Comment se passer de la bannière de consentement cookies tout en restant en conformité RGPD ?

par | 29 Avr 2021 | Création de site internet

cookie et RGPD

D’un côté, personne n’aime être pisté, sur internet ou ailleurs.

De l’autre personne, n’aime ces bannières de consentement qui sont apparues sur le web pour vous demander l’autorisation d’activer les cookies.

Bonne nouvelle : il est tout à fait possible de continuer à mesurer l’audience de votre site internet en étant en règle avec le RGPD et sans ennuyer les visiteurs avec un bandeau de recueil de consentement pénible.

Pour commencer, un avertissement

Le RGPD est un sujet complexe. Il touche à la fois à des aspects techniques (cookie, tags de tracking, recueil de consentement… ), marketing (mesure d’audience, suivi du ROI des campagnes…) et juridique (données personnelles, vie privée, droit à l’oubli…) On pourrait même ajouter un volet éthique (En tant que responsable marketing, que m’est-il permis de faire sur internet ?). 

J’ai contacté de nombreux experts dans leurs domaines : juristes du droit de la propriété intellectuelle, développeur web, gérant d’agence de communication digitale, trafic manager. J’ai obtenu autant de réponses différentes quant à la bonne façon d’implémenter la mesure d’audience en ligne dans le respect des normes RGPD.

Ma question de base est simple : comment faire pour continuer à mesurer son audience web et la performance de ses campagnes marketing (SEO, lien sponsorisés, affiliation…) de façon précise tout en se conformant au RGPD qui limite fortement l’utilisation des cookies.

Les propositions que je présente ici sont à exploiter sur vos sites avec précaution et seulement si vous savez ce que vous faites. Je ne pourrais pas être tenu responsable des éventuelles conséquences. Je ne peux légitimement pas prétendre être un expert technique ET juridique ET marketing.  Les implémentations présentées ici visent à entamer une discussion sur les meilleures pratiques à envisager pour la mesure d’audience en conformité avec le RGPD et dans le respect de la vie privée des internautes.

Attention également, je ne parle dans cet article que de la mesure d’audience statistique pour savoir quelles pages du site sont les plus vues, le temps passé par les internautes, le taux de rebond ou encore la mesure des taux de transformations des actions marketing par levier par exemple. Autant de chiffres absolument indispensables pour faire fonctionner un site d’un point de vue commercial. IL n’est pas question de remarketing notamment.

Mesurer l’audience des sites sans utiliser de cookies

J’ai l’impression qu’il y un malentendu chez certains propriétaires de sites web à propos de la mesure d’audience, des cookies et du RGPD. 

D’abord un bref rappel sur les cookies.

La plupart des solutions de mesure d’audience comme par exemple Google Analytics utilisent les cookies – un petit bout de code – pour identifier un internaute de façon unique. Le but est de savoir combien de fois il revient sur le site internet et donc au bout de combien de temps et suite à quelle sollicitation il effectuera un achat ou une action spécifique.

Ce que requiert le RGPD, c’est de demander à l’internaute son consentement préalable avant d’activer ces cookies de suivi. Voilà pourquoi ces bandeaux assez pénibles ont fait leur apparition sur la plupart des sites internet.

Problème : si les cookies ne sont pas activés par l’internaute, le site perd complètement sa trace. Il perd donc ses précieuses statistiques d’optimisation indispensables. Un séisme, clairement.

La solution ? Faire de la mesure d’audience sans cookie. 

Si votre outil de mesure d’audience fonctionne sans cookie, vous n’avez pas à afficher de bandeau de consentement.

Double avantage : non seulement vous supprimez un frein pénible pour vos visiteurs mais en plus, quoi qu’il arrive, vous avez des statistiques de fréquentation fiable.

Tracking sans cookie, fingerprinting et RGPD : est-ce compatible ?

Si il n’y a plus de cookie, comment les internautes sont-ils identifiés de façon unique lors de leur visite de votre site ? Un autre procédé entre en jeu : le fingerprinting (empreinte digitale en français).

Il s’agit d’un procédé qui consiste à identifier chaque internaute de façon unique en croisant diverses informations : son navigateur, les premiers chiffres de son adresse IP qui est tout de même anonymisée, son système d’exploitation, sa résolution d’écran, le type d’appareil utilisé etc… Cette empreinte est sauvegardée sur le serveur du site et pas dans votre navigateur.

Cette technique est-elle autorisée dans le cadre du RGPD ?

De prime abord, on pourrait penser que non. La CNIL – qui parle plus généralement de traceurs et pas de cookies –  stipule ceci :

[…] Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs […]

Parmi ces traceurs, la CNIL évoque spécifiquement le cas du fingerprinting :

[…]le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage) […]

Cependant, la précision « à des fin de traçage » est particulièrement importante ici. 

La CNIL stipule sur une autre page le point suivant :

« La gestion d’un site web ou d’une application mobile requiert généralement l’utilisation de statistiques de fréquentation ou de performance, souvent indispensables à la fourniture du service. Les cookies déposés dans cet objectif peuvent être exemptés de consentement sous certaines conditions. »

Les deux cas de figure ou le traceur ne nécessite pas de consentement préalable de l’internautes sont précisés dans le document :

  • avoir une finalité strictement limitée à la seule mesure de l’audience du site
  • servir à produire des données statistiques anonymes uniquement.

L’utilisation du fingerprinting à des fins d’analyse d’audience me semble répondre exactement à ce cahier des charges :

  • pas de dépôt de cookie susceptible d’être utilisé  par un tiers pour identifier un internaute quand il passe d’un site à un autre, donc son identité est préservée et il n’est pas tracé.
  • anonymization de son adresse IP pour le fingerprinting donc aucun moyen de l’identifier spécifiquement

Comment mettre en place une mesure d’audience sans cookie et gratuite ?

Nous avons donc analysé l’aspect juridique de la question, voyons à présent son aspect pratique. Comment mesurer la performance de ses campagnes et de son site sans cookie ? Et de préférence sans avoir à payer un énième service pour quelque chose d’aussi essentielle qu’un suivi statistique. 

Matomo : tracking sans cookie respectueux de la vie privée et gratuit

Une première solution consiste à utiliser un outil de mesure d’audience sans cookie et construit autour de la protection de la vie privée. J’utilise Matomo dont c’est le positionnement depuis de nombreuses années. 

Matomo est une solution open source. Vous pouvez donc la télécharger et l’installer sur votre serveur. Le système fonctionne donc en base clôt. Les données statistiques sont uniquement sur votre serveur et elles ne sont partagées avec aucun éditeur tiers.

Bien sûr Matomo permet d’anonymiser les adresses IP et d’activer un tracking sans cookie en un clic. Si vous souhaitez l’intégrer sur un site, il vous suffit de générer un tag à placer dans la balise <head> de votre site.

SI vous êtes sous WordPress, il existe un module Matomo gratuit qui installe l’outil de suivi directement en parallèle de votre wordpress. Votre site est aussi tagué en quelques secondes. Simple, efficace et dans le parfait respect de la vie privée de vos visiteurs.

Google Analytics : désactiver les cookies et ajouter un fingerprinting

Google Analytics peut aussi fonctionner sans cookies. Il suffit d’ajouter une ligne de code spécifique dans son tag de tracking. Seul souci : cela fausse complètement les statistiques.

Pour ajouter un fingerprinting anonyme, vous pouvez utiliser le plugin gratuit WordPress GA Backend tracking

Le module se charge de désactiver les cookies de Google Analytics et de créer l’empreinte anonyme stocké côté serveur et pas du tout dans le navigateur de vos visiteurs.

Attention, vous devez aussi paramétrer Google Analytics (Administration > Informations de suivi ) pour le rendre « RGPD compliant » :

  • activer les IP anonymes
  • réduire la durée de conservations des données à 14 mois maximum
  • désactiver la collecte de données pour le remarketing

Dans tous les cas, vous devez signaler à vos visiteurs qu’une solution de suivi sans cookie est utilisée sur le site mais que cette solution ne permet pas de les tracer ni de savoir ce qu’ils font sur d’autres sites.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *