Entré en vigueur le 25 mai 2018, le RGPD vise entre autres à “redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises”, selon le Conseil Européen. Il apparaît donc normal que le consentement, permettant de conférer aux individus ce contrôle, constitue l’un des points fondamentaux de cette réglementation récente. Les entreprises doivent ainsi se conformer à de nouvelles contraintes pour collecter et traiter légalement les données personnelles dans des buts commerciaux ou analytiques. C’est en particulier valable pour les sites internet.
Si un grand nombre d’entre eux joue le jeu, il en reste une proportion importante qui font à peine le minimum, voire moins. C’est ce que dévoile une étude menée par Converteo sur 100 sites internet français, révélant que 67 % des sociétés ont adopté un Privacy Center (module permettant aux utilisateurs de définir précisément leurs consentements), et que 86 % d’entre elles possèdent un bandeau cookie convenablement intégré. 18% sont même allées jusqu’à implémenter un Cookie Center.
Cependant, 38 % des organisations ne demandent pas de consentement et ne proposent pas d’information apparente au sujet du traitement des données personnelles collectées, tandis que 44 % évoquent l’intérêt légitime comme justification, une des 5 autres bases juridiques permettant le traitement de données personnelles.
Le consentement n’est donc demandé à des fins de prospection commerciale que dans 30 % des cas, de personnalisation que dans 16 % des cas, et d’analyses uniquement dans 2 % des cas… Des chiffres qui dénotent tout de même une évolution favorable par rapport à 2017.
La seule mesure observée concernant les internautes de moins de 16 ans (âge à partir duquel il est possible de consentir seul selon le RGPD, mais ayant été abaissé à 15 ans en France) est la restriction de la création et de l’utilisation d’un compte, qui n’est réalisée que par 44 % des sites.

Le Baromètre IAB France de décembre 2018, lui, se concentre sur les 100 premiers sites de médias français (selon la liste dressée par l’ACPM). Parmi eux, 56 % ont adopté une consent management platform valide (module s’affichant lors de la première visite d’un site, afin de collecter les consentements de l’internaute), contre 48 % en novembre, et 39 % en octobre, d’importants progrès en peu de temps donc.

Si tous les sites sont encore loin de recueillir les consentements de leurs visiteurs conformément à la loi, il est aisé d’observer de nettes améliorations, parfois provoquées par la CNIL…

Cas pratiques de recueils : préventions et précisions

L’autorité administrative n’a récemment pas hésité à mettre en demeure trois entreprises de publicité programmatique dont les recueils des consentements n’étaient pas conformes au RGPD : Teemo, Singlespot et Vectaury. Les mises en demeure des deux premières furent clôturées, mais celle de la troisième, plus récente, est encore en cours à l’heure de la publication de cet article.
Dans le but d’effectuer des ciblages publicitaires, ces trois sociétés utilisent des kits de développement (SDK) intégrés dans les applications mobiles de leurs partenaires afin de collecter les données personnelles des utilisateurs.
Parmi les griefs qui leur furent reprochés :
– les informations relatives à la collecte et au traitement des données personnelles n’étaient accessibles qu’après l’installation des applications et du SDK.
– Si une application déjà installée sur un smartphone se voyait intégrer le SDK, celui-ci était installé à l’insu de l’utilisateur.
– Les informations concernant les conséquences de refus de consentement, les finalités des traitements, les sociétés traitant les données et les partenaires avec lesquels elles étaient partagées étaient beaucoup trop vagues et les indications plus précises étaient difficilement accessibles lorsqu’elles existaient.
– Le consentement pour le SDK était nécessaire à l’utilisation des applications, alors que la collecte des données n’était pas nécessaire à leur fonctionnement.
– Les utilisateurs ne pouvaient d’abord donner leur consentement que de manière globale pour tous les traitements effectués, sans en connaître les diverses natures. La possibilité de préciser les choix selon les traitements n’apparaissait qu’ultérieurement.
Vectaury avait précisé au sein de ses contrats établis avec ses partenaires l’obligation de collecter les consentements pour chaque finalité, mais cette précaution n’était clairement pas suffisante pour la CNIL.

Des cas qui constituent donc une piqûre de rappel des caractéristiques et nécessités d’un consentement valide, notamment l’obligation de fournir des informations détaillées au sujet de chaque traitement de données personnelles, et le fait de devoir permettre aux utilisateurs de donner sciemment leur consentement pour chacun d’entre eux.

Le consentement du côté des utilisateurs

Selon une étude d’Opinion Way, si 72 % des Français acceptent les politiques de confidentialité et de cookies des sites visités sans les lire, 86 % pensent que les entreprises exploitent les données personnelles de leurs utilisateurs sans leur consentement. Ils ne sont d’ailleurs que 38 % à estimer que les entreprises laissent le choix à leurs clients au sujet de celles qu’elles collectent. Un ressenti général qui n’est donc pas très positif…

Le Baromètre Privacy réalisé par Commanders Act permet de fournir des informations plus précises à propos des réactions des Français face aux demandes de consentement. Il s’agit d’une étude qui s’appuie sur l’analyse du comportement de 10 450 000 internautes, et qui révèle qu’ils visualisent environ 1,8 fois les messages de consentement avant d’effectuer leur choix, une décision qui est donc prise dès sa première visualisation. Rares sont ceux qui s’y intéressent plus précisément, puisqu’ils ne sont que 0,1 % à atteindre les pages permettant le paramétrage des cookies, et seulement 0,07 % à s’informer sur les pages exposant les démarches de modification des paramètres d’acceptation dans le navigateur.

Le rapport indique également que trois techniques de collecte des consentements sur les sites internet induisent chacune des résultats différents :
– le consentement strict, prenant la forme d’un message et d’un bouton “Accepter” dès l’entrée sur le site, permet d’aboutir à un taux d’acceptation de 28 %.
– Le consentement soft, collecté dès que l’internaute atteint une deuxième page du site, menant à 69 % d’acceptation.
– Le consentement super soft, collecté dès qu’il fait défiler la première page, pour l’instant autorisé bien que contestable, et qui sera probablement prohibé par la prochaine directive ePrivacy. Il entraîne en moyenne 78 % d’acceptation.

Ces taux atteignent par ailleurs 56 % sur PC, 59 % sur mobile, et 76 % sur tablette. Des variations que le rapport explique par la différence de la taille des pop-in de consentement selon les supports, ceux-ci étant bien plus grands sur mobile et tablette. Il semblerait effectivement que les internautes préfèrent lorsqu’ils sont bien visibles et se distinguent du site, à condition qu’ils ne masquent pas entièrement son contenu.

Même si les Français ont une opinion plutôt négative du traitement généralement fait par les organisations de leurs données personnelles, ils s’avèrent favorables à leur utilisation en consentant dans la majorité des cas, et paraissent privilégier la clarté et la transparence.
Parallèlement, malgré les efforts globaux des entreprises pour proposer des demandes de consentement conformes, beaucoup ne sont pas au point, ou pourraient s’améliorer.
Elles y gagneraient certainement en tout cas, alors que la CNIL n’hésite pas à réprimander les manquements au RGPD concernant ce point, et que la directive ePrivacy viendra apporter quelques précisions dans un futur proche.
Étant donné ce contexte, et face à une véritable méfiance croissante des consommateurs ainsi qu’à un rejet de leur part des démarches de prospection commerciale classiques, les sociétés auraient tout intérêt à se diriger vers un marketing “positif”.
Informer les clients, leur donner véritablement le choix, leur proposer en toute transparence de fournir leurs données et préférences afin de s’adapter à leurs attentes et de personnaliser produits et offres, bref : se différencier en se montrant digne de leur confiance. Fair&Smart peut vous y aider grâce à ses solutions premium de recueil des consentements et d’échanges de données sécurisés.