Pourquoi vous devez monitorer votre Consent Management Platform?
La Consent Management Platform (CMP) sert à orchestrer le déclenchement des tags présents sur votre site ou votre application mobile selon le choix formulé par votre internaute concernant le dépôt de tags et de cookies. L’utilisation d’une CMP se fait en réponse directe à la réglementation du RGPD et à la directive européenne de l’ePrivacy. Pour autant, dans certains cas il peut y avoir des ratés qui aboutissent à une “mise en danger” des données de vos internautes.
Dans cet article, nous allons nous intéresser à 2 cas que nous avons rencontré chez nos utilisateurs :
- La Consent Management Platform est absente du site internet,
- Des tags se déclenchent avant l’acceptation des cookies,
La Consent Management Platform est absente du site internet.
Un acteur de la banque assurance administre plus de 120 sites internet. L’équipe marketing digital est garante des données collectées. Elle a déployé une Consent Management Platform sur l’ensemble des sites internet de la marque en vue de collecter le consentement des internautes et de gérer les bons déclenchements de tags et dépôts de cookies.
Elle doit s’assurer que la bannière de consentement est bien présente sur tous les sites et ce à chaque instant pour avoir la garantie de respecter la directive ePrivacy.
Toutefois, il lui est impossible de mobiliser un collaborateur en permanence qui serait chargé de confirmer la bonne présence de la CMP. Cette tâche serait trop chronophage et surtout extrêmement rébarbative.
Alors,une question simple se pose ! Comment faire ?
L’équipe marketing a fait le choix de mettre en place des tests automatisés pour contrôler en continu la bonne présence de la CMP sur ses 120 sites.
Lors de tests automatisés, les robots de contrôle ont constaté que la CMP était absente sur 5 des sites internet. Cela résulte d’une mise à jour du site internet effectuée par une équipe tiers.
Pour les internautes, cela se traduisait par une absence de bandeau sur le site même lorsqu’ils le consultaient pour la première fois.
L’équipe marketing a immédiatement reçu une alerte et a pu apporter la correction nécessaire dans sa plateforme de gestion du consentement.
Rappel de la directive ePrivacy :
L’Union européenne souhaite renforcer la protection de la vie privée des citoyens lorsqu’ils communiquent en ligne et intensifier la réglementation de la protection des données au sein de l’UE. Concrètement, pour les gestionnaires de sites internet, cela se traduit par l’obligation d’obtenir un consentement explicite de l’internaute. C’est pour cela que l’on voit fleurir de nouvelles bannières ou pop-ups qui requièrent le fameux consentement aux cookies et qui informent plus ou moins précisément des différentes finalités poursuivies et des partenaires utilisés (Google, etc.).
Des tags se déclenchent avant l’acceptation des cookies
Lorsqu’il arrive pour la première fois sur un site internet, l’utilisateur voit apparaître un bandeau lui demandant s’il est favorable ou non au dépôt de cookies lors de sa navigation.
Malheureusement, il arrive fréquemment que des tags se déclenchent sur la page avant même que l’internaute ait pu formuler son consentement de manière claire. C’est donc une entrave à la réglementation du RGPD.
Cet incident peut survenir à cause d’une erreur de configuration de la CMP ou d’un dysfonctionnement de celle-ci.
Nous avons constaté ce cas chez plusieurs de nos utilisateurs qui souhaitent monitorer leur CMP. Les tags d’outils de web analyses, de prestataires d’A/B testing, de réseaux sociaux ou encore de retargeting se déclenchaient sur le site avant la présentation de la Consent Management Platform à l’internaute. Les gestionnaires de sites ont alors reçu une alerte les informant d’une anomalie au niveau du déclenchement de certains tags. Ils ont pu intervenir rapidement pour apporter les correctifs nécessaires.
Comment cela se passe en cas de contrôle de la CNIL ?
En cas de contrôle, la CNIL examine la nature des cookies. Un cookie est soumis au consentement de l’internaute si :
- il n’a “pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique »
- Il n’est pas « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
En cas de contrôle , il conviendra pour le gestionnaire de prouver sa bonne foi auprès de la CNIL. Toutefois, il arrive que des gestionnaires de site ne jouent pas le jeu et configurent mal la Consent Management Platform de façon intentionnelle pour continuer de collecter de la data. Si cela est avéré alors il sera sanctionné.
Les potentielles sanctions de la CNIL en cas de manquement à la réglementation.
Les sanctions financières.
La réglementation du RGPD a été une vraie prise de conscience pour les internautes. Les manquements à la réglementation sont plus suivis et plus sévèrement punis. Sur le plan financier, le pouvoir d’amende est devenu beaucoup plus significatif et peut désormais s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial pour une entreprise.
L’impact médiatique
Aujourd’hui, chaque sanction prononcée par la CNIL est largement relayée dans la presse et sur le net. Cela a un effet dévastateur pour les entreprises concernées en termes de réputation et d’image de marque.
Le monitoring de votre Consent Management Platform avec seenaptic
Avec seenaptic Privacy, nos utilisateurs mettent en place facilement une multitude de contrôles pour confirmer qu’ils sont bien conformes au RGPD et à la ePrivacy. De la simple vérification de la présence de la CMP à l’audit de cookies en passant par la détection de données sensibles … Ils ont les clefs pour justifier d’un process de contrôle de la protection des données en cas de contrôle par la CNIL.