- Ma bannière cookies et ma politique de gestion des cookies sont-elles conformes ?
- Puis-je placer un pay-wall ?
- Pourquoi l’utilisation de Google Analytics et de l’IAB T&C Framework sont-ils dans la ligne de mire de l’APD ?
- Quelles alternatives aux cookies ?
par Alexandre CASSART (Lexing Belgium), Amandine DUCHESNE (Head of web analytics - Universem) et Victoria RUELLE (Lexing Belgium).
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 2022.pptx
1. ALL OVER THE WORLD
Earlegal -
Cookies
Comment ne pas commettre de
faux pas ?
Amandine DUCHESNE (Universem)
Alexandre CASSART et Victoria RUELLE (Lexing)
2. PLAN
Introduction : Qu’est-ce qu’un cookie?
Partie I : Ma bannière de consentement et ma
politique de gestion des cookies sont-elles
conformes ?
Partie II : Les nouvelles pratiques des Cookie
Walls et Paywalls sont-elles légales ?
Partie III : Quelques cookies dans le viseur de
l’APD
Partie IV : Quelles alternatives ?
4. Comprendre la notion de «cookies »
“Les cookies sont de petits fichiers texte que les
sites Web placent sur votre appareil pendant que
vous naviguez. Ils ont le format clé-valeur (par
exemple, id=abc123). Ils sont traités et stockés par
votre navigateur Web.“
4
5. Leur objectif,
o Strictement Nécessaire, Fonctionnel, Statistiques, Marketing, Social Media
Leur durée,
o Persistent vs cookies de session
Leur provenance.
o First-party vs Third-party cookies
Statistiques, Marketing, Social Media
Third-party
Persistent
Les différents types de cookies
5
En général, il existe 3 manières de classifier les cookies:
6. Que dit la loi à propos des cookies?
14/10/2022 6
RGPD
Traitement des données
personnelles
E-privacy
Communications
électroniques
7. Pourquoi est-ce important ?
Être conforme avec la léglisation,
Limiter les risques d’amendes pour votre entreprise,
Conserver votre image de marque,
Assurer une transparence avec vos visiteurs et clients,
Identifier les relations de qualité,
Construire des relations de confiance.
14/10/2022 7
8. Partie I : Ma bannière de
consentement et ma politique de
gestion des cookies sont-elles
conformes ?
10. Les critères à respecter pour une bannière dite
“conforme”
Le consentement
doit être informé.
14/10/2022 10
Le consentement
doit être actif.
Le consentement
doit être libre.
11. Il est recommandé que…
● La bannière soit suffisamment visible pour prévenir les utilisateurs à
propos de votre politique de confidentialité.
14/10/2022 11
12. Il est recommandé que…
● La bannière propose un choix de consentement qui se manifeste par
une démarche active de l’utilisateur.
14/10/2022 12
13. Il est recommandé que…
● La bannière donne à l’utilisateur la possibilité d’accepter ou de refuser les
cookies de manière libre.
14/10/2022 13
14. Il est recommandé que…
● La bannière contienne au premier niveau les différentes categories de
cookies utilisés ainsi que leur explication.
14/10/2022 14
Okay!
15. Il est recommandé que…
● La bannière fournisse un lien vers la politique de confidentialité et / ou la
politique de cookies.
14/10/2022 15
16. Il est recommandé que…
● La bannière permette à l’utilisateur de mettre à jour son consentement à
tout moment.
14/10/2022 16
17. Les critères à respecter pour une bannière dite
“conforme”
17
14/10/2022
La bannière doit être suffisamment visible pour prévenir les utilisateurs à propos de votre politique de
confidentialité.
La bannière doit proposer un choix de consentement qui se manifeste par une démarche active de
l’utilisateur.
La bannière doit donner à l’utilisateur la possibilité d’accepter ou de refuser les cookies de manière libre.
La bannière doit contenir au premier niveau les différentes catégories de cookies utilisés ainsi que leur
explication.
La bannière doit fournir un lien vers la politique de confidentialité et / ou la politique de cookies.
La bannière doit permettre à l’utilisateur de mettre à jour son consentement à tout moment.
18. Est-ce qu’il est nécessaire
d’afficher une politique de
confidentialité et une politique
de cookies sur mon site ?
OUI
14/10/2022 18
19. Politique de confidentialité vs Politique de cookies
Quelles différences?
La politique de confidentialité est un document juridique disponible sur votre site web dans
lequel sont incluses les informations relatives aux données que vous collectez sur vos
utilisateurs. Ce document doit informer vos utilisateurs sur la façon dont vous collectez,
traitez, stockez et gérez leurs données.
La politique de cookies est un document juridique disponible sur votre site web dans lequel
sont incluses les informations relatives à l’utilisation des cookies sur votre site web. Ce
document doit lister les différents types de cookies présents, décrire leur utilisation et
informer l’utilisateur sur la façon dont ils peuvent contrôler leurs préférences en termes de
cookies.
14/10/2022 19
20. Comment rédiger une politique de confidentialité?
14/10/2022 20
Le responsable du traitement des données
Les bases légales des traitements effectués
Les droits des personnes concernées
Les types de données collectées
Les transferts de données
La mise à jour
21. Comment rédiger une politique de cookies?
14/10/2022 21
La définition des cookies
Les types de cookies utilisés
L’utilisation des cookies, leurs objectifs et leur durée
Les types de données collectées
La mise à jour
22. Partie II :
Les nouvelles pratiques des
Cookie Walls et Paywalls, sont-
elles légales ?
