Les bandeaux cookie font partie du paysage du Web depuis le début des années 2010, suite à la transposition dans le droit français de deux directives européennes entrées en vigueur en 2009. En dépit du passage des années et d’innombrables précisions, compléments d'informations, contrôles et communications apportés par la C.N.I.L. (Commission nationale de l'informatique et des libertés), les paramétrages restreignant le déclenchement des traceurs, liés aux bandeaux cookies, continuent de varier fortement d'un site Web à l'autre. L'entrée en vigueur du R.G.P.D (Règlement général sur la protection des données) en mai 2018, a remis sur le devant de la scène les bandeaux cookies, sans pour autant mettre un terme à la diversité des paramétrages existants. Quels sont les modes de paramétrage les plus fréquents en ce début d'année 2019 ? Quelles sont les motivations de leurs adoptants ? Autant de questions auxquelles cet article propose d'esquisser une réponse.
L'impensable : l'absence de bandeau cookie
Il est devenu rare, y compris sur les sites sur lesquels le recours aux traceurs et outils collectant des données demeure limité, de ne pas constater la présence d'un bandeau d'information cookies. Les exceptions à la règle d'un ajout systématique de cet élément sur son site Web sont difficiles à expliquer. En effet, il existe un nombre innombrable d'outils de création de bandeaux cookie, dont certains sont directement référencés par la C.N.I.L. sur son site.
A héberger sur ses propres serveurs, ou mis à disposition directement par leurs éditeurs, open-source ou propriétaires, gratuits ou payants, l'offre est tout simplement pléthorique. Impossible de ne pas trouver une solution répondant à son besoin. Avec la généralisation des outils de tag management, le déploiement des bandeaux est devenu l'affaire de quelques minutes tout au plus. Il n'est donc pas justifiable, en 2019, de demeurer dépourvu de bandeau cookie.
La norme : l'absence de prise en compte des choix des visiteurs
Si l'absence de bandeau cookie constitue désormais une exception, celle d'un mécanisme de refus réellement fonctionnel intégré au bandeau, constitue quant à elle la norme, sur les sites gérés par des organisations au niveau de maturité digital faible.
Un tel état de fait s'explique le plus souvent par une méconnaissance de la législation qui conduit les responsables du site Web à considérer que le déploiement du bandeau se suffit à lui même. Il peut même arriver qu'aucun mécanisme de refus du pistage ne soit proposé à l'utilisateur au sein du bandeau. Autre explication possible à cet état de fait, le coût de paramétrage conséquent et/ou le manque de personnel compétent en mesure d'effectuer les modifications nécessaires.
Au final, le seul moyen proposé aux visiteurs afin de se soustraire à une collecte de données, passe par un blocage des cookies sur son navigateur, rendant par la même le site Web visité inutilisable. Bien que contraire à la réglementation, car rendant impossible l'accès aux services proposés sur les sites où il est mis en œuvre, ce mode de configuration demeure largement proposé sur les pages d'information cookie.
L'entre-deux : la collecte par défaut de données avec prise en compte des choix des utilisateurs
Les structures dont le niveau de dépendance au digital est plus marqué et par conséquent les connaissances et savoir-faire plus développés, optent le plus souvent pour un déclenchement par défaut des traceurs. Cette collecte de données dès la première page visitée, sans recueil explicite du consentement de l'utilisateur, s'accompagne de la possibilité de refuser que de nouvelles données soient collectées, lors du chargement d'une nouvelle page du site, directement via le bandeau.
Le choix de l'utilisateur est respecté, mais uniquement après qu'un certain nombre d'informations le concernant aient été enregistrées. Le choix d'un tel mode de paramétrage s'explique par la nécessité de mesurer le ROI des campagnes d'acquisition payantes et plus généralement par la dépendance de ces organisations vis à vis des informations collectées afin de mettre en oeuvre une stratégie de pilotage de leur activité basée sur des données.
Bloquer par défaut le déclenchement des traceurs reviendrait pour ces organisations à se priver d'une source d'information vitale et aboutirait à naviguer à vue, dans un écosystème digital dans lequel la concurrence est exacerbée et les investissements en constante augmentation. Dans ce contexte, la mise en conformité totale avec la réglementation, qui fait office d'épouvantail, est sans cesse différée en raison de son impact négatif potentiel sur le fonctionnement du dispositif Web concerné.
La mise en conformité raisonnée : la collecte de données selon diverses forme de consentement
Les organisations les plus matures choisissent généralement d'emprunter une quatrième voie, plus coûteuse en terme de paramétrage, mais significativement plus respectueuse de la vie privée des utilisateurs. Concrètement, il s'agit de bloquer toute collecte de données, tant que l'utilisateur n'aura pas interagi avec la première page visitée via un clic, ou visité au minimum deux pages, sans exprimer un refus explicite portant sur l'exécution de traceurs.
Cette approche est conforme aux instructions communiquées par la CNIL relatives aux modalités de recueil d'un consentement explicite de l'utilisateur. Au prix d'un paramétrage avancé de leurs outils de collecte et d'une perte de certaines informations, du fait des refus explicites mais aussi implicites en l'absence de consentement exprimé par certains visiteurs, ces organisations parviennent donc à se conformer à la législation.
Cependant, nombreux sont les acteurs de cette catégorie à évoluer dans une zone grise, où le consentement en cas de défilement de l'écran, côtoie le recours à des systèmes de mutualisation des consentements utilisateur, ou encore des choix de couleurs et de mise en forme des bandeaux poussant le visiteur à consentir.
En conclusion
"Dura lex, sed lex", tous ne semblent pas approuver l'adage, loin s'en faut, tant peuvent être grands la complexité et l'impact sur l'activité des sites Web d'un paramétrage de son bandeau cookie conforme à la réglementation. La tentation est grande de privilégier la collecte et l'exploitation des données, sur le respect du droit. Rien ne permet de penser que cette tendance de fond, observable sur la dernière décennie, soit amenée à évoluer dans les années à venir.