fr
Publications

RGPD et marketing : cookie, tracking et conformité site internet 

Publié le 14 février 2023

Depuis le 25 mai 2018, toute organisation établie sur le territoire de l’Union européenne ou, si ce n’est pas le cas, qui cible directement des résidents européens, doit se conformer au Règlement Général sur la Protection des Données (RGPD ou GDPR) en application de l’article 3 de ce Règlement. Ce texte vise à encadrer le traitement (collecte, consultation, destruction etc.) des données à caractère personnel des personnes physiques dans le but de protéger leur droit à la protection des données à caractère personnel (article 1 du RGPD).  

Si toutes les organisations concernées ont véritablement été impactées par l’avènement de ce cadre juridique, la fonction Marketing des entreprises l’a été tout particulièrement. 

En effet, finie la chasse aux données personnelles des prospects par le biais du site internet, et ce, sans aucune restriction !  

La stratégie marketing visant à collecter un nombre massif de données par le biais du site afin d’accroitre sa connaissance des prospects pour leur proposer le bon produit au moment adéquat ne peut plus prospérer.  

Ces règles strictes en matière de protection des données bouleversent de manière considérable les usages des marketeurs. Effectivement, les pratiques courantes usitées sur le site tel que le tracking (ou « suivi », « pistage » en français) notamment au moyen des cookies est désormais soumis à l’obtention du consentement de l’utilisateur. Il en est de même pour la collecte des données personnelles au moyen des formulaires (ex : formulaire de contact) de son site internet. Le consentement doit être obtenu préalablement pour la réutilisation des données à des fins de prospection commerciale. De plus, un certain nombre d’informations doivent être fournies aux utilisateurs au sujet de ces cookies et de la prospection commerciale, sans quoi le consentement ne saurait être considéré comme « éclairé » au sens de l’article 4 § 11 du RGPD.  

La plupart des entreprises et organisations se retrouvent ainsi dans l’obligation de réfléchir au déploiement sur leur site d’une stratégie marketing « RGPD compliant ». Élément clé de la transformation numérique, le site internet représente la « vitrine » de l’entité et constitue l’un des vecteurs principaux d’apport d’affaires ou de mise en relation.  

Investir dans la mise en conformité au RGPD nécessite un certain effort mais constitue un réel atout. Cette conformité permet de se prémunir de tout risque de sanction de la part de la CNIL et représente un véritable gage de confiance pour les prospects, clients, permettant un retour sur investissement pour les entreprises. 

I. Le respect de certaines exigences s’impose

Les marketeurs sont soumis au respect de plusieurs exigences : 

A. Le recueil du consentement des personnes concernées

Ils se doivent de recueillir le consentement des personnes concernées, qu’il s’agisse du consentement au dépôt et l’utilisation des cookies ou du consentement à la prospection commerciale.  

Le consentement, défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (Article 4 § 11 du RGPD) doit être recueilli de manière préalable en application de la Directive e-privacy du 12 juillet 2002.  

1. Le recueil du consentement aux cookies

Pour les cookies, cela signifie qu’il faut mettre en place un bandeau cookies apparaissant à la première connexion de l’utilisateur sur le site web afin de lui permettre d’exercer un choix concernant le dépôt et l’utilisation des cookies soumis au consentement (ex : statistiques, publicitaires etc.). L’utilisateur doit avoir la possibilité d’exercer ce choix par le biais de boutons globaux, sans prévoir un design trompeur l’incitant à accepter (mise en avant du bouton « accepter » par l’utilisation d’une couleur spécifique par exemple). Il doit également pouvoir personnaliser son choix en l’exerçant pour chaque finalité pour lesquelles les cookies sont utilisés. Il faut également veiller à ce que la poursuite de la navigation soit enregistrée comme un refus aux cookies. L’utilisateur doit aussi être en mesure de pouvoir retirer son consentement aux cookies à tout moment via une « icône cookie » par exemple. 

Enfin, le choix de l’internaute doit être conservé dans les systèmes pour éviter de présenter le bandeau d’information à chaque page visitée ou à chaque visite.  

Ainsi, il n’est plus possible de réaliser un tracking de tous les utilisateurs par le biais des cookies : seuls les utilisateurs ayant explicitement fourni leur consentement éclairé peuvent être soumis à cette pratique ! 

Le respect de ces exigences est fondamental notamment au regard des risques de sanction pesant sur les organismes ne s’y conformant pas : le 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK pour un montant total de 5 millions d’euros notamment du fait que les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter. 

2. Le recueil du consentement à la prospection commerciale

Le consentement aux cookies n’est pas le seul consentement qu’il faut recueillir : en application de la Directive e-privacy du 12 juillet 2002 transposée aux articles L34-5 CPCE et L121-20-5 du Code de la consommation, il est obligatoire de recueillir le consentement à l’utilisation des données personnelles à des fins de prospection commerciale. 

Plusieurs conditions encadrent le recueil de ce consentement, conditions qui diffèrent selon que l’on s’adresse à des particuliers (B2C) ou des professionnels (B2B).  

En matière B2C, il faut recueillir le consentement explicite (opt-in) préalable des prospects par le biais d’une case à cocher distincte. En matière B2B, il n’est pas obligatoire de recueillir le consentement explicite, il est possible de seulement recueillir le consentement implicite autrement dit l’opposition (opt-out) des professionnels. Cela signifie qu’en matière B2B, si le professionnel ne coche pas la case, alors on considère qu’il a consenti à l’utilisation de ses données à des fins de prospection commerciale. C’est le contraire qui se passe en matière B2C sauf dans deux situations, dans laquelle le consentement implicite (opt-out) peut être recueilli comme en matière B2B :  

  • Si la personne prospectée est déjà cliente de l’entreprise (et donc n’est plus prospect) et que la prospection concerne des produits ou services analogues à ceux déjà fournis.  
  • Si la prospection n’est pas de nature commerciale (par exemple est de nature caritative). 

Une autre exigence s’imposant en matière B2C est l’interdiction de conditionner l’accès à un service par l’accord de recevoir de la prospection commerciale. De plus, quelle que soit la nature de la prospection commerciale, il faut être en mesure de démontrer que la personne concernée a consenti au traitement des données à caractère personnel la concernant. Concrètement, cela implique d’avoir la capacité de prouver que la case de recueil de consentement pour l’utilisation des données à des fins de prospection commerciale a bien été cochée. Selon la CNIL, l’horodatage informatique (enregistrement de l’instant auquel une opération a été effectuée) de la manifestation de la volonté et la mise en place d’une procédure de recueil du consentement, dument documentée, doit pouvoir être considéré comme un moyen valable d’établir la preuve du consentement. Enfin, l’exigence du caractère univoque du consentement appelle la mise en place de case à cocher non cochées par défaut. Effectivement, l’utilisateur doit pouvoir cocher cette case et non la décocher, et ce qu’ils doivent manifester son consentement (opt-in) ou son opposition (opt-out) à la prospection commerciale. Ainsi, il n’est plus possible de mettre en place des formulaires sur le site internet afin de collecter des données personnelles et de les utiliser à des fins de prospection commerciale : seuls les utilisateurs y ayant consenti peuvent voir leurs données personnelles utilisées à cette fin ! 

Le 24 novembre 2022, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour un manquement à l’obligation de recueillir le consentement des personnes à des fins de réception de prospections commerciales par voie électronique. 

B. La fourniture d’informations spécifiques

1. La fourniture d’informations relatives aux cookies

      a. Les informations à fournir via le bandeau 

 A ne pas faire : Apposer la mention suivante « En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour assurer le bon fonctionnement de nos services. En savoir plus ». En effet, depuis les Lignes directrices de la CNIL, le silence, qui peut passer par la simple poursuite de la navigation (mais également par le clic sur une croix ou l’absence d’interaction avec le bandeau pendant un certain laps de temps) doit dorénavant s’interpréter comme un refus. 

A faire : 

Il faut fournir les informations suivantes par le biais du bandeau : 

  • Un bref descriptif des finalités des cookies utilisés. 
  • La durée de conservation du choix exprimé quant au dépôt et à l’utilisation des cookies. Selon la CNIL, la durée de 6 mois est une bonne pratique.  
  • Une liste, régulièrement mise à jour, des responsables du ou des traitements de données. Cette liste, qui doit ainsi inclure les fournisseurs tiers de cookies doit être rendue accessible directement sur le bandeau, ou via un lien hypertexte apposé sur ce bandeau et renvoyant à un second niveau d’information (qui peut être une page spécifique ou la page de personnalisation du bandeau par exemple).  
  • Un lien renvoyant vers la Politique de cookies ou vers la Politique de confidentialité (si le sujet des cookies y est traité) afin de permettre à l’utilisateur de consulter les informations relatives à ces cookies. 
  • La possibilité de retirer son consentement à tout moment via le moyen mis en place sur le site (exemple : icône « cookie », située par exemple en bas, sur le côté de l’écran).  
  • Il est prévu que, dans le cas où l’expression du refus de consentir découle d’autres types d’actions que celle consistant à cliquer sur le bouton « refuser » présent sur le bandeau (par exemple via le silence de l’utilisateur lorsqu’il poursuit sa navigation), cela doit être clairement indiqué aux utilisateurs sur ce bandeau. 

      b. Les informations à fournir via la page de personnalisation 

Ensuite, il faut aussi fournir les informations suivantes par le biais de la page de personnalisation : 

  • Un descriptif des finalités plus détaillé que celui devant figurer sur le premier niveau d’information. 
  • La catégorie de cookies (techniques, statistiques etc.). 

     c. Les informations à fournir via la Politique de cookies (ou un paragraphe de la Politique de confidentialité) 

Enfin, il faut fournir les informations suivantes par le biais de la Politique de cookies (ou un paragraphe de la Politique de confidentialité) : 

  • La définition des cookies.  
  • Le détail des données collectées à travers les cookies déposés et utilisés, que ces données soient à caractère personnel ou non au sens du RGPD. Les données doivent être mentionnées en association avec les finalités qu’elles permettent d’atteindre.  
  • La catégorie à laquelle appartient le cookie, son nom ainsi que sa finalité. Il s’agit bien dans le cas présent des finalités de chaque cookie, et non pas des finalités des catégories auxquelles ils appartiennent (bien que celles-ci, devant notamment figurer sur le bandeau d’information, puissent être rappelées de manière préalable). 
  • La catégorie du cookie, son nom ainsi que sa durée de conservation (durée de vie). Dans certains cas, la durée de conservation est fixée par la règlementation. (Exemple : La durée de conservation recommandée des cookies statistiques est de 13 mois). Cependant, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte. Il appartient alors au Responsable de traitement de la déterminer en fonction de la finalité du traitement. 
  • Des explications sur les modalités de gestion du consentement. 
  • La manière dont l’utilisateur peut accepter ou refuser les cookies (via le bandeau et ce de manière globale ou personnalisée). Dans le cas où l’expression du refus de consentir découle d’autres types d’actions que celles consistant à cliquer sur le bouton « refuser » présent sur le bandeau (par exemple via le silence de l’utilisateur lorsqu’il poursuit sa navigation), cela doit être clairement indiqué dans la Politique de cookies. Effectivement, l’utilisateur ne doit pas seulement en être informé via le bandeau cookies, il faut le rappeler dans la Politique de cookies. 
  • Les solutions aisément accessibles à tout moment qui sont mises à sa disposition pour permettre à l’utilisateur de retirer son consentement. 
  • Des explications sur les modalités de paramétrage des cookies sur les navigateurs web.
  • Les conséquences qui s’attachent à un refus de chaque catégorie de cookies. A cette occasion, il faut distinguer la catégorie des cookies techniques nécessaires au fonctionnement du site de toutes les autres catégories de cookies qui, quant à elles, ne le sont pas. 

Ainsi, il n’est plus possible de réaliser un tracking des utilisateurs en collectant leurs données personnelles notamment par le biais des cookies sans avoir recueilli leur consentement éclairé, ce qui implique de leur fournir les informations évoquées ci-dessus.  

Nous pouvons là encore citer la sanction à l’encontre du réseau social TIKTOK où la CNIL a considéré que les utilisateurs n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies. 

    d. La fourniture d’informations relatives à la prospection commerciale 

L’utilisateur doit être informé de l’utilisation de ses données personnelles à des fins de prospection commerciale à la fois dans la Politique de confidentialité mais également dans les mentions d’information apposées sous les formulaires. Les mentions d’information concernées sont celles apposées sous les formulaires par le biais desquels les données personnelles collectées pourront être utilisées à des fins de prospection commerciale si l’utilisateur y consent. 

Une petite nuance est à distinguer selon que l’on se trouve en matière B2C ou B2B : 

  • En matière B2C, l’utilisateur doit être informé de sa possibilité de retirer son consentement à tout moment ainsi que du moyen par lequel il peut le faire. 
  • En matière B2B, il faut lui indiquer que s’il ne s’oppose pas à la prospection commerciale, il a la possibilité de le faire ultérieurement, en veillant là encore à mentionner le moyen mis à sa disposition pour le faire. 

 Dans la sanction infligée à EDF, des manquements à l’obligation d’information des personnes en matière de prospection commerciale ont été constatée. 

