Vers la fin des popups de consentement des cookies ?

Nous y sommes. Depuis maintenant quelques temps, Google a déployé version 4 de son fameux logiciel de statistiques, Google Analytics. Jusqu’ici, celui-ci utilisait mémorisait l’IP des clients par défaut, et surtout “isolait” un client unique à l’aide d’un cookie “_gid”. Celui-ci tombait dans la catégorie des cookies de type donnée personnelle. Depuis sa version 4 en revanche, Google Analytics anonymise l’adresse IP des internautes en masquant le dernier morceau de celle-ci. Il n’utilise également plus le _gid, et donc n’utilise plus aucun cookie catégorisé dans les données personnelles. Alors, peut-on enfin enlever ces pop-ups désagréables ? Comme souvent, ce n’est pas si simple. Aujourd’hui, je vous donne mon opinion de webdesigner sur la question (cliquez ici pour en savoir plus)

Quels sont les cookies qui doivent être validés manuellement par l’internaute ?

Tout d’abord, il est important de comprendre que la réglementation n’oblige pas une acceptation manuelle de tous les cookies par les internautes, mais seulement de ceux qui sont considérés comme des données personnelles. Ainsi par exemple, un cookie de session qui enregistre le contenu de votre panier sur un e-commerce par exemple n’a pas besoin d’être accepté : il ne permet pas de vous différencier d’un autre utilisateur. En revanche, un cookie qui vous assigne un identifiant unique, qui permet ensuite de transmettre cette donnée à un logiciel tiers et de suivre votre comportement en vous isolant des autres internautes, est considéré comme une donnée personnelle. Il est donc important de faire la distinction, comme le souligne la CNIL dans sa section intitulée “Quels cookies nécessitent le consentement préalable des utilisateurs ?” (source). On y apprend en particulier que les cookie soumis le plus souvent à l’obligation de consentement sont ceux des réseaux sociaux, comme le pixel Facebook, et ceux liés aux publicité. Il vous est déjà arrivé de vous rendre sur un site de voiture et de vous taper trois mois de pubs de voitures par la suite sur Internet ? C’est dû à ces fameux cookies de publicités. Les cookies de mesure d’audience peuvent quand à eux ne pas avoir besoin d’acceptation à partir du moment où il ne sont pas invasifs. Ainsi, la CNIL nous explique que les cookies peuvent être exemptés de consentement sous plusieurs condition. La première d’entre elle est citée ci-après :

Avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.

Alors, dans quels cas puis-je ne pas demander de consentement au final ?

En pratique, la mesure d’audience via Google Analytics 4 ne demande donc pas d’acceptation de la part de l’internaute à partir du moment où on anonymise son adresse IP (c’est le cas par défaut) et où l’on ne partage pas les données avec Google pour un traitement de masse (ce sont des options décochées par défaut lors de la création d’un compte Google Analytics). À côté de ça, il faut en revanche faire attention aux autres composants du site. Si vous placez par exemple un pixel Facebook pour suivre en détails les résultats d’une campagne de pub facebook par exemple, vous devrez demander le consentement de vos visiteurs. Il reste encore de très nombreux logiciels tiers qui placent ainsi des cookies “non rgpd friendly” chez vos visiteurs, il faut que vous y fassiez attention. De mon côté, je préfère autant que possible faire le choix de ne pas utiliser ces technologies invasives afin de réaliser des sites aussi non intrusifs que possible. Les statistiques sont légèrement moins précises mais je trouve qu’on y gagne en expérience utilisateur et en transparence. On en a tous marre de voir ces popups nous agresser et on se demande toujours avec quelles pubs on va se retrouver en acceptant. Ceci dit, si vous souhaitez être sûr à 100% d’être dans les clous et que vous ne souhaitez pas faire attention aux technologies qu’utilise votre site, le pop-up d’acceptation reste la solution idéale. À chaque cas sa solution donc !