volonté de gérer les données de nos clients, prospects et autres relations, en toute transparence.

Le considérant 30 du RGPD stipule :

Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole Internet, des identifiants de cookies ou d'autres identifiants tels que des étiquettes d'identification par radiofréquence.

Cela peut laisser des traces qui, notamment lorsqu'elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils de personnes physiques et les identifier.

Ils ne veulent donc pas d'identifiants uniques . Pas même dans les cookies, et certainement pas dans les données personnelles.

Test A/B pré-RGPD avec la directive ePrivacy et les versions localisées en Europe

La loi actuellement en vigueur, la directive ePrivacy (qui sera bientôt remplacée par la nouvelle réglementation ePrivacy) nous aide à comprendre sur quel type de cookies les logiciels de test A/B s'appuient. Ce sont des cookies de performance :

Tester des variantes de conception, généralement à l'aide de tests A/B ou multivariés, pour s'assurer qu'une apparence et une convivialité cohérentes sont maintenues pour l'utilisateur du site dans les sessions en cours et suivantes. S'ils correspondent à cette description, ce sont des cookies de performance.

Ces cookies collectent des informations sur la façon dont les visiteurs utilisent un site Web, par exemple les pages que les visiteurs visitent le plus souvent et s'ils reçoivent des messages d'erreur des pages Web. Ces cookies ne collectent pas d'informations permettant d'identifier un visiteur. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes. Il est uniquement utilisé pour améliorer le fonctionnement d'un site Web.

Ces cookies ne doivent pas être utilisés pour recibler les publicités, s'ils le sont, ils doivent être placés dans la catégorie des cookies de ciblage et des cookies publicitaires selon le guide ICC UK Cookie Deuxième édition novembre 2012 [PDF] .

Les cookies du « segment de performance » ne collectent des informations sur l'utilisation du site Web que pour le bénéfice de l'opérateur du site Web. Ils s'appuient sur des données agrégées. Ils n'identifient pas directement un visiteur. Le consentement à l'utilisation de ces types de cookies peut être obtenu, par exemple, dans les termes et conditions du site ou lorsque l'utilisateur modifie les paramètres du site.

La méthode correcte à utiliser ici dépendra de la nature du site Web et de la fonction précise des cookies impliqués. Mais dans la plupart des cas, nous pouvons obtenir le consentement avec les mots : "En utilisant notre [site Web] [service en ligne], vous acceptez l'utilisation de ces types de cookies sur votre appareil."

Bien que la nouvelle loi (ePrivacy Regulations) soit différente, l'ancienne/actuelle loi ePrivacy Directive nous aide à comprendre en étaient les logiciels de test A/B lorsque des cookies pouvaient être placés sans le consentement de l'utilisateur. Nous pouvions faire notre travail normalement, tant que nous donnions des informations claires à l'utilisateur final.

Chaque pays peut avoir une description légèrement différente, mais en général, l'Europe était d'accord avec les tests A/B. Cela a aidé les performances du site Web (si vous ne l'avez pas utilisé pour le ciblage comportemental et la personnalisation. Et vous n'avez pas partagé les informations avec d'autres, ou suivi sur le site Web).

Après le RGPD, avons-nous besoin d'un consentement pour les tests A/B ?

Fait intéressant, PageFair a constaté que seuls 21 % des consommateurs opteraient pour le suivi analytique de première partie.

Cela signifierait que ⅕ du trafic actuel accepterait les analyses si elles relevaient des paramètres de consentement.

Aurez-vous donc besoin d'un consentement pour votre outil de test A/B ?

Très probablement oui, vous auriez besoin d'un consentement si votre logiciel de test A/B dépend de l'adresse IP, d'identifiants uniques tels que les ID d'appareil, l'ID utilisateur, l'ID de transaction, l'ID de cookie ou les données pseudonymes (c'est-à-dire : données non reconnaissables + une clé stockée ailleurs, pour la rendre lisible encore). Ceux-ci, sous GDPR, sont des identifiants uniques et nécessitent des opt-ins explicites.

Alors, quand devez-vous commencer par un consentement explicite ? Quand la directive ePrivacy passe-t-elle à la réglementation ePrivacy ?

Avertissement : Mots latins et termes juridiques.

Le règlement ePrivacy est le "principe lex specialis derogat legi generali" ou en abrégé "lex specialis" du RGPD.

En clair, cela signifie : si le RGPD et ePrivacy sont en désaccord, ou si le RGPD établit une directive qui nécessite des précisions supplémentaires, les règles énoncées dans ePrivacy sont celles que vous devez suivre.

En ce moment, nous avons juste un projet (noms 1533) du Règlement ePrivacy en débat. Il a encore besoin de voir les commentaires des délégués membres de l'UE, de sorte qu'il ne reflète pas exactement ce qui deviendra bientôt loi.

Une prévision « optimiste » : Gabriela Zanfir-Fortuna, conseillère politique du Future of Privacy Forum, dit qu'il s'attend à une date d'approbation d'ePrivacy vers la fin de 2018. Quant à la date de mise en œuvre, nous n'en avons vraiment aucune idée.

Moins optimiste, il a également suggéré que la réglementation ePrivacy "exigera probablement une conformité supplémentaire". Et, Alex Propes (directeur du Bureau de la publicité interactive (IAB) de la politique publique) a déclaré "que les organisations ne peuvent cibler que le RGPD pour le moment".

Daniel Felz Associate chez Alston & Bird partage un point de vue encore plus déprimant : « Les négociations du trilogue sur la réglementation de la confidentialité en ligne ont été repoussées à l'automne 2018 ; Le règlement final sur la confidentialité en ligne pourrait ne pas être en place avant 2020. » Lors d'une conférence parrainée par la Société fédérale allemande pour la protection des données, une porte-parole du ministère allemand de l'Économie aurait déclaré que les négociations en trilogue ne commenceraient qu'à l'automne 2018.

Apparemment, les États membres de l'UE discutent encore d'un certain nombre de questions ouvertes concernant les problèmes de réglementation ePrivacy.

En attendant, évidemment, la directive ePrivacy actuelle (directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002) reste en place, qui relève de la législation nationale.

Donc, c'était beaucoup de lois que vous m'avez jetées. Qu'est-ce que cela signifie pour mon entreprise ?

Le RGPD est clair : pas de données personnelles sans consentement. Et si vous attendez qu'ePrivacy se précipite avec une échappatoire, vous envisagez peut-être une longue attente.

Donc, si votre logiciel de test A/B dépend de données personnelles : adresse IP, identifiants uniques tels que Device IDs, UserID, TransactionID, CookieID ou données pseudonymes (c'est-à-dire des données non reconnaissables + une clé à un endroit différent pour les rendre lisibles à nouveau), alors c'est personnel Les données.

Il reste essentiel d'inclure les données et les identifiants en ligne, tels que les cookies et bien d'autres, dans votre stratégie RGPD. Peu importe où et comment, le texte sera adapté par les futures discussions des délégués.

L'ancienne directive ePrivacy vous donnait l'obligation de mettre en place un avis de « mur de cookies », et ne se concentrait que sur les entreprises européennes.

Désormais, le RGPD s'applique à tous ceux qui touchent aux données de l'UE, dans le monde entier. Et les données personnelles sont définies pour inclure toutes sortes de nouveaux identifiants.

Mais l'ancienne directive ePrivacy dit autre chose. Il dit "pour ce type de données, vous avez juste besoin d'un avis et d'une possibilité de vous désabonner".

Alors bienvenue dans un vide juridique.

La grande question est : allez-vous recevoir une amende dans cette zone grise ?

Et la réponse est : voulez-vous prendre le risque ?

Les autorités chargées de la protection de la vie privée vont avoir beaucoup de mal à mettre en œuvre le RGPD. Et les nouvelles lois ePrivacy pourraient ne pas être mises en œuvre avant 2019, voire 2020.

Donc, je ne m'attends pas à d'énormes amendes le 25 mai, si votre mur de cookies de base est toujours en ligne.

Mais force est de constater que finalement, les lois changent. Et ils vont continuer à changer, à mesure que nous entrons dans un monde où les données ont plus de valeur et où les personnes concernées exigent plus.

Alors commençons maintenant.