ePrivacy : Comment y répondre par la data Quality

La CNIL perturbe le paysage data. Elle impose aux gestionnaires de sites web de s’adapter en permanence aux évolutions des réglementations RGPD et ePrivacy qui visent à protéger les données personnelles des internautes.

Mais les sites évoluent eux aussi, et les dispositifs mis en place pour contrôler la conformité ne restent pas forcément efficaces dans le temps.

Nous avons animé un webinar avec Converteo qui traite de ces sujets.

Découvrez le replay de notre webinar présenté par Charles THUMERELLE Product Owner chez Seenaptic et Valentin SVAHN Lead Analytics / Digital Products chez Converteo, sur le thème « Comment répondre aux enjeux de privacy par la “Data Quality ».

Dans cet article, nous aborderons les sujets suivants :

Le rappel du contexte de la CNIL avec nos recommandations pour garantir la protection des données tout en restant conforme au RGPD et à la directive ePrivacy.

  • La protection des données remise en cause avec le Cloud Act
  • Maîtrise des tags et cookies
  • Le contrôle de la CMP : Cas client
  • La protection des données personnelles des internautes par rapport à la directive ePrivacy

Rappel du contexte de la CNIL

Avant le 10 février 2022, Google Analytics avait une forte prédominance avec plus de 80% du marché des outils de web analyses. Mais la CNIL a mis en demeure plusieurs gestionnaires de site à cause de leur utilisation de Google Analytics, jugeant l’outil non respectueux du RGPD concernant notamment la localisation des données. Certains vont jusqu’à penser que Google Analytics ne sera plus jamais légal. Cela explique pourquoi le paysage analytics est en train de se redessiner et de s’équilibrer. D’ailleurs des acteurs commencent à envisager des solutions européennes de web analyses ou des outils d’UX Analytics.

La protection des données remise en cause avec le Cloud Act

Les lois américaines ont un pouvoir d’extra-territorialité. Cela veut dire que via le Cloud Act, (série de lois sur le traitement des données) n’importe quelle agence de renseignement américaine peut accéder aux données d’une solution américaine qui héberge sa data sur le territoire américain ou ailleurs.

Se pose donc la question des données personnelles (Adresse IP, Cookie GA, CRM ID, ID carte de fidélité, ID de transaction) qui sont stockées et qui sont accessibles par les agences de renseignements américaines.

Faut-il :

  • Changer d’outils au profit d’une solution hébergée au sein de l’Union Européenne ?
  • Continuer d’utiliser un outil qui est situé hors de l’Union Européenne et qui implique de faire une croix sur l’ensemble des PII (Personal Identifying Information) ?

Comment garantir la protection des données et rester conforme au RGPD et à la directive ePrivacy ?

Pour y répondre, on vous propose 3 solutions :

  • La maîtrise des tags et des cookies, en parcourant le site pour identifier tous les tags et cookies présents sur les pages,
  • La vérification de la CMP (Consent Managment Platform) et le respect du consentement formulé par l’internaute,
  • La protection des données personnelles, en vérifiant que les données des internautes ne sont pas envoyées à des tiers contre votre gré.

Avant toute chose, vous devez vous assurez que la bannière de consentement de cookies est présente sur l’ensemble de votre site. Cela semble basique, mais ce n’est pas toujours le cas !

Maîtrise des tags et cookies

Lorsque l’internaute vous donne son consentement, assurez-vous qu’il est respecté.

Pour maîtriser tous vos tags et cookies, nous vous conseillons de vérifier :

  • Le déclenchement des tags,
  • Les données contenues dans le data layer,
  • Le dépôt des cookies.

En effet, des tags peuvent se déclencher sur votre site sans que vous en ayez conscience, on appelle cela du piggybacking.  

Le piggybacking c’est quoi exactement ? 

On parle de piggybacking (ou d’encapsulation de tags) lorsqu’au déclenchement du tag A sur votre site, celui-ci appelle le tag B qui appelle le tag C qui ont eux-même leurs propres règles de déclenchement. 

Le problème est que vous avez appliqué le consentement sur les tags de “premier niveau”. Hors le TMS (Tag Management System) inclut le tag A qui a ses propres règles de déclenchement.

Il n’y a donc pas eu de consentement et vous n’avez pas la main dessus (cf schéma ci-dessous).

Quelques solutions pour y remédier ? 

  • Privilégier les tags de type pixels images, 
  • Passer par des solutions serverside,
  • Mettre en place une CSP (Consent Security Policy).

