Google Analytics – #2 CNIL, cookies et vie privée

Publié le 17 mars 2016 par Cédric Tamboise

Second article de notre série autour de Google Analytics, sur la question essentielle du respect de la vie privée, sous le prisme notamment des contraintes de la CNIL.

Maintenant que l’on a vu ce qu’il ne fallait pas faire (et comment aller plus vite) pour une implémentation de Google Analytics, posons-nous tout de suite une question essentielle : quid du respect de la vie privée, et de la loi ? 

Pourquoi cette question de la vie privée et de la Web Analyse ?

Si vous êtes un tant soit peu familier avec un outil de web-analyse, vous savez que l’on peut savoir énormément de choses sur un internaute, entre autres :

  • D’où il vient,
  • Ce qu’il fait sur le site,
  • Avec quel terminal il navigue (et comment se terminal fonctionne),
  • D’où il navigue,

A titre d’exemple, vous pouvez savoir (selon les solutions) en temps réel qu’il y a 80 internautes sur le site, dont un à Argeles-sur-Mer, qui navigue avec un iPad Air 2 sous Chrome, via un opérateur fixe Numericable.

Quelques statistiques déjà pas mal précises

C’est donc très précis, vous n’avez en général rien à dire, et ça peut même aller beaucoup plus loin. En effet, en croisant ces données avec d’autres sources de données (publicitaires notamment), on peut agréger des profils, qui nous en disent d’avantage sur qui vous êtes et ce que vous aimez.

Et tout ça, sans que vous ayez pu donner votre avis.

Au passage, si vous commencez à flipper, dites-vous que ça n’est rien, mais alors franchement rien au regard de ce que vous avez autorisé Facebook à faire avec ces données, sur le ciblage publicitaire. Mais c’est un autre sujet, nous y reviendrons probablement plus tard.

Bref, tout ça pour dire que l’on peut franchement savoir pas mal de choses sur vous même si vous vous croyez cachés derrière votre écran, et que si la technologie le permet, il est intéressant de réglementer cela, et c’est précisément l’un des rôles de la CNIL.

La CNIL c’est quoi ?

En France, nous avons la chance – et ce n’est pas de l’ironie – d’avoir une institution qui travaille avec précision ce sujet et dans de bonnes directions, au moins sur le principe1)même si parfois, notamment sur la loi sur le renseignement, ses positions ressemblent à celles d’un soldat devant un lieutenant.

La CNIL – Commission National Informatique et Libertés – est donc l’Autorité Administrative indépendante (d’après Wikipedia), a qui a été confié 6 missions :  Informer,  Réguler,  Protéger,  Contrôler,  Sanctionner 2)bon, sur les sanctions ça n’est pas toujours suivi des faits, et parfois retoqué par le Conseil d’Etat  , et Anticiper.

Les règles imposées par la CNIL à tout éditeur de site Internet

Afin de rendre un tant soit peu le contrôle (ou une illusion de contrôle) aux internautes, la CNIL a édicté 3 règles imposées à tout éditeur de site répondant au droit français.

Elles sont assez simples :

  1. Informer les utilisateurs
  2. Obtenir leur consentement
  3. Leur donner les moyens de se refuser

Nous allons les détailler juste après, car elles ont plusieurs impacts, et l’ordre même de ces règles est également important.

Pour être précis, ces règles ne concernent pas tous les outils, certains ayant reçu la bénédiction de la CNIL car non intrusif,  ou moins intrusifs, notamment un outil français – Piwik – présenté comme une alternative à Google Analytics (je n’y reviens pas maintenant, mais pour faire très vite, Piwik n’est pas du même niveau. Vraiment pas.)

1) Informer : le Bandeau CNIL Cookies

Le premier devoir au regard de ces règles est d’informer les utilisateurs que vous utilisez des cookies ou d’autres types de traceurs, à quels fins vous en utilisez, et les informer de comment ne pas être exposé à ces traceurs.

Cela prend la forme d’un « Bandeau », qui doit être affiché dès la première page de la visite de l’internaute), toujours être visible (donc persistant au scroll) tant que l’internaute n’a pas donné son consentement (c’est le point suivant).

Plus de 50% de l’espace mangé par le bandeau CNIL & la publicité…

Les impacts non pensés de ces règles : l’expérience utilisateur sur mobile

Sur le papier, cette règle d’information est une bonne choses : il est important de sensibiliser les internautes à ce qui est fait de leurs données, mais cela a 3 écueils :

  1. comme tous les sites (ou presque) affichent ce bandeau, vous n’y faites plus attention, et ce bandeau vous dirait qu’il revend votre numéro de carte bleue à un pirate de Côte d’Ivoire vous ne le liriez pas d’avantage,
  2. comme la plupart des sites gèrent ça n’importe comment, ils affichent systématiquement le bandeau à chaque re-visite (alors qu’ils devraient se souvenir de votre décision, grâce à un cookie – ironie), on y prête encore moins attention,
  3. comme ces règles s’appliquent de la même manière sur mobile, mais que l’écran est plus petit (scoop !) l’expérience y est complètement dégradée, et encore une fois, le bandeau ne sert plus à rien.

2) Obtenir leur consentement

Ce point est crucial, et c’est ce point qui n’est (quasiment) JAMAIS respecté, nous le verrons avec certains sites assez inattendus.

Pour faire simple, la règle explicite de la CNIL est : on ne dépose aucun cookie3)de tracking ou de publicité à l’internaute s’il n’a pas donné son consentement.

Il y a 2 types de consentement :

  1. Le consentement explicite :
    C’est à dire que l’internaute clique sur « J’accepte » (si le bouton est présent sur le bandeau)
  2. Le consentement implicite :
    Si l’internaute poursuit sa navigation sur le site, la CNIL considère qu’il est d’accord avec la politique de cookies en oeuvre sur le site, et donc que vous pouvez les lui déposer.

Le consentement explicite est la faille qui essaye d’être interprété à tord par beaucoup, pour déposer au plus tôt les cookies, et donc tracker l’internaute. Cependant, la CNIL est très claire : « une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ».

Pour reformuler : quel que soit le site que vous visitez, si vous chargez la page d’accueil sans rien faire, vous ne devez avoir aucun cookie 4)de tracking ou de publicité déposé sur votre navigateur. Et nous le verrons, ils sont peu nombreux les sites qui respectent cette contrainte.

Ce qui est autorisé c’est : si l’internaute clique sur un lien du site pour poursuivre sa navigation, ou dans une certaine mesure s’il scrolle suffisamment sur la page (pour consommer son contenu), on peut déduire qu’il « navigue » sur le site, et donc qu’il donne un consentement implicite.

3) Donner les moyens de refuser

Informer c’est bien mais donner les moyens c’est mieux.

La troisième obligation étant de permettre aux internautes de refuser d’être suivis par des cookies publicitaires et de mesure d’audience.

Les moyens efficaces pour cela sont peu nombreux, et de ce fait, la CNIL n’oblige qu’à une information supplémentaire, via une page « Notre politique Cookies », qui explique comment régler son navigateur pour refuser les cookies.

Les plus téméraires pourront implémenter les préconisations plus précises de la CNIL via ce type d’écran (après le clic sur « Personnaliser ») :

A quoi s’appliquent ces règles ?

On vient de voir ce qu’étaient ces règles, à qui elles s’appliquaient, mais il est important pour comprendre la suite de répondre à la question : à quoi s’appliquent-elles ?

Ces règles s’appliquent à votre site bien sûr, mais aussi à tout ce qui est inclus sur votre site :

  • Votre outil de Web Analyse (sauf Piwik et AT Internet [ex Xiti] – même si pour AT Internet c’est d’avantage pour des raisons chauvines quoi qu’en dise la CNIL, parce que quand on écoute les discours en petit comité de Xiti sur les données…)
  • Vos outils de partage sur les réseaux sociaux, les petits boutons « J’aime », « Tweet », & co
  • Vos publicités.

Pour être très clair encore une fois : aucun de ces dispositifs présent sur votre site ne peut déposer le moindre cookie5)de tracking ou de publicité tant que l’internaute n’a pas donné son accord6)implicite ou explicite.

Et c’est là où ça devient rigolo. Parce que si vous êtes en mesure de paramétrer vos outils de Web Analyse pour qu’ils respectent (plus ou moins) ces règles, vous êtes complètement incapables de l’appliquer simplement (et avec les méthodes vues dans le billet précédent) pour Facebook, Twitter ou vos publicités. Ni vous, ni la plupart des sites français, grands ou petits. C’est ce que nous allons voir.

Des sites qui ne respectent pas cela

L’idée n’est pas ici de faire de la délation, mais simplement de montrer que ça n’est à la fois pas simple, même pour des sites qui devraient être irréprochables en la matière

Site Affichage bandeau Conforme Cookies Détails

Elysee.fr  Tous les cookies Google Analytics (ancienne version) sont chargés au lancement du site

Gouvernement.fr Le cookie Universal Analytics est chargé au lancement du site + un cookie qui semble géré par l’agence FiftyFive

Assemblee-Nationale.fr   Tous les cookies Google Analytics (ancienne version) sont chargés au lancement du site

LeParisien.fr  ✔ Tous les cookies sont chargés au lancement du site : Google Analytics, AT Internet, publicité, ABTasty, etc.

LeMonde.fr Tous les cookies sont chargés au lancement du site : Google Analytics, AT Internet, publicité, ABTasty, etc.

CNIL.fr  ✔  ✔  Là tout est nikel, même Facebook & co sont en mode « attente » du choix de l’internaute

Blig.fr     Pas de bandeau, deux tous petits cookies GA

Humanis.com7)mon employeur ✔ ✔ Aucun cookie publicitaire ou de tracking n’est déposé avant l’acceptation explicite ou tacite de l’internaute.
On essaye de faire les choses bien

Comment respecter (partiellement) ces contraites ?

Comme on l’a vu plus haut, la plupart des sites refusent de le faire, soit parce que cela est trop complexe à mettre en place (ça l’est un peu c’est vrai), soit parce que cela bousillerait leur business model (c’est valable pour tous les sites qui vivent de la publicité et qui ont accessoirement un taux de rebond important.)

Pour Google Analytics

La CNIL propose une solution compatible avec Google Analytics standard (GATC) et Universal Analytics. Donc tout va bien, il vous « suffira » d’implémenter le code présent sur la page suivante, à la place de celui donné par Google :
» https://www.cnil.fr/fr/solutions-pour-la-mesure-daudience

Vous pouvez aussi choisir de remplacer Google Analytics par Piwik… (ce que je ne vous conseille pas).

Pour une solution globale

Si vous utilisez d’autres choses sur votre site, comme des scripts de réseaux sociaux, de tracking publicitaire, etc. il est indispensable pour être propre d’utiliser une solution de Tag Management (de type Google Tag Manager). C’est assez complexe à mettre en oeuvre au début, et à maintenir, ça n’est pas neutre en impact, mais c’est la solution idéale pour pouvoir dire clairement à tous vos scripts qui déposent les cookies : « ça y est, on a eu l’accord de l’internaute, allez-y ! », ou « non, pas de cookie ».

Sans un système centralisé, il y aura toujours un script qui fera ça dans son coin sans que vous le sachiez.

Nota :

Un Tag Management System n’est pas suffisant en soi. Il faut le paramétrer convenablement afin qu’il réagisse correctement au comportement attendu.
A titre d’info, nous avons travaillé pour Humanis avec Wasabi Analytics qui a développé une solution propre et conforme aux recommandations de la CNIL et qui nous permet d’être réglos.

Et sinon ?

Deux options :

  1. Vous supprimez tous les scripts qui déposent des cookies et que vous ne savez pas gérer (Analytics, Facebook, etc.)
  2. Vous ne respectez pas la loi (comme la plupart des sites cités plus haut).

Les impacts

Si vous ne respectez pas la loi

L’article 39 de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 précise que le non respect de ces principes peut valoir « cinq ans d’emprisonnement et de 300 000 € d’amende ».

Nul n’est censé ignorer la loi, mais je suppose que l’autorité judiciaire saura remarquer qu’il faudrait que l’état la respecte d’abord… Je l’espère…

Si vous respectez la loi

Vous embêterez vos utilisateurs avec un bandeau qu’ils ne liront ni ne comprendront…
Et une partie non négligeable de vos indicateurs de web analyse seront faussés (audience, taux de rebond, temps de visite).

Mais ça, on en parlera dans un prochain article

En attendant la suite, si vous avez aussi remarqué des erreurs grossières, n’hésitez pas à les lister en commentaire. Je répondrai également avec plaisir à vos éventuelles questions

References  [ + ]

1. même si parfois, notamment sur la loi sur le renseignement, ses positions ressemblent à celles d’un soldat devant un lieutenant

2. bon, sur les sanctions ça n’est pas toujours suivi des faits, et parfois retoqué par le Conseil d’Etat 

3, 4, 5. de tracking ou de publicité

6. implicite ou explicite

7. mon employeur