Votre Tag Management doit aussi être RGPD Compliant

Votre Tag Management doit aussi être RGPD Compliant

Si on vous dit « RGPD Compliant », vous pensez traitement et exploitation des données personnelles. Une étape en amont ne doit pas être négligée : la collecte. Aujourd’hui, il existe sur le marché du marketing, plus de 7000 solutions fonctionnant via des tags chargés de collecter des données utilisateurs… C’est 46 fois plus qu’il y a 8 ans.Par conséquent les tags marketing imposent aux équipes digitales un contrôle complet, minutieux et constant du Tag Management. Objectif, respecter la réglementation européenne de 2018.

Fuite de données : le risque 0 n’existe pas

Le RGPD impose de connaitre toutes les données utilisateurs collectées et l’usage qui en est fait. Mais des data peuvent transiter à votre insu.Vous utilisez les tags de partenaires pour votre marketing tel que Google Analytics, indispensable pour les webanalyses de votre activité online. Qu’elles concernent l’Advertising, l’acquisition, l’affiliation… ces balises sont implémentées dans votre Tag Management System (GTM, Commanders Act, Tealium, Adobe…) et programmées pour se déclencher selon les paramètres que vous avez définis.Mais lors du déclenchement sur vos pages, il peut arriver qu’un tag fasse appel à un tag partenaire qui lui-même fait appel à un tag partenaire qui lui-même fait appel… On assiste à du piggybacking. Littéralement traduit par « à dos de cochon », ce phénomène d’encapsulation est un véritable risque pour la sécurité des data. En clair des données sont collectées par des tiers sans que vous ne le sachiez. « Nous avons été confrontés à un cas client où la demande initiale concernait les temps de chargement. Lors de l’analyse des ressources des pages, nous avons découvert qu’un tag partenaire appelait un autre tag qui lui-même appelait un tag concurrent qui pouvait potentiellement récupérer ses informations de trafic.» explique Xavier KOCKELBERGH, Directeur Commercial & Partenariat chez Netvigie .Adresse mail, ID client… dans le cas de données à caractère personnel, on parle de Dataleakage. Autre exemple de fuites de données. Lors du paramétrage des tags dans votre TMS, vous déterminez si les informations doivent être collectées dans votre datalayer. Ce document Javascript stocké sur le site est composé de variables auxquelles sont associées des valeurs. Du fait du très grand nombre de variables disponibles, il peut y avoir maldonne et des données sensibles peuvent être envoyées aux partenaires.

Il est temps de devenir RGPD Compliant

3 ans et demi que le RGPD a été adopté, plus d’un an qu’il est mis en œuvre. La CNIL a déclaré la période d’observation révolue ; les entreprises doivent se mettre en conformité. De son côté la Commission Nationale de l’Informatique et des Libertés est aussi entrée en action. Sur 2019, Marie-Laure Denis à la tête de la CNIL a évoqué pas moins de 300 contrôles, 50 mises en demeure et une dizaine de sanctions financières dans une interview. On peut citer l’amende record infligée à Google (50 Millions d’Euros) ou encore les cas de Sergic, d’Active Assurance … qui ont été épinglés pour négligence quant à la sécurité des données des usagers.

6 TIPS pour un Tag Management RGPD Compliant

Un reproche est fait à la réglementation : 99 articles de lois mais aucune documentation ni process fournis pour accompagner les entreprises dans leur mise en conformité. En d’autres termes, le RGPD reste encore, sur un plan pratique, obscure et nébuleux pour les organisations.

1-     Pensez minimisation lors de la collecte de données

Ne collectez que les données nécessaires et paramétrez vos balises tag en conséquent. La stratégie du « On collecte tout et on avise après » est inefficace. Elle brouille votre vision et vous empêche de vous concentrer sur la data indispensable pour votre marketing. Elle va aussi à l’encontre de la réglementation qui impose un tri des données collectées et la définition d’un objectif d’exploitation à chaque variable.

2-     Détectez les données sensibles de vos internautes

Identifiez les données qui peuvent avoir un caractère personnel. La CNIL entend par là « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. » et cite à titre d’exemple « une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique ». Les solutions de contrôle du Tag Management proposent de spécifier le caractère sensible de la donnée avant la collecte pour alerter en cas de transmission au partenaire.

3-     Cryptez les données pour en assurer la sécurité

En plus d’identifier les données relatives à la vie privée des internautes, cryptez-les lors de l’envoi aux partenaires pour garantir leur confidentialité.Chiffrement, anonymisation, pseudonymisation, hachage, floutage… Considérez l’exploitation de la donnée a posteriori et le niveau de sécurité nécessaire pour choix la technique la plus appropriée.

4-     Respecter le consentement de vos internautes

Une réglementation plus stricte du consentement utilisateur vient d’être adoptée par CNIL le 4 Juillet dernier. La simple poursuite de navigation sur le site ne vaut plus l’acceptation des cookies. Accord total, partiel ou refus complet… comment vérifier que votre Tag Management est conforme ? Utilisez des robots pour parcourir vos pages en simulant les préférences de vos internautes.

5-     Cartographie des tags et arbre de déclenchements

Faire une cartographie de tous les tags présents sur votre site est une solution pertinente pour identifier les cas de piggybacking et dataleakage. D’abord, vous confirmez le bon déclenchement de vos tags selon votre plan de marquage. Ensuite vous détectez les tags qui ne sont pas censés être présents sur vos pages et qui peuvent représenter un risque pour les données de vos internautes. Remontez l’historique de déclenchement pour identifier quel tag a appelé quel tag et ainsi de suite. On appelle cela l’arbre de déclenchement.

6-     Rendez ces contrôles permanents.

Devenir RGPD Compliant n’est pas « one shot ». Vérifiez en continu les points évoqués pour garantir la protection des données de vos internautes. Votre site et les tags présents sur vos pages ne sont pas figés dans le temps.

Thomas

CEO Seenaptic

Vous aimerez peut-être

Privacy, un sujet plus complexe qu'on ne le pense

Privacy : un sujet + complexe qu’on ne le pense !

Tracking Server Side avis

Tracking server-side : comment assurer une gestion éthique et légale des données ?

EPrivacy & RGPD: Nos fonctionnalités pour valider votre conformité

CMP : Benchmark des principaux acteurs en France

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *