Lorsqu’il est question de protection des données, les spécialistes du marketing se penchent également de près sur la gestion du consentement. Il n’est pas toujours facile pour les entreprises internationales, en particulier, et leurs départements marketing d’avoir une vue d’ensemble précise des règles de protection des données en vigueur dans les différents pays. Une chose est sûre : le RGPD est la norme en la matière.

Nous allons donc examiner les différentes interprétations du RGPD, ainsi que les réglementations relatives à la protection des données applicables en Allemagne, en France, en Italie et au Royaume-Uni.

Le consentement est le nouveau pivot du marketing basé sur les données

Le sujet du consentement continue à prendre de l’ampleur et la pertinence des consentements obtenus en conformité avec les règles de protection des données et leur traitement approprié ne cesse de croître. Les entreprises et leurs équipes marketing ne peuvent pas éluder cette question. Elles doivent trouver des solutions pour gérer les consentements recueillis et même pouvoir en apporter la preuve en cas d’urgence.

Dans ce contexte, les entreprises doivent faire face aux problèmes et aux questions liés au consentement. Comment surmonter les apparentes contradictions entre le marketing en ligne axé sur les performances et la protection particulière des données personnelles grâce à des opt-ins conformes à la protection des données ? Les marques qui opèrent au niveau international sont en outre confrontées au défi de devoir se conformer aux réglementations locales applicables.

• Comment la Cour fédérale de justice interprète-t-elle la protection des données dans ses jurisprudences en Allemagne ?
• Que contient la nouvelle loi fédérale allemande sur la protection des données ?
• Quel est le rôle de la CNIL en France ?
• Qu’à mis en place l’Italie ?
• Comment la protection des données est-elle réglementée dans les États non membres de l’UE, comme le Royaume-Uni ?

En répondant à ces questions et en mettant l’accent sur la protection des données dans les départements marketing, il est possible de poser concrètement les bases d’un marketing en ligne qui n’est pas seulement axé sur la performance, mais qui considère également la gestion du consentement comme un élément central.

La gestion du consentement en Allemagne

En Allemagne, la protection des données et, par conséquent, la gestion du consentement reposent sur le droit à l’autodétermination informelle accordé par la loi fondamentale. Dans ce cadre, le Parlement allemand (Bundestag) a adopté le 20 mai 2021 un projet de loi sur la protection des données dans les télécommunications et les télémédias (« Telekommunikations-Telemedien- Datenschutzgesetz », TTDSG). L’objectif est d’amender la loi sur les télécommunications (TKG) et la loi sur les télémédias (TMG) et d’adapter ainsi ces deux lois au RGPD dans l’esprit de la directive « vie privée et communications électroniques », ou directive ePrivacy, de l’UE. Cette procédure est notamment nécessaire suite à l’arrêt de la Cour fédérale de justice du 28 mai 2020, selon lequel la directive européenne sur les cookies n’a pas été entièrement transposée dans le droit applicable. La loi TTDSG doit entrer en vigueur le 1er décembre 2021. Les infractions sont passibles d’une amende pouvant atteindre 300 000 euros.

En ce qui concerne la gestion du consentement, l’avis du Conseil fédéral allemand (Bundesrat) sur le paragraphe 24 du projet de loi TTDSG est extrêmement intéressant : alors qu’il salue l’alignement plus étroit de l’article 24 du projet de loi TTDSG sur l’article 5 paragraphe 3 de la directive ePrivacy, il recommande la conception simple d’une bannière relative aux cookies avec deux boutons « Accepter » et « Refuser », la considérant « appropriée ». C’est d’autant plus fascinant que l’article 5 paragraphe 3 de la directive « vie privée et communications électroniques » stipule que « […] stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur soit muni […] d’une information claire et complète« . La Cour de justice de l’UE a également statué dans ce sens en 2019 dans l’arrêt dit Planet49, en précisant que le consentement explicite n’est pas donné par une case à cocher précochée ni en utilisant des bannières d’information généralisées et concernant plusieurs cookies, telles que « En poursuivant votre navigation, vous profiterez des avantages de notre site web ».