23. II. Emergence de nouvelles pratiques :
Cookie Wall et Paywall
Cookie Wall Paywall
25. II.1. Cookie Wall
ePrivacy : Il faut un consentement
CJUE : Le consentement doit être valide au sens
du RGPD
RGPD : Le consentement doit être libre
CEPD :
• Un consentement est libre quand l’internaute a
une alternative équivalente
• Le consentement recueilli grâce au Cookie Wall
n’est pas valide
34. II.2. Paywall
ePrivacy : Il faut un consentement
CJUE : Le consentement doit être valide au sens
du RGPD
La directive 2019/770 : Le principe de «payer »
avec ses données personnelles semble accepté
RGPD : Le consentement doit être libre
CEPD :
• Un consentement est libre quand l’internaute a
une alternative équivalente
35. II.2. Paywall
CNIL : Les Paywalls sont illégaux, au même titre que
les Cookie Walls
Conseil d’Etat français : la CNIL a dépassé ses
compétences en affirmant l’illégalité des Paywalls
CNIL :
• Pas d’illégalité dans l’absolu
• Analyse au cas par cas de l’existence d’une
alternative équivalente
2019
2020
37. II.2. Paywall
Qu’est-ce qu’une alternative équivalente ?
Critères pour déterminer s’il existe une alternative réelle et
satisfaisante en cas de refus des traceurs :
- Offerte par l’éditeur du site ou un autre éditeur de site
web
• Pas d’alternative si exclusivité de l’éditeur sur les
contenus ou services proposés
• Pas d’alternatives si le service est fourni par un acteur
dominant ou incontournable
- Tarif raisonnable
• Analyse au cas par cas : compense la perte de revenu
causée par l’absence des cookies
• Abonnement ou un porte-monnaie virtuel pour faire
des micropaiements
40. III.1. Google Analytics
Interdiction de principe des transferts de données à
caractère personnel vers un pays tiers (44 et s.
RGPD)
Par exception, le transfert vers un pays tiers peut
avoir lieu dans 3 hypothèses parmi lesquelles la
conclusion de CCT.
USA :
• Schrems II
• pas de garanties appropriées suffisantes au
regard des larges pouvoirs des agences
gouvernementales américaines
40
Problème : la
localisation
du prestataire
42. III.1. Google Analytics
42
Solution Précautions
La proxyfication
• absence de transfert de l’adresse IP
• remplacement de l’identifiant utilisateur par le
serveur de proxyfication
• suppression de l’information de site référent
• suppression de tout paramètre contenu dans les URL
• retraitement des informations pouvant participer à la
génération d’une empreinte (ou fingerprint),
• absence de toute collecte d’identifiant entre sites
(cross-site)
• suppression de toute autre donnée pouvant mener à
une réidentification.
46. III.2. TC Sting
Transparency and Consent Framework =
ensemble de règles pour recueillir un
consentement valide au traitement des données
des internautes dans le cadre du RTB
Real time bidding (enchère en temps réel) =
technique de publicité en ligne qui consiste à
vendre en temps réel et au plus offrant un espace
publicitaire sur un site visité par un internaute, en
fonction du profil de cet internaute.
Qu’est ce que le
TCF ?
Qu’est ce que le
RTB ?
47. III.2. TC String
<120
millisecondes
Éditeurs ont des encarts
publicitaires
Plateforme centralisant les
offres des éditeurs
Intermédiaire
-
présente les
profils des
internautes aux
annonceurs
Annonceurs
Plateforme
centralisant
les demandes
-
Place des
enchères au
nom des
annonceurs
L’enchère la plus haute
emporte l’encart
publicitaires
L’internaute visite un
site internet
49. Points clés de la décision :
Le TC String est une donnée à caractère personnel
IAB est (co)responsable du traitement des données
Le traitement ne repose sur aucune base de
justification prévue par le RGPD
Nombreux manquements aux principes et
obligations du RGPD
III.2. TC String
50. Cour des Marchés 7
septembre 2022
Questions préjudicielles à la
Cour de Justice de l’UE
III.2. TC String
51. III.2. TC String
1) La qualification de (co-)RT pour IAB qui
propose un système de gestion des
consentements ?
2) Le TC String est-il une donnée à caractère
personnel ?
53. 1ST PARTY DATA
Focus sur les first party data pour construire des
relations fortes avec les clients
14/10/2022 53
54. Le ciblage contextuel pour atteindre les bons prospects
avec le bon message
54
Cibler les utilisateurs qui
consultent du contenu dans
des catégories spécifiques
Cibler les utilisateurs qui
consultent du contenu avec
des mots-clés spécifiques
14/10/2022
55. Un identifiant ou une connexion unique pour
favoriser le partage de données
14/10/2022 55
ID: 67891 Système SSO
56. Vers des solutions “cookie-less” pour repenser le
tracking
Les différents acteurs du secteur ne
ménagent pas leurs efforts dans leur
recherche de solutions alternatives qui
permettraient de travailler avec et sans
cookies.
14/10/2022 56
Consent Mode
Privacy Sandbox
Enhanced Conversions
Topics
FLEDGE
Server side
tagging
…
…
57. L’intelligence artificielle pour combler la perte de
données
Artificial
Intelligence
57
Machine
Learning
Predictive Analytics
Deep Learning
Augmented Analytics
…
…