 Ainsi, il n’est plus possible d’utiliser les données personnelles des utilisateurs collectées via les formulaires à des fins de prospection commerciale sans avoir recueilli leur consentement éclairé, ce qui impose de leur fournir les informations évoquées ci-dessus.  

C. Le respect du principe de minimisation des données

Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. 

Il est important que les données collectées via les formulaires mis en place sur un site internet et utilisées dans le cadre de la prospection commerciale respectent ce principe fondamental. 

Ainsi, il n’est plus possible de collecter des données via ces formulaires sans se demander si leur collecte se justifie de manière effective (ex : collecte de la date de naissance ou du statut marital dans le cadre d’un formulaire de contact). 

Le 7 juillet 2022, la CNIL a condamné la société OBEEQO INTERNATIONAL (société de location de véhicules) à une amende de 175 000 euros pour non-respect de la vie privée de ses clients causé par la non-conformité au RGPD de son dispositif de géolocalisation de ses véhicules de location. Le principe de minimisation est l’un des principes qui n’a pas été respecté par la société. 

II. La conformité au RGPD représente un véritable atout

Chaque entreprise a tout intérêt à mettre ses pratiques marketings en conformité avec le RGPD, la conformité au RGPD représentant un véritable atout (source JDN, le 26/09/19) : 

  • De confiance client (84%),  
  • D’image de marque (81%) 
  • De motivation des employés (79%) 

En revanche, ne pas s’y conformer peut avoir des conséquences très importantes :  

  • Des conséquences financières : le risque de sanction est non négligeable, de plus en plus fréquent et touche tous les secteurs et les tailles d’entreprises. Une procédure de sanction peut être engagée à l’encontre d’un organisme si un manquement au RGPD est constaté. Cela s’effectue à la suite du dépôt d’une plainte ou d’un signalement auprès de la CNIL ou à la suite d’une mission de contrôle de la CNIL. La formation restreinte statue et s’il y a bien non-conformité au RGPD, alors la CNIL pourra prononcer des sanctions à l’encontre de ce dernier. La CNIL pourra prononcer les mesures correctrices énumérées à l’article 58 §2 du RGPD : par exemple prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité y compris sous astreinte, et prononcer une amende administrative. Dans ce dernier cas, l’article 58 §2 susvisé point i), précise cette amende pourra être prononcée en application de l’article 83 du RGPD, et que cela pourra être fait en complément ou à la place des autres mesures exposées à l’article 58 §2. Avec le RGPD, ce qui change, c’est le montant des amendes : l’article 83 §6 dispose notamment que le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Depuis le 8 avril 2022, le risque de sanction est encore plus élevé étant donné la création d’une procédure simplifiée pour les dossiers peu complexes ou de faibles gravité, les plaintes étant de plus en plus nombreuses depuis l’entrée en application du RGPD. La procédure de sanction simplifiée suit les mêmes étapes que la procédure de sanction ordinaire mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seule et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu. Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne peuvent pas être rendues publiques.  
  • Des conséquences juridiques : dans certains cas, une violation doit faire l’objet d’une déclaration auprès de la CNIL. Plaintes de clients ou de salariés auprès de la CNIL 
  • Des conséquences sur la réputation de l’entreprise : une sanction peut être relayée par la presse et desservir la réputation de l’entreprise. 
  • Des conséquences temporelles : le temps passé à rétablir une situation de non-conformité ou un problème de sécurité peut paralyser l’activité d’une entreprise. 
  • Des conséquences morales : par exemple, la divulgation de la mise en œuvre de mises à pied ou sanctions peuvent altérer le moral d’un salarié ainsi que la divulgation des montants des salaires. 
  • Des conséquences matérielles/financières : par exemple, la suppression ou l’altération d’une information bancaire d’un salarié peut avoir un impact sur son salaire. 
  • Des conséquences physiques : par exemple, l’altération des données sensibles relatives à la santé des personnes peut parfois avoir des conséquences physiques. 

En conclusion, le site internet représente la « vitrine » des entreprises et organisations et contribue grandement à leur l’image de marque. Mettre son site internet en conformité au RGPD est ainsi devenu une priorité dans la mesure où le coût engendré par cette opération est faible au regard des risques encourus en cas de non-conformité. Les coûts engendrés étant de plus en plus difficilement absorbables par les entreprises et organisations, celles-ci ont tout à y gagner à se mettre en conformité. 

 

Laura ARNAL