Il reste donc à voir si et sous quelle forme la recommandation du Bundesrat s’inscrit dans la tendance à une interprétation stricte de l’opt-in explicite par la Cour de justice de l’UE et la Cour fédérale de justice, ainsi que dans la discussion sur un consentement explicite pour les cookies techniques également et comment cet avis pourrait être mis en œuvre. Le ministère fédéral allemand de l’Économie et de l’Énergie (BMWi) explique ce point dans un communiqué de presse :

« Concernant les cookies, la TTDSG doit créer un système de gestion de consentement convivial et conforme aux règles de la concurrence qui comprend les services reconnus, navigateurs et fournisseurs de télémédias. Un règlement du gouvernement doit clarifier la conception détaillée de ces nouvelles structures dont le gouvernement fédéral observera et évaluera le succès (art. 26 TTDSG). »

Le principe du « nudge » ou la ruse avec les bannières de consentement

Le nudge décrit la tentative d’influencer le visiteur d’un site web afin de l’inciter à donner son consentement. Ces petites astuces concernant l’aspect visuel des bannières sont actuellement possibles dans un contexte où il n’existe pas (encore) de réglementation légale ou de jurisprudence claire à ce sujet.

Un exemple type de ce phénomène est l’utilisation de bannières avec un gros bouton vert pour la fonction « Accepter tous les cookies » et un équivalent plus petit en gris clair pour l’option « Refuser les cookies ». Une autre pratique répandue est d’imposer aux visiteurs de cliquer sur une série de paramètres pour refuser les cookies, alors que l’option d’acceptation des cookies est directement disponible.

Toutefois, certaines décisions rendues récemment par différents tribunaux montrent qu’il ne faut pas pousser trop loin ce principe. Ainsi, selon une publication de l’autorité de surveillance de Basse-Saxe, l’utilisation « excessive » de nudges entraîne la nullité du consentement puisque l’utilisateur ne dispose pas d’un véritable choix. Un jugement du tribunal de grande instance de Rostock soutient également cette position. Néanmoins, il n’a pas été question jusqu’à présent de procédures ou d’amendes spécifiquement liées à la question des nudges. Il y aura certainement d’autres développements dans ce domaine à l’avenir.

Qu’en est-il du suivi de newsletters ?

Un autre sujet important en matière de gestion du consentement est le traitement des données pour l’envoi de newsletters. La nécessité d’un double opt-in est désormais une condition connue et largement acceptée. Des problèmes peuvent toutefois se poser lors du traitement des données en arrière-plan des newsletters envoyées, par exemple à des fins d’analyse.

Le cadre juridique concernant le suivi d’informations telles que l’ouverture de la newsletter, les clics sur les liens intégrés ou l’ouverture des documents inclus n’est pas encore réglementé en détail. Il est clair qu’un consentement distinct devrait également être obtenu pour ces traitements. En revanche, le moment le plus approprié pour obtenir ce consentement reste incertain. La possibilité la plus pratique actuellement est un texte d’avertissement lors du « premier opt-in », c’est-à-dire au moment où un utilisateur remplit le formulaire d’inscription à la newsletter. Aucune solution concrète ne s’est toutefois encore imposée dans la pratique. Les entreprises et leurs spécialistes du marketing doivent donc continuer à suivre ce sujet afin de se tenir au courant de toutes les réglementations et jurisprudences, comme pour toutes les questions relatives à la gestion du consentement

Le marketing en ligne moderne ne peut plus faire l’impasse sur l’introduction d’une plateforme de gestion du consentement, face à un environnement de protection des données de plus en plus compliqué. Dans ce contexte, il est important de bien distinguer les notions de déclaration de protection des données et plateforme de gestion du consentement (CMP). Alors que la déclaration de protection des données sert à satisfaire les obligations d’information (quelles données sont collectées et traitées ultérieurement, à qui sont-elles éventuellement transmises, etc.), la CMP concerne l’obtention d’un consentement effectif conformément aux règles de protection des données. Ainsi, une CMP aide les opérateurs de sites web à concevoir et exploiter correctement les bannières opt-in.

Mettez en œuvre votre gestion du consentement de manière professionnelle et conforme à la protection des données grâce à notre solution TrustCommander !

Bon à savoir :
les tests A/B représentent un précieux allié pour optimiser vos taux d’opt-in !

Comme vous le constatez déjà, du point de vue des spécialistes du marketing, le thème de la gestion du consentement a beaucoup à voir avec la conformité des bannières de consentement aux règles de protection des données, d’une part, et leur optimisation, d’autre part, afin de garantir un taux d’opt-in aussi élevé que possible. Les tests A/B sont tout indiqués pour déterminer les formats de bannières opt-in appropriés. Ne laissez rien au hasard et analysez les formats de bannière qui génèrent le taux de consentement le plus élevé sur votre site web, en diffusant différentes versions sur une période donnée.

Notre dernier baromètre privacy montre par exemple que les bannières de consentement sont le plus souvent affichées sous forme de pop-ins (72 %) pour obtenir un opt-in explicite à 100 %. Nous vous y donnons également cinq conseils pratiques pour rendre vos bannières de consentement aussi efficaces que possible. Ce qui est bien, c’est que ces conseils s’inspirent des directives de la CNIL, l’autorité française chargée de la protection des données, un des organismes les plus avancés en Europe en matière de protection des données.

Cliquez ici pour consulter le dernier baromètre Privacy !

La gestion du consentement en France

La CNIL (Commission Nationale de l’Informatique et des Libertés) a publié en octobre 2020 une directive sur les cookies et autres traceurs qui devait être mise en œuvre par tous les opérateurs de sites web avant fin mars 2021. De grands aspects y sont expliqués : consentement conforme au RGPD, désactivation des mécanismes d’opt-out par lesquels, par définition, aucun consentement explicite ne prévaut, respect des impératifs de transparence, option simple pour retirer le consentement, ou encore possibilité de prouver tous les opt-ins. Cette directive sur les cookies et traceurs est très détaillée et donne des informations variant de la conception technique à la conception purement visuelle de la gestion du consentement sur les sites web.

Dans sa directive, la CNIL accorde une attention particulière aux délais de conservation des cookies. Elle recommande ainsi une durée de vie des cookies (c’est-à-dire la durée pendant laquelle un cookie déposé peut collecter activement des données) limitée à une période permettant une comparaison pertinente des groupes cibles sur ce laps de temps, tout en mentionnant une durée de vie maximale de 13 mois. La durée maximale de conservation des informations collectées via ces cookies est fixée par la CNIL à 25 mois. Une nouvelle visite d’un site web par un visiteur déjà suivi n’entraîne pas une prolongation automatique de cette durée. La durée de vie et la période de conservation spécifiées par la CNIL seront revues périodiquement afin de s’assurer qu’elles sont toujours appropriées.

La CNIL confirme ses grands principes, dont la symétrie du consentement

• Le consentement des utilisateurs mieux réglementé. L’internaute doit désormais donner un consentement explicite. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement. Le consentement doit être donné par un « acte positif clair » (par exemple, cliquer sur le bouton « j’accepte ») afin de permettre aux traceurs de se déclencher. Sans cela, seuls les traceurs essentiels pourront être déposés.
• Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
• La symétrie du consentement. Terminé l’époque où il fallait chercher tant bien que mal le bouton « refuser ». Désormais il doit être tout aussi facile de refuser que d’accepter le dépôt de traceurs.
• ​Les personnes doivent être clairement informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui en découlent. L’identité de toutes les sociétés utilisant des traceurs soumis au consentement doit aussi être facilement accessible pour l’internaute.
• Enfin, si un internaute demande à obtenir la preuve de son consentement, les acteurs déposant des traceurs doivent être en mesure de lui fournir une preuve valable du recueil du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Quels cookies sont actuellement considérés comme exemptés de consentement en France ?

Comme nous l’avons déjà mentionné, il est possible de faire la distinction entre les cookies nécessaires d’un point de vue technique et les cookies d’analyse (par exemple, les cookies de suivi ou d’affiliation). En règle générale, selon la directive ePrivacy, tous les cookies techniques nécessaires au fonctionnement d’un site web ne nécessitent pas de consentement explicite. Toutefois, pour savoir exactement quels cookies ou traceurs sont considérés comme « techniquement nécessaires », il faut à nouveau examiner de près les interprétations et les jurisprudences nationales. En France, les types suivants relèvent de la catégorie « non soumis à consentement » :

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès suspectes ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur les produits achetés ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de l’affichage) ;
• les traceurs permettant l’équilibrage de la charge ;
• les traceurs permettant aux sites payants de limiter le libre accès au contenu ;
• certains traceurs de mesure d’audience.

Néanmoins, la CNIL recommande d’informer également sur les cookies exemptés de consentement et sur leurs finalités, même s’ils ne sont pas soumis à une exigence générale de consentement. De même, certains cookies d’analyse peuvent être exemptés de l’impératif de consentement en France, mais certaines conditions doivent alors être remplies, selon la CNIL :

• des cookies d’analyse peuvent être utilisés sans consentement si leur suivi sert uniquement à mesurer le nombre de visiteurs ;
• aucun consentement explicite n’est requis non plus lorsqu’il n’y a pas de suivi à travers différents sites web ou applications ;
• le dernier point cité par la CNIL concerne la qualité de données collectées. L’analyse des données sans opt-in est autorisée si elles sont utilisées exclusivement dans le but de produire des données statistiques anonymes ou si les données collectées ne peuvent pas être recoupées avec d’autres traitements et s’il n’y a pas de transmission à des tiers.

La gestion du consentement au Royaume-Uni

Nous souhaitons également donner un bref aperçu des impératifs de la gestion du consentement selon l’interprétation britannique. Malgré sa sortie de l’Union européenne, le Royaume-Uni suit une ligne de conduite en matière de protection des données qui s’inspire fortement de l’UE et donc du RGPD. Il existe donc peu de différences avec l’UE, notamment en ce qui concerne les cookies, à l’exception du fait que l’Information Commissioner’s Office (ICO), en tant qu’autorité compétente, est non seulement financièrement solide, mais est également considéré comme beaucoup plus strict et plus actif que ce n’est actuellement le cas, par exemple, des autorités allemandes.

Ainsi, l’ICO n’accepte que peu d’exceptions à l’exigence du consentement clairement explicite. Les cookies qui peuvent être déposés sans opt-in doivent donc être strictement nécessaires (« strictly necessary« ) d’un point de vue technique, selon une interprétation restrictive maximale. C’est par exemple le cas de cookies qui permettent d’enregistrer un panier d’achat pour la prochaine session ou qui servent à garantir la sécurité des opérations bancaires en ligne. Il s’agit aussi des cookies qui servent à faciliter le chargement des sites web. Ne sont évidemment pas inclus les cookies d’analyse, les cookies de reconnaissance de certains visiteurs des sites web ou les cookies qui collectent des données de première, deuxième et/ou troisième partie à des fins publicitaires.

Services d’analyse : un aspect controversé dans toute l’Europe

L’aspect le plus controversé de la gestion du consentement sur les sites web concerne actuellement la nécessité ou non de services d’analyse tels que Google Analytics et, par conséquent, la question de savoir si ces services nécessitent un consentement explicite.

Dans ce contexte aussi, le débat repose sur l’article 5 paragraphe 3 de la directive ePrivacy, déjà évoqué ci-avant, qui prescrit les règles de gestion des cookies au niveau de l’UE. Deux aspects obtiennent toutefois des réponses différentes.

1. L’article 5 paragraphe 3 de la directive ePrivacy s’applique-t-il également aux technologies sans cookies, dites « cookieless » ?

• Ni la Cour fédérale de justice en Allemagne ni la Cour de justice de l’UE ne se sont encore prononcées à ce sujet au niveau européen.
• La France et le Royaume-Uni considèrent que l’article 5 paragraphe 3 de la directive ePrivacy s’applique également aux technologies « cookieless ».

2. Les services d’analyse doivent-ils être considérés comme « techniquement nécessaires » ou « strictement nécessaires » au sens de l’article 5 paragraphe 3, deuxième phrase, de la directive ePrivacy ?

• L’Allemagne ne s’est pas encore positionnée.
• La France considère les services d’analyse « inoffensifs » comme « techniquement nécessaires », mais sans expliquer clairement ce qu’il faut entendre par là.
• Le Royaume-Uni est le pays le plus strict en la matière et considère que tous les services d’analyse nécessitent un consentement explicite.

Le résultat montre que l’utilisation de services d’analyse sans consentement effectif est une question très controversée. Même si la situation n’est pas claire, l’utilisation de services d’analyse sans consentement effectif a tendance à être également déconseillée en Allemagne.

La gestion du consentement en Italie

Le 10 juin 2021, l’autorité italienne de protection des données (Garante per la protezione dei dati personali) a publié de nouvelles lignes directrices sur l’utilisation des cookies. Cette publication intervient après 6 mois de consultation publique sur le sujet des cookies.

L’objectif est d’identifier les exigences légales applicables à l’utilisation des cookies et de suggérer des solutions techniques pour mettre en œuvre correctement ces obligations et éviter les sanctions.

Quelles sont les modalités ?

Tous les sites web qui ont des utilisateurs basés en Italie sont concernés par ces nouvelles directives.

La date limite pour se mettre en conformité est fixée au 10 janvier 2022.

Les sanctions si vous ne vous conformez pas à ces nouvelles directives sont les suivantes :

• Omission ou information inadéquate : de 6000 à 36.000 euros
• Installation de cookies sans consentement : de 10.000 à 120.000 euros

Quelles sont les lignes directrices ?

1. Précision de ce qu’est un consentement et comment le recueillir

• L’acte de consentement doit être « libre, spécifique, éclairé et non ambigu ».
• Il doit y avoir une commande (par exemple un  » X « ) pour fermer la bannière sans donner son consentement à l’utilisation de cookies ou d’autres techniques de profilage en conservant les paramètres par défaut.
• Le défilement n’est pas une action positive et claire de l’utilisateur pour recueillir son consentement.
• Les cookie walls ne sont pas autorisés.

2. A propos de la bannière de cookies

• Les boutons « Accepter » et « Refuser » sont obligatoires.
• La période de stockage des données personnelles de l’utilisateur doit être spécifiée.
• La bannière doit contenir un lien vers la politique de confidentialité.
• Les utilisateurs doivent pouvoir accéder à leurs préférences de suivi et les modifier à tout moment après avoir défini leurs préférences initiales.
• Nouvelles spécifications pour l’accessibilité des informations relatives aux cookies en ce qui concerne les personnes handicapées.

3. Cookies analytiques et techniques

• Les cookies analytiques nécessitent un consentement (sous certaines conditions).
• Les cookies techniques ne nécessitent pas de consentement.

4. Validité du consentement

• Les consentements recueillis avant la publication des nouvelles lignes directrices sur les cookies, s’ils répondent aux caractéristiques requises par le règlement, sont valables tant que, au moment de leur acquisition, ils ont été enregistrés et peuvent donc être documentés.
• La bannière ne peut être montrée aux utilisateurs avant que 6 mois ne se soient écoulés depuis la collecte du consentement.

5. Preuve du consentement

• Vous devez être en mesure de prouver que le consentement a été obtenu conformément aux normes du GDPR.

Coopération européenne : Cadre de transparence et de consentement, version 2.0

Un autre cadre important pour la gestion du consentement est le TCF 2.0 de l’IAB, qui a été introduit en septembre 2020. La gestion du consentement selon ce cadre intitulé « Transparency & Consent Framework » (TCF) de l’IAB Europe fonctionne par l’imbrication étroite des finalités de traitement et des fournisseurs. Ces finalités de traitement sont décrites de façon détaillée et précise. Pour ce faire, le TCF procède par couches successives. Ainsi, la reproduction du « texte juridique intégral » est obligatoire. Selon les règles, il suffit toutefois de présenter le texte « convivial » sur un premier niveau et le « texte juridique intégral » seulement sur un deuxième niveau de la bannière de consentement. En aucun cas, il n’est possible de s’écarter des modules de texte officiels et de leurs traductions officielles.

Outre les listes pour les éditeurs, les systèmes de gestion de contenu (CMS) et les annonceurs et agences, la liste des fournisseurs du TCF 2.0 de l’IAB donne un aperçu précis des boutiques de commerce électronique concernées par le TCF 2.0. La mise en œuvre du TCF doit ainsi contribuer à améliorer la transparence dans la jungle des fournisseurs, ainsi que la conformité au RGPD. Il est toutefois important de noter que le TCF ne garantit pas à lui seul le respect du RGPD. La question de savoir si le RGPD est effectivement respecté lors de la mise en œuvre du TCF doit être examinée séparément sur le plan juridique et, le cas échéant, au cas par cas.

Le TCF 2.0 fait actuellement l’objet de nombreuses critiques. Celles-ci concernent essentiellement des exigences divergentes pour les bannières de cookies par rapport au RGPD. Vous trouverez plus d’informations à ce sujet ici.

Comme nous pouvons le voir, la situation est complexe. En tant qu’entreprise internationale, il est nécessaire de se tenir informés en permanence afin d’agir en conformité avec la protection des données sur tous les marchés et de prendre en compte les spécificités locales.

Vous souhaitez repenser votre approche de la gestion du consentement et créer une plateforme de gestion du consentement dans votre entreprise ou recevoir des propositions concrètes pour la conception de vos bannières de cookies ?

N’hésitez pas à nous contacter pour plus de renseignements !

Nous tenons à remercier Christoph Bauer d’ePrivacy GmbH pour sa coopération au cours de notre webinaire commun et de la rédaction de cet article. Article initialement publié en juillet 2021.