GDPR et le Web Analytics Tracking (comme Google Analytics)
Après m’être intéressé au consentement dans le cadre du marketing (digital), je vous propose de me pencher, en souplesse, sur les conséquences du Règlement général sur la protection des données (RGPD, ou GDPR en anglais) sur les outils d’analyse de trafic web, comme Google Analytics. Ces outils sont extrêmement répandus, en particulier celui de Google.
NB. Ce blog utilise un système d’analyse (Matomo) qui ne vous piste pas et respecte votre vie privée. Plus d’information ici.
Comment fonctionne un outil d’analyse de trafic web ?
Le but de l’analyse du trafic web sur un site est de collecter des informations sur la manière dont se comportent les internautes qui visitent un site (les visiteurs) ou utilisent un service (les utilisateurs). Ces informations ne sont pas seulement utilisées dans ce but : elles servent aussi à réaliser des enquêtes, des études de marché, ou à améliorer l’efficacité d’un site ou service. Bien évidemment, lorsque cette analyse est jumelée à des campagnes publicitaires, elle sert aussi à en déterminer l’impact. Autrement dit, et de manière un peu réductrice, l’outil analyse la popularité du site ou service auprès d’un public.
Il existe plusieurs méthodes pour procéder à cette analyse de trafic. La plus courante est celle qui revient à ajouter un peu de code (JavaScript, en général) à toutes les pages d’un site : de cette manière, à chaque chargement de page, à chaque clic, voire à chaque mouvement de souris, ce code va communiquer des informations à un serveur sur lequel l’outil d’analyse est installé. Les données collectées comprennent en principe des informations sur l’appareil utilisé et sa configuration, le niveau de sa batterie s’il en a une, le navigateur web et sa configuration, la langue du visiteur, le fuseau horaire, l’adresse IP, l’historique de navigation, etc.
Autant d’informations qui, bien que n’étant pas toutes personnelles au sens de la loi, permettent, une fois combinées, de suivre une personne à la trace à travers plusieurs sites. Facebook est un exemple intéressant et symptomatique : c’est grâce à ses boutons Like qu’il peut suivre n’importe quel internaute à la trace sur tous les sites web qui ont ajouté ces boutons sur leurs pages, même s’il ne clique pas sur ce bouton, et même s’il n’est pas utilisateur du réseau social. Le simple fait que le bouton soit chargé par le navigateur suffit à transmettre des informations. Pour (tenter de) s’en prémunir, des plugins pour navigateur existent.
Le droit applicable en Europe
En raison de ce qui précède, on voit partout des bandeaux nous informant qu’en poursuivant notre navigation, nous acceptons l’utilisation des cookies à des fins statistiques et de personnalisation. Les cookies sont de petits fichiers installés par les sites et services sur vos appareils. Ils servent par exemple à maintenir une connexion à un compte, à se souvenir de votre panier d’achats, etc. Mais ils peuvent aussi servir à pister un internaute et à transmettre des informations sur son comportement et ses habitudes en ligne dans un but d’analyse et de suivi publicitaire.
Le GDPR sera applicable à partir du 25 mai 2018. Concernant les cookies, le considérant 30 du GDPR dispose que
les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (“cookies”) ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
La présence des bandeaux susmentionnés vise à recueillir le consentement des visiteurs pour traiter des données personnelles et/ou les suivre à la trace. Pour rappel, avec le GDPR, le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. (En ce qui concerne le consentement et le GDPR, voir cet article.)
Un nouveau règlement, qui remplacera la directive 2002/58/CE devrait bientôt voir le jour dans l’Union européenne. La version du mois de janvier 2017 de ce projet de règlement (ePrivacy Regulation) prévoit que
l’acte [par lequel le visiteur consent au traitement de données] peut être considéré comme positif, par exemple, si les utilisateurs finaux sont tenus de sélectionner volontairement l’option “accepter les cookies de tiers” pour confirmer leur consentement et s’ils reçoivent les informations nécessaires pour effectuer leur choix. À cette fin, il y a lieu d’imposer aux fournisseurs de logiciels permettant d’accéder à Internet l’obligation de faire en sorte qu’au moment de l’installation, les utilisateurs finaux soient informés de la possibilité de choisir leurs paramètres de confidentialité parmi les diverses options proposées et soient invités à opérer un choix.
Dans son avis de 2013, le Groupe de travail Article 29 (G29) indiquait que le consentement doit être donné avant que le traitement de données ne commence, c’est-à-dire avant que les cookies ne soient installés et/ou lus. Or, comme le montre cette vidéo que j’avais réalisée en 2016, des cookies sont installés sur votre appareil dès votre entrée sur un site, avant que vous n’ayez lu une quelconque politique de confidentialité, avant même que vous n’ayez pu donner votre consentement. Comme c’est la continuation de la visite sur le site qui “légitime” l’utilisation de cookies, le simple affichage d’une page (en cliquant sur un lien depuis un autre site par exemple) puis la fermeture de ladite page ne permettent pas d’utiliser des cookies.
Pour plus de détails concernant cette vidéo, voir cet article.
Web tracking et GDPR : ce qu’il faudrait faire
Les réglages des navigateurs web donneront (en principe) une indication sur le consentement ou le refus du visiteur de voir des cookies être installés sur son appareil. Ainsi, il sera sans doute possible de se passer d’une information du visiteur s’il a procédé à la configuration de son navigateur et qu’il a, par ce biais, donné son consentement à l’utilisation de cookies. Cette possibilité ne sera en principe ouverte qu’aux cookies qui sont strictement nécessaires et proportionnés à l’objectif légitime de permettre l’utilisation d’un service spécifique expressément demandé par l’utilisateur final. Autrement dit, les cookies de tracking sont exclus de cette possibilité.
Si plusieurs types de cookies sont utilisés (ceux qui sont nécessaires au fonctionnement du site, et ceux qui traquent le visiteur), une information sera donnée au visiteur, qui devra donner son consentement. Le GDPR précise que lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.
L’information donnée à l’internaute devra évidemment être compréhensible par tout un chacun. Les conditions générales longues et illisibles seront prohibées en matière de protection des données puisque l’information doit être concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples.
Le visiteur doit enfin avoir la possibilité de changer d’avis et de retirer son consentement après qu’il l’a donné.
Enfin, et surtout, les cookies de tracking (à l’exception des cookies nécessaires au fonctionnement du site) ne pourront pas être installés ou utilisés dès que le visiteur arrive sur le site puisqu’il n’aura pas encore pu décider s’il accepte ou refuse ces cookies. En outre, immédiatement après être arrivé sur le site, le fait de cliquer sur le bandeau d’information menant à la politique de confidentialité ne peut pas être considéré comme une “continuation de la visite” qui légitimerait l’installation de cookies, puisque le visiteur va précisément se renseigner avant de donner son consentement.