Depuis le RGPD, nous avons tous vu fleurir sur le web ces fameuses bannières nous priant d’accepter les cookies pour continuer notre visite. Et forcément, on s’est posé des questions : Et sur mon site, je dois en mettre une aussi ? Mais qu’est-ce que ça change ? Doit-je avoir peur des cookies ? En 2022, est-il encore possible de suivre le trafic sur son site et de mesurer la performance de ses campagnes ? On fait le point !
Dans cet article, nous verrons :
- Les cookies web : définition et usage
- Cookies, RGPD et CNIL : ce que dit la loi
- Qu’est-ce que ça change pour les propriétaires de site ?
- Avec Plezi, pas besoin d’accepter les cookies !
- Pour résumer : en 2022, comment utiliser des cookies et être en règle ?
- Les cookies ont-ils un avenir ?
- Quelles alternatives aux cookies pour les entreprises ?
1. Les cookies web : qu’est-ce que c’est et à quoi ça sert ?
Pour comprendre de quoi il retourne, revenons aux fondamentaux : qu’est-ce que c’est un cookie ? À quoi ça sert ?
Un cookie, c’est quoi ?
Tout d’abord, mettons fin aux fantasmes qui circulent à ce sujet : non, un cookie ne peut pas aspirer vos données personnelles. Ce n’est ni un virus informatique, ni un espion.
Un cookie, c’est un petit fichier que votre navigateur web enregistre sur votre ordinateur (ou votre mobile) lorsque vous visitez un site. Il est associé au nom de domaine de ce site (par exemple, plezi.co). Il possède un nom, un contenu, une date de création et une date d’expiration. Lorsque vous allez retourner sur ce site, le serveur va être capable d’interroger votre cookie et de lire les informations qu’il contient, pour vous reconnaître.
Les cookies ont donc plusieurs utilités fondamentales :
- consulter la taille de votre écran ou votre navigateur pour vous afficher une version du site adaptée ;
- mémoriser vos identifiants pour que vous n’ayez pas besoin de vous connecter à chaque visite ;
- mémoriser certains de vos choix : par exemple, la langue d’affichage d’un site ;
- comptabiliser les visites faites sur un site et les pages vues (ce que l’on appelle les statistiques d’audience)
Imaginons que vous visitiez un site e-commerce, commenciez à faire des achats, et que vous fermiez la page web en cours. Si vous retournez sur le même site le lendemain, votre panier aura été sauvegardé, même si vous n’êtes pas connecté sur le site : c’est grâce à un cookie.
Cookies et données personnelles
Jusqu’ici, pas de quoi fouetter un chat ! Alors pourquoi fait-on toute une histoire avec ces fameux cookies ? En quoi cela pose-t-il un problème de confidentialité ?
En fait, tout dépend de l’usage qui est fait de ces fameux cookies et notamment, des potentiels recoupements avec vos données personnelles.
Les cookies dits “essentiels”, qui ne servent qu’au bon fonctionnement du site et à l’enregistrement de statistiques d’audience anonyme, ne posent aucun problème de confidentialité : ils peuvent être enregistrés sans votre accord.
En revanche, si un cookie enregistre des informations recueillie sur votre sexe, votre âge, votre localisation géographique ou vos préférences alimentaires, et qu’un site s’en sert pour vous envoyer de la publicité personnalisée, là, on sort du caractère “essentiel”. Et si un cookie permet de vous identifier personnellement grâce à votre adresse IP, n’en parlons même pas !
C’est pour cela que le RGPD a mis en place un cadre plus contraignant pour la collecte des données en 2018, en imposant le consentement des utilisateurs pour l’enregistrement des cookies dits “marketing”.
Cookies internes et cookies tiers
La plupart du temps, les questions de confidentialité ne viennent pas des cookies internes, ou “first-party” cookies, qui sont directement déposés sur votre ordinateur par le site que vous visitez.
Ce qui complique les choses, ce sont les cookies tiers (ou “third-party” cookies) : des cookies déposés par un autre domaine que celui du site que vous êtes en train de visiter.
Exemple de cookie tiers : Vous lisez un article de presse qui embarque une vidéo hébergée sur Youtube. Youtube va déposer sur votre ordinateur un cookie, qui lui permettra de savoir que vous avez vu cette vidéo, et se servir de cette information pour vous proposer du contenu similaire lorsque vous vous rendrez à nouveau sur le site de Youtube.
Les cookies tiers sont généralement utilisés par les réseaux sociaux et les plateformes publicitaires. Ils permettent à ces plateformes de vous suivre à travers le web et de constituer, au fil de vos visites, une sorte de carte d’identité qui répertorie vos goûts et vos habitudes, avec un seul objectif : vous proposer des publicités et contenus toujours plus personnalisés.
Comment savoir si un site utilise des cookies ?
Si vous utilisez le navigateur Chrome, c’est très simple. Cliquez sur le cadenas à côté de la barre d’adresse : vous pourrez alors voir tous les cookies déposés par un site web sur votre terminal. Vous pouvez aussi les supprimer si vous le souhaitez.
Sur la capture d’écran ci-dessus, vous pouvez voir les cookies déposés par le site lemonde.fr. On y retrouve bien les cookies “first-party”, déposés par le domaine lemonde.fr, et les cookies “third-party”, utilisés par les régies publicitaires.
2. Cookies, RGPD et CNIL : ce que dit la loi
Les cookies sont-ils interdits par la loi ?
Pas du tout ! Ni les cookies publicitaires, et encore moins les cookies essentiels. En revanche, leur utilisation est soumise à un certain nombre de règles.
La règle de base : le consentement de l’utilisateur
Les législations française et européenne ont mis en place, progressivement, un cadre légal pour encadrer l’utilisation des cookies et d’une manière générale, la collecte et l’utilisation des données personnelles des internautes.
Il est assez compliqué de s’y retrouver pour un novice, car le RGPD, adopté à l’échelle européenne, est complété par des spécificités du droit français, que l’on retrouve dans la loi “Informatique et Libertés” de 1978, revue en 2019. N’oublions pas la directive européenne e-privacy de 2002, qui a évolué en 2021 et précise la réglementation, notamment en matière de gestion des cookies.
La CNIL, chargée de faire respecter la loi en France sur tout ce qui touche à la confidentialité des données personnelles, résume ce que vous devez retenir de la façon suivante :
- Un consentement explicite de l’utilisateur est obligatoire pour pouvoir déposer des cookies sur son ordinateur ou son mobile ; c’est-à-dire qu’informer l’internaute que “Ce site web utilise des cookies” ne suffit pas : il doit cliquer sur “Accepter” pour que les cookies soient générés ;
- L’internaute doit pouvoir retirer ou modifier son consentement à tout moment.
- Sur une bannière de consentement, il doit être aussi facile de refuser que d’accepter les cookies ;
- L’internaute doit être informé de la finalité des cookies mis en place, et de leur origine, notamment lorsqu’ils viennent d’un site tiers (Google, Facebook…).
C’est pour cela que vous retrouvez dorénavant, sur la majorité des sites web, ces fameuses “bannières de consentement”. Qui ont des formats très variés… et qui respectent plus ou moins la loi.
On en reparlera un peu plus loin : il faut noter que la présence d’une bannière de consentement ne garantit pas leur efficacité. Si la gestion des cookies est mal paramétrée, les bannières ne servent à rien !
Les bannières de consentement : dans quel cas peut-on s’en passer ?
Comme on l’a vu, il y a cookie et cookie. Certains cookies sont considérés comme “essentiels”, et peuvent donc être utilisés sans avoir recueilli le consentement de l’internaute.
Quels sont les cookies exemptés de consentement ?
- les cookies qui enregistrent le choix des internautes sur leur acceptation ou non des cookies (logique 😁)
- les cookies qui permettent l’authentification des utilisateurs
- les cookies visant à garder en mémoire le panier d’achat d’un internaute ou à facturer les produits achetés
- les cookies de personnalisation de l’interface (choix de la langue, taille de l’écran…)
- les cookies permettant aux sites payants de limiter l’accès gratuit à certains contenus seulement (par exemple, sur les sites de presse, lorsque vous avez droit à 5 articles gratuits dans le mois)
- certains cookies de mesure d’audience.
Relisez la dernière ligne : oui, vous avez bien lu, vous pouvez mesurer l’audience de votre site sans mettre en place de bannière de consentement !
C’est une bonne nouvelle, car la mise en place d’une bannière de consentement est problématiques à plusieurs niveaux, pour un éditeur de site qui souhaite juste obtenir des statistiques classiques et anonymes (nombre de visiteurs, pages les plus vues…) :
Les bannières de consentement détériorent l’expérience utilisateur
Si la collecte de statistiques est conditionnée au consentement de l’internaute, les statistiques seront fausses, car elles ne tiendront pas compte de tous les utilisateurs qui refusent les cookies !
Mais pour pouvoir être exempté de consentement, un outil de suivi d’audience doit respecter certaines règles, et notamment les suivantes :
avoir une finalité strictement limitée à la mesure de l’audience
produire des données anonymes
ne pas conduire à un recoupement de données et ne pas transmettre ces données à des tiers
ne pas permettre le suivi de l’internaute sur plusieurs sites différents
Pour pouvoir se passer d’une bannière de consentement, il faut donc utiliser un outil de suivi du trafic qui se conforme à ces règles.
Le cas Google Analytics : pourquoi la CNIL le considère non conforme
Et c’est là où le bât blesse : aujourd’hui, la majorité des sites web utilisent Google Analytics pour le suivi de l’audience. Et pour utiliser Google Analytics sur son site, il est nécessaire de recueillir le consentement des internautes.
Pourquoi ? Parce que Google Analytics ne se contente pas de collecter des données anonymes, pour le seul compte du propriétaire du site. Lorsque vous envoyez des données à Google Analytics, Google les utilise et les croise avec les données recueillies par des millions d’autres sites internet pour améliorer son ciblage publicitaire.
Récemment, la CNIL est allée plus loin : avec ses homologues européens, elle a affirmé que l’utilisation de Google Analytics n’était pas conforme avec la législation, pour une raison très simple : les données des internautes collectées par cet outil sont transférées aux Etats-Unis, en violation des articles 44 et suivants du RGPD.
C’est pourquoi la CNIL recommande aux propriétaires de sites français d’opter pour une autre solution que Google Analytics.
3. Qu’est-ce que ça change pour les propriétaires de site ?
Maintenant, qu’est-ce que ça change pour votre site web ?
C’est simple : dès lors que votre site web dépose des cookies qui ne respectent pas les critères d’exemption du consentement, vous êtes dans l’obligation de mettre en place une bannière de consentement conforme à la loi.
C’est donc le cas notamment si :
- vous utilisez Google Analytics
- vous avez mis en place sur votre site un code de suivi pour tracer les conversions issues de vos campagnes publicitaires (sur Facebook, Instagram, Twitter, LinkedIn, Google Ads…)
- Vous affichez des publicités sur votre site
- Vous avez mis en place des campagnes de retargeting (affichage de publicités personnalisées aux visiteurs après qu’ils aient visité votre site)
- etc.
Il existe de nombreux outils sur le marché pour mettre en place une bannière de consentement, mais attention : ce n’est pas si facile à mettre en place.
Ces outils permettent d’ajouter une bannière sur votre site et de gérer le consentement, mais ils ne font pas tout. C’est à vous de faire en sorte que concrètement, les cookies ne soient pas créés lorsque le visiteur du site refuse le suivi. Cela nécessite donc une intervention sur le code de votre site web ou, a minima, une configuration via un gestionnaire de balises, qui peut s’avérer assez complexe.
Si vous utilisez Google Analytics et que vous avez mis en place une bannière de consentement qui fonctionne, vous verrez par vous-même vos statistiques de trafic chuter brutalement. Les analyses empiriques montrent qu’après la mise en place d’une bannière de consentement conforme, le trafic enregistré est divisé par 3 en moyenne.
Car c’est un fait : la majorité des utilisateurs, quand on leur donne le choix, préfère cliquer sur “Refuser” que sur “Accepter”.
Vous vous baserez donc sur des données partielles, lorsque vous voudrez évaluer l’évolution de la popularité de votre site et la pertinence de votre stratégie de contenu.
4. Avec Plezi, pas besoin d’accepter les cookies !
Vous souhaitez une solution simple pour suivre le trafic sur votre site, sans vous encombrer d’une bannière de consentement ? Choisissez Plezi !
Plezi permet de suivre l’essentiel des statistiques utiles sur votre site, sans pour autant recueillir le consentement des internautes.
Comment ça se fait ?
Les cookies déposés par Plezi sont exemptés de consentement. Il permettent un suivi de l’audience de votre site, de façon 100% anonyme, puisque l’adresse IP de l’utilisateur n’est pas associée à ses visites. Les données collectées ne font l’objet d’aucun croisement : si deux sites X et Y utilisent Plezi pour suivre leur trafic, il n’y a aucun moyen de faire le lien entre un visiteur du site X et un visiteur du site Y.
Ajoutons que Plezi respecte les recommandations de la CNIL en termes de durée de conservation des cookies :
- Les cookies liées aux visites sont conservés seulement 30 minutes
- Les cookies liés aux visiteurs sont conservés 13 mois
Ainsi, avec Plezi, vous avez l’esprit tranquille : pas besoin de mettre en place une bannière de consentement sur votre site, ni de vous soucier du paramétrage de celle-ci.
Attention, se passer du consentement ne dispense pas d’informer les utilisateurs.
Il est donc capital d’intégrer dans votre politique de confidentialité un paragraphe expliquant la mise en œuvre de ces cookies et leur finalité.
On conseille également de remplacer la bannière de consentement par une simple bannière d’information, avec un lien vers votre politique de confidentialité.
5. Pour résumer : en 2022, comment utiliser des cookies et être en règle ?
De votre côté, que devez-vous faire pour dormir sur vos deux oreilles ?
Il y a deux cas de figure :
Cas 1 : votre site dépose des cookies tiers et / ou non essentiels
Dans ce cas, vous devez absolument mettre en place une bannière de consentement qui respecte les règles suivantes :
- Aucun dépôt de cookie tant que le consentement n’a pas été enregistré
- Bouton “Refuser” aussi visible que le bouton “Accepter”
- Information sur la finalité de chaque cookie
- Possibilité de retirer son consentement à tout moment
Attention : à partir du moment où vous mettez en place de type de bannières, les données collectées seront beaucoup moins fiables et complètes, parce que les internautes vont en partie refuser les cookies.
Mais de toute façon, de nombreux navigateurs et extensions de navigateurs bloquent ces fameux cookies tiers, donc même sans bannière de consentement, vos données sont sans doute déjà faussées !
Si vous ne souhaitez ou ne pouvez pas mettre en place cette bannière, alors il faut retirer de votre site web les fonctionnalités et scripts qui génèrent des cookies tiers ou non essentiels :
- Pixels de suivi des audiences et des conversions (Facebook, LinkedIn, Twitter…)
- Vidéos embarquées depuis Youtube ou d’autres plateformes
- Boutons de partage sur les réseaux sociaux qui envoient des données vers ces plateformes
- Outils de tracking divers (Google Analytics, Hotjar…)
Cas 2 : votre site n’utilise que des cookies exemptés de consentement
Si vous utilisez une solution de suivi du trafic conforme aux recommandations de la CNIL et au RGPD, comme Plezi, et que les données collectées sont 100% anonymes : alors pas de souci, vous pouvez vous passer de bannière de consentement, et en plus, cerise sur le gâteau : vos données seront fiables !
Prenez tout de même en compte les recommandations suivantes :
- Google Tag Manager : Si vous avez mis en place le script de suivi de votre solution de suivi d’audience avec Google Tag Manager, prenez garde : il est bloqué par certains navigateurs comme Brave. Ainsi, une partie des visites sur votre site ne seront pas comptabilisées.
- Scripts divers : Vérifiez bien les cookies générés par votre site web, vous aurez peut-être des surprises ! Peut-être qu’un script mis en place il y a quelques années traîne toujours dans un coin et génère des cookies tiers dont vous n’avez pas l’usage.
- Politique de confidentialité : Soignez-bien votre politique de confidentialité : comme on l’a dit précédemment, vous êtes dans l’obligation d’informer les visiteurs sur les cookies déposés par votre site sur leur ordinateur, même si ce sont des cookies essentiels.
6. Les cookies ont-ils un avenir ?
Vous l’aurez compris, utiliser des cookies, et notamment des cookies tiers, pour analyser son audience et mettre en place des campagnes de publicité ciblées va devenir de plus en plus compliqué.
Recueillir le consentement des visiteurs de votre site est devenu obligatoire pour la plupart des cookies, ce qui impacte la fiabilité et l’exhaustivité des données recueillies. Cela pose des problèmes, notamment lorsque les parcours utilisateurs sont complexes et multicanaux.
En effet, les cookies ont l’avantage d’identifier précisément les utilisateurs, et ainsi, d’être capable de suivre les différentes étapes qui les conduisent à visiter votre site web : un internaute peut venir une première fois sur votre site depuis une recherche Google, revenir une semaine plus tard en cliquant dans un email, puis 3 jours plus tard en cliquant sur une publicité…
Si l’on n’est pas capable de l’identifier via un cookie, on risque de considérer ces visites comme 3 visiteurs distincts, ce qui rend plus difficile l’analyse de la performance de vos campagnes marketing.
De plus, certains cookies sont déjà bloqués par les navigateurs comme Safari, Firefox ou Brave. Google, de son côté, a annoncé que son navigateur Chrome ne prendrait plus en charge les cookies tiers à partir de 2023.
Enfin, les extensions de navigateurs appelées Ad Blockers, mis en place à l’origine pour bloquer l’affichage des publicités sur Internet, permettent d’ores et déjà à de nombreux internautes de bloquer les cookies et de masquer les bannières de consentement sur Internet.
7. Quelles alternatives aux cookies pour les entreprises ?
Alors, quelles sont les alternatives à ces fameux cookies ?
- Pour le suivi de l’audience, les solutions comme Plezi One utilisant uniquement des cookies “first-party” sont d’ores et déjà une alternative aux solutions comme Google Analytics utilisant des cookies tiers.
- Certaines solutions de tracking appelées “cookieless” utilisent des technologies alternatives aux cookies pour identifier les utilisateurs. Google a commencé, avec sa nouvelle version Google Analytics 4, à mettre en place des technologies basées sur le machine learning pour compenser les faiblesses liées à la non-acceptation des cookies par les internautes. Tout cela reste encore exploratoