DND Recommandations CNIL


Le consentement, les cookies et les recommandations de la CNIL ont beaucoup été évoqué ces derniers mois au sein de l’écosystème E-Commerce puisque le délai accordé pour mettre en conformité votre plateforme a pris fin le 31 mars dernier et que ces recommandations concernent tous les propriétaires de sites qui récoltent des données personnelles.

L’Agence Dn’D a eu l’opportunité de partager son expertise lors de différents événements dédiés à cette problématique aux côtés de son partenaire Didomi. L’occasion d’informer les e-commerçants sur les bonnes pratiques à adopter pour avoir un site E-Commerce Magento conforme aux nouvelles recommandations de la CNIL et de répondre en direct à leurs différentes questions. Nous vous livrons dans cet article les informations clés à retenir.

Le RGPD et le consentement

L’objectif principal des nouveaux ajustements du RGPD (Règlement Général sur la Protection des Données) est de donner plus de transparence à vos clients lorsqu’ils acceptent les cookies à leur arrivée sur votre site E-Commerce. Dès lors que vous récoltez des données, il est obligatoire de mettre en place une bannière de cookies qui servira à recueillir l’accord de vos utilisateurs concernant leurs données personnelles. Dans le RGPD, le consentement est l’une des 6 bases légales privilégiées par la CNIL (Commission Nationale de l’Informatique et des Libertés) pour traiter les données personnelles. Le RGPD impose que le consentement soit suffisamment encadré pour être valable. Il doit être :

  • Libre : le consentement ne doit pas être contraint, ni influencé. L’utilisateur doit pouvoir faire son choix sans conséquence négative. Exemple : ne pas pouvoir naviguer correctement sur le site s’il n’accepte pas les cookies.
  • Spécifique : le consentement doit correspondre à un seul traitement pour une finalité déterminée. Exemple : Google Analytics récolte des données pour effectuer de la mesure d’audience et Criteo pour faire du retargeting. L’utilisateur doit donc être en mesure de donner son accord pour l’un et/ou pour l’autre séparément.
  • Éclairé : l’utilisateur doit être correctement informé, avoir suffisamment d’informations (quels acteurs utilisent ses données ? à quelles fins ?) pour donner son consentement.
  • Univoque : le consentement doit être donné par une déclaration ou tout acte positif clair. Il ne doit pas y avoir d’ambiguïté.

 
Tant que le consentement n’a pas été explicitement donné, il faut considérer par défaut que c’est un refus. Il n’est donc pas possible de lancer des outils qui utilisent de la donnée personnelle sans avoir reçu le consentement des utilisateurs en amont. Les recommandations du RGPD concernent uniquement l’Union Européenne. En effet, si vous êtes propriétaire d’un site internet en Europe, vous devez appliquer le RGPD à tous vos visiteurs. Cependant, si vous êtes propriétaire d’un site non Européen (Canadien, Chinois, Américain) vous devez tout de même appliquer le RGPD aux utilisateurs Européens mais pas obligatoirement aux autres.

De nouvelles recommandations de la CNIL sont entrées en vigueur le 31 mars 2021

1. Les recommandations CNIL

 
C’est en octobre 2020 que la CNIL a annoncé de nouvelles recommandations à suivre pour les propriétaires de site internet. Ces recommandations sont entrées en vigueur le 31 mars 2021. L’Agence Dn’D fait le point sur ces nouvelles mesures à respecter sur votre plateforme E-Commerce.

  • L’acte positif clair de consentement : la CNIL affirme que pour recevoir un consentement de l’acte positif clair, il faut que l’utilisateur clique sur le bouton “j’accepte”. Par exemple, si l’utilisateur a scrollé 45% de la page internet sans accepter les cookies préalablement, cela n’équivaut pas un acte positif clair de consentement. Cette recommandation rejoint la notion de consentement univoque.
  • Possibilité de retirer son consentement facilement et à tout moment : si un utilisateur a donné son consentement sur un site Internet mais qu’il trouve par exemple que ce site est trop intrusif ou qu’il reçoit trop de publicités ciblées, ce dernier peut à tout moment et facilement modifier son consentement.
  • Refuser les traçeurs doit être aussi aisé que de les accepter : cette recommandation rebute de nombreux propriétaires de sites internet, mais pour la respecter, il suffit simplement d’ajouter un bouton “tout refuser” à côté du bouton “tout accepter” dans la bannière des cookies. Il existe d’autres alternatives à ce bouton. Dans tous les cas, il est indispensable d’offrir la possibilité à l’utilisateur de refuser les traçeurs au même titre que de les accepter.
  • Informer les utilisateurs sur la finalité des traçeurs et leurs conséquences : cette recommandation rejoint la notion de consentement éclairé. L’utilisateur doit avoir en sa possession toutes les informations concernant l’identité des acteurs qui utilisent les traçeurs et à quelles fins.

 
L’ensemble des appareils connectés qui utilisent les données personnelles de leurs utilisateurs doivent avoir recueilli leurs consentements en amont. Cela vaut pour les ordinateurs fixes et mobiles, les smartphones, les voitures et tous les autres objets connectés (tv, frigos, montres..)

2. La CNIL recommande une durée de stockage de 6 mois

 
En cas de non-respect des recommandations de la CNIL, vous risquez de vous voir infliger une amende s’élevant à 4% de votre chiffre d’affaires. À titre d’exemple, la CNIL a déjà sanctionné Google (100 millions d’euros d’amende) et Amazon (35 millions d’euros d’amende). Ainsi, aucune entreprise n’est “trop grosse” ou “trop importante” pour échapper à la réglementation ! Il existe toutefois des exemptions de consentement. C’est le cas pour les :

    • Traçeurs stockant la valeur du consentement,
    • Traçeurs destinés à l’authentification,
    • Traçeurs destinés à garder en mémoire le contenu d’un panier d’achat,
    • Traçeurs de personnalisation de l’interface utilisateur,
    • Traçeurs permettant l’équilibrage de la charge des équipements concourant à un service de communication,
    • Traçeurs de mesure d’audience statistique strictement nécessaire, sans suivi global de la navigation.

 

3. Consentement : chiffres et exemples de bonnes pratiques

 
Didomi et Dn’D ont étudié un panel de sites E-Commerce de grandes marques évoluant avec Magento 2 Commerce. Il est intéressant d’observer les différents formats de bannières de cookies entre chaque site. En effet, le format utilisé peut avoir un impact sur la perception de la marque et le taux de pourcentage de consentement recueilli. À titre d’exemple, le secteur des médias utilise beaucoup le format “pop-in” pour informer ses utilisateurs.

Les chiffres ci-dessous ont été recueillis grâce à l’étude de notre panel.

  • 81% des e-commerçants informent leurs utilisateurs sur les cookies dès la première visite.
  • 72% des sites E-Commerce utilisent une bannière basse pour recueillir les consentements (bandeau en bas de page).
  • 17% des sites E-Commerce ont une pop-in centrale pour recueillir les consentements (bandeau au milieu de l’écran).
  • 6% des sites E-Commerce ont une bannière haute pour recueillir les consentements.
  • 4% des sites E-Commerce ont une bannière latérale pour recueillir les consentements.
  • En moyenne, il faut 1 clic pour accepter les cookies contre 3,2 clics pour les refuser. Dorénavant, 1 clic doit suffire pour les refuser également.
  • 76,9% des sites E-Commerce étudiés ont un bouton “accepter” mais seulement 10,3% ont un bouton “refuser”.

 

4. Quelques exemples de bonnes pratiques :

 
Le site Decathlon est un très bon exemple des respects du RGPD et de clarté. Il y a 3 boutons :

  • “Accepter et fermer”
  • “Tout refuser” qui est plus discret en haut à droite et qui permet de continuer sans accepter.
  • “En savoir plus” qui permet d’ajouter de la clarté concernant les acteurs qui utilisent les données et à quelles fins. Vous pouvez choisir quel traçeur autoriser ou non.
DND-Screen-Decathlon-Cookie

Le Site Zadig & Voltaire est un autre exemple de bonne pratique. Comme Decathlon, on note la présence de 3 boutons. La plateforme nous laisse l’opportunité de connaître les acteurs qui utilisent les traçeurs directement dans le texte de description des cookies. Nous pouvons ensuite individuellement accepter ou refuser les traçeurs.

Zadig&Voltaire-Cookies

Didomi a retravaillé tout son texte de consentement, a utilisé des emojis pour rendre ce contenu plus attractif et son logo plus dynamique. De plus, les boutons “accepter et fermer” ainsi que “refuser et fermer” sont de la même couleur et au même niveau. Didomi, après acceptation, rassure ses utilisateurs avec une nouvelle bannière.

DND-Didomi-cookies
DND-Didomi-cookies

Comment Dn’D implémente la solution Didomi au sein de votre plateforme E-Commerce ?

L’Agence Dn’D a choisi la solution Didomi car elle dispose de nombreux avantages : une facilité d’utilisation, un support complet et des fonctionnalités performantes.

1. L’implémentation se déroule en 4 étapes :

    •  

 

    • Étape 1 – Intégrer le javascript dans le site et en assurer la configuration : Le script est très simple à installer entre les balises head. Il y a ensuite une configuration à effectuer directement sur la plateforme Didomi.

 

    • Étape 2 – Scanner le site : C’est l’étape la plus importante. Une fois l’implémentation du script accomplie, on lance directement un scan sur la plateforme Didomi qui va nous donner 3 éléments essentiels. Le compliance report, c’est-à-dire un pourcentage de conformité avec les recommandations de la CNIL. En un coup d’œil, vous saurez si vous respectez les recommandations ou non. Le scan va également permettre de connaître les best practices (exemple : est-ce-que l’on doit modifier une couleur ?). Cette fonctionnalité permet d’améliorer rapidement votre score “de conformité”. Enfin, le scan permet de savoir quels acteurs utilisent les traçeurs sur votre plateforme E-Commerce.

 

    • Étape 3 – Configurer les “Vendors’’ et “Purposes” : Dès que la configuration est développée, il faut ensuite le faire sur la plateforme. Le scan va permettre d’intégrer dans la configuration tous les acteurs que l’on a identifié préalablement et qui collectent des données sur votre site. Enfin, les purposes ou les fonctionnalités (par exemple, cookies de performance, de publicité, de mesure…) peuvent être intégrés dans cette configuration.

 

  • Étape 4 – Ajouter le lien de gestion du consentement : Généralement, le script est installé dans le footer afin de donner la possibilité à l’utilisateur qui a accepté ou refusé les cookies à sa première visite sur le site, de modifier son consentement, de gérer ses cookies et d’ainsi retrouver tous les purposes détaillés facilement.

 

2. Conseils d’optimisation

 

    • Conseil 1 – Ajoutez de la clarté : C’est une recommandation de la CNIL mais le plus important c’est de se mettre à la place de l’utilisateur qui souhaite savoir qui utilise ses données personnelles. Avec le détail des purposes, il pourra connaître clairement les acteurs qui les utilisent et ainsi donner la possibilité d’accepter ou de refuser.

 

    • Conseil 2 – Démarquez-vous : La bannière des cookies est présente sur tous les sites, il est donc nécessaire de proposer une bannière innovante qui permettra de personnaliser l’expérience et qui reflétera l’image de votre marque. Exemple : changer le ton du message, intégrer des emojis, mettre en place un design attractif… La bannière de cookies est la première “relation” avec vos clients, n’hésitez pas à être créatif !

 

    • Conseil 3 – Scannez régulièrement : Tous les sites internet vivent, évoluent et c’est également le cas de la législation. Scanner régulièrement votre site web permettra d’obtenir un meilleur score de compliance et d’être conforme aux recommandations de la CNIL.

 

  • Conseil 4 – Testez et vérifiez le conditionnement : en plus du scan, qui est une mesure de sécurité importante, il est nécessaire de tester l’ensemble des fonctionnalités de votre site afin de savoir si les appels des cookies et traceurs sont conditionnés en refusant ou en acceptant. Il est important de vérifier dans le code s’il y a un conditionnement sur chaque script d’appel.

Conclusion

Le délai accordé pour mettre en conformité les sites E-Commerce en matière de traceurs a pris fin le 31 mars dernier. Respecter le RGPD s’inscrit dans une démarche légale mais également qualitative. Votre conformité est un enjeu pour l’avenir de votre entreprise et pour la construction d’une relation client forte et à long terme. En effet, le respect des recommandations est un excellent moyen, de montrer à vos utilisateurs qu’ils peuvent vous faire confiance. La CNIL contrôlera davantage cette année, la sécurité technique des données personnelles, la sécurité des données de santé et les publicités ciblées. La Commission nationale de l’informatique et des libertés a déjà sanctionné de grandes entreprises qui ne respectaient pas les nouvelles recommandations imposées.
 
(Re)découvrez le replay vidéo du CNIL Cookie Countdown :

Nous sommes ravis d’avoir pris la parole et d’avoir pu partager notre expertise lors de l’ECNXperience et du CNIL Cookie Countdown que vous pouvez (re)voir dès maintenant sur Youtube!.

 

Un projet ?

Contactez-nous !



Vous avez aimé ?

0