Comment faire avec seenaptic pour maîtriser les tags et respecter la directive ePrivacy ?

Nous vérifions l’ensemble des tags présents sur vos pages via des tests automatisés. Lors du déclenchement d’un tag défaillant, long à se charger, malveillant ou simplement non répertorié dans votre référentiel, nous vous alertons.

Cas de figure 1 : L’outil va vérifier que les cookies sont bien posés et que les tags se déclenchent au bon endroit avec les bons paramètres. Dans le cas contraire, une alerte sera envoyée.

Cas de figure 2 :  Nous simulons le cas d’un internaute qui refuse le dépôt de cookies. Si un tag se déclenche malgré le refus de consentement de vos internautes, nous vous alertons.

Le contrôle de la CMP : Cas client

Un de nos clients utilise seenaptic pour monitorer sa CMP.

L’équipe marketing veut : 

  • S’assurer de la présence de la bannière de consentement sur les 120 sites du groupe
  • Identifier les tags qui se déclenchent,
  • Identifier les dépôts de cookies associés malgré le refus de l’internaute.

Pour cela, des tests automatisés sur des parcours refusant les cookies sont réalisés quotidiennement sur l’ensemble des sites. Des alertes sont envoyées en cas de non-respect du consentement utilisateur. 

Grâce aux alertes, l’équipe marketing a pu identifier que : 

  • La CMP était absente sur plus de 15 sites,
  • Plus de 20 tags se déclenchaient malgré l’absence de consentement de l’utilisateur.
banner youtube seenaptic privacy

La protection des données personnelles des internautes

Le RGPD impose que les données des internautes restent en Europe. Afin de contrôler cela, vous pouvez :

  • Contrôler la localisation des données,
  • Surveiller les données personnelles.

Contrôler la localisation des données

Prenons le cas d’un site hébergé en France sur lequel vous naviguez. Le serveur du site internet vous retourne une page HTML contenant des tags comme Google Analytics.

A la lecture de ces tags par le navigateur, des données vont être envoyées à Google Analytics, potentiellement à une adresse IP qui se trouve hors de l’Union Européenne.

Nous vous invitons donc à vous poser 3 questions :

  • Est-ce que l’entreprise est soumise au Patriotact ?
  • Est-ce que ces données personnelles transitent par des pays étranger ?
  • Où les données sont-elles stockées ?

Surveiller et marquer les données personnelles (PII)

Les informations personnelles identifiables, ou PII (Personal Identifying Information), sont un ensemble de données qui peuvent être utilisées pour distinguer un individu spécifique. Dans un objectif de sécurité, ce type de données est crypté lors de la collecte et de l’envoi à l’outil concerné.

Mais la complexité d’un site et le nombre d’intervenants autour (internes et externes) font qu’il est compliqué de s’assurer de contrôler que ces données personnelles sont bien cryptées et qu’aucune ne soit récupérée par un tiers conformément au RGPD et à la directive ePrivacy. On parle alors de data leakage. 

Ces données sensibles nécessitent donc une attention particulière et peuvent faire l’objet d’un contrôle dédié dans Seenaptic. Dans ce cas, des tests automatisés sont réalisés sur des parcours qui collectent des données personnelles. 

Les équipes sont alertées : 

  •  En cas de data leakage. Elles peuvent identifier rapidement d’où vient la fuite de données,
  •  Si une donnée utilisateur n’est plus masquée.

Les sujets de qualité des données et de RGPD en rapport avec la directive ePrivacy doivent faire l’objet de contrôles permanents et ainsi mobiliser tous les collaborateurs de l’organisation.

En utilisant un outil dédié comme Seenaptic, fédérer vos collaborateurs et surtout disposer d’un processus de contrôle auprès de la CNIL. 

Vous voulez tester sur votre site comment contrôler la protection de vos internautes ?

Programmer une démo

Bastien Truchon

Alternant chargé de la communication chez Netvigie et pour Seenaptic

-Plus communément appelé Bastouille la grenouille
- Amateur de séries et de films

Je traite des sujets relatifs au Tag management et à la qualité des données

Vous aimerez peut-être

CMP : Benchmark des principaux acteurs en France

CNIL et Google Anayltics : Interview de Maitre TESSONNEAU

Pourquoi vous devez monitorer votre Consent Management Platform?

L’importance de la qualité des données expliquée par le DPO d’AT Internet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *