Analytics & co | Nicolas Taillet

Un petit concentré de +10 années d'expérience en analytics !

Adobe Collecte 

Comment exempter Adobe Analytics de consentement ?

Nicolas Taillet Aucun commentaire

Le 1er octobre 2020, la CNIL a publié une série de lignes directrices relative aux « Cookies et autres traceurs » et ses recommandations quant à leur application. Et cette fois-ci, elle compte bien réaliser des contrôles, à partir du 1er avril 2021 (on appréciera l’humour du législateur).

La plupart des sites devront donc mettre en conformité sur leur méthode de recueillement du consentement des utilisateurs. C’est le branle-bas de combat et tout le monde redoute le refus massifs des cookies.

En effet, le risque le plus évident est que les internautes prennent ombrage d’un suivi de leur parcours ou de la commercialisation de leur données et refusent purement et simplement la totalité des cookies. Ainsi, en souhaitant éviter d’horribles pratiques telles le retargeting (qui consiste à harceler les internautes en leur rappelant les produits qu’ils ont déjà acheté), les internautes pourraient également empêcher tout suivi d’audience ou A/B testing.

Tous les cookies seront prochainement soumis au choix de l’internaute. Tous ? Non ! Un petit nombre de cookies « strictement nécessaires » (au fonctionnement du site) résiste encore et toujours au consentement de l’utilisateur.

Solution #1 : de l’audace, encore de l’audace !

Cette méthode est valable pour n’importe quel type de cookie. Imaginée par Paul-Kévin et développée pendant 6 mois par une armée de freelances à 2€ de l’heure, c’est d’après lui LA solution pour éviter le refus des cookies.

Petit exemple, en situation :

En cliquant sur « Tout accepter », vous me donnerez accès à votre placard à gâteaux, vos meilleurs vins et l’historique de votre navigation privée sera publié sur Facebook et Twitter 😈

Les plus rabat-joie iront expliquer à Paul-Kévin que ça risque de froisser un ou deux utilisateurs et puis qu’il suffirait de ne pas cliquer pour exprimer son refus. Vous pouvez y aller, il ne vous entendra pas, il est sur messagerie.

Solution #2 : valider point par point les obligations

La véritable solution ne concerne que les outils de mesure d’audience et tous ne pourront pas la mettre en place. Elle consiste simplement à répondre aux exigences de la CNIL pour faire exempter votre outil de consentement.

Quels sont les outils de mesure d’audience concernés ?

Google Analytics et Facebook Analytics par exemple, sont éliminés d’emblée car les données qu’ils recueillent sont utilisées à des fins commerciales. Les deux fers de lance de l’exemption en France sont Piwik et AT Internet, mais ce ne sont pas les seuls outils à pouvoir bénéficier de l’exemption.

A ce titre, Adobe Analytics est un excellent candidat car les données collectées appartiennent exclusivement au client qui met en place la solution.

Quelles sont les critères à suivre obligatoirement ?

En réalité, seuls 4 critères sont obligatoires :

1. Servir uniquement à produire des données statistiques anonymes

C’est l’obligation la plus simple et la plus évidente : dans le cadre de la production de rapports et d’analyse des parcours, nous n’avons aucune utilité à suivre individuellement les visiteurs. Avant que l’on commence à légiférer, cette pratique était de toute façon interdite par l’éthique (oui oui) du métier.

2. Avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application, pour le compte exclusif de l’éditeur

Là aussi, c’est assez simple : si vos données analytics vous servent uniquement à comprendre comment vos visiteurs interagissent avec votre site ou votre application mobile, vous êtes toujours candidat à l’exemption. Si vous partagez vos données avec des tiers (3rd-party data), c’est le retour au consentement sans passer par la case départ.

3. Ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web

Ici aussi, tout dépend de votre configuration. Le cross-domain, c’est basique, mais on doit l’abandonner pour être exempté de consentement. Idem pour le cross-device, qui est pourtant lui aussi extrêmement riches en enseignements. A mon sens, c’est une des obligations qui font le plus mal.

4. Ne pas conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers

Adobe Analytics est souvent la pierre angulaire de l’échange de données entre les solutions Adobe, comme par exemple dans le cas du partage d’audience à destination de la DMP, de l’A/B testing ou de Campaign. On s’en sert également parfois pour alimenter des bases de données communes avec la base client (le big data, me souffle Paul-Kévin). Et c’est aussi un excellent réceptacle de données, pourvu qu’on trouve une clé de réconciliation (ex : avec un ID client, on peut importer les produits possédés et faire de la personnalisation des pages).

Ainsi, si vous utilisez uniquement les données Adobe Analytics pour vos rapports, vous pourrez bénéficier de l’exemption. Si vous utilisez des customer attributes, les data feeds, les data sources… c’est raté !

Mais la liste des critères me semblait plus longue, non ?

En dehors de la série de lignes directrices que j’évoque plus haut, la CNIL a émis des recommandations qu’elle encourage à suivre. Si je recommande volontiers d’en suivre certaines, afin de démontrer qu’on ne s’est pas contenté du minimum syndical, d’autres paraissent totalement hors de propos.

Recommandations à suivre

  • Informer les utilisateurs de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile.
    Les utilisateurs (et la CNIL) apprécieront cet effort de transparence. Cela évitera par ailleurs d’être cloué au pilori si des internautes un peu virulents s’offusquent, quand bien même vous seriez dans votre droit.
  • Réexaminer périodiquement les durées de vie et de conservation des cookies afin d’être limitées au strict nécessaire.
    Toujours dans l’optique de montrer sa bonne foi à la CNIL, il est assez simple de consacrer quelques heures chaque année au réexamen des cookies utilisés sur le site.

Recommandations à éviter

  • Limiter la durée de vie des traceurs à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites.
    En analytics, on apprécie pouvoir étudier les variations de comportement. A ce titre, imposer ces limites nuirait forcément à la véracité statistiques des données.
  • Conserver les informations collectées par l’intermédiaire de ces traceurs pour une durée maximale de vingt-cinq mois.
    En gros, suivre cette recommandation (en plus de l’obligation de ne pas transférer vos données sur un autre système) vous empêcherait définitivement de comparer les performances de votre site sur plus de 2 ans ou encore de réaliser des prévisions fines.

Documentation

En résumé

Les directives de la CNIL ne sont pas simples à suivre, mais cherchent à protéger l’utilisateur, nous y compris. Ce court article m’aura permis d’exposer qu’il existe des solutions pour essayer de diminuer les dégâts et que certains articles que l’ont voit fleurir sur le net et particulièrement sur Linkedin sont souvent incomplets.
De mon côté, je suis désormais à jour sur la collecte de votre consentement… tant pis pour mes pauvres données Google Analytics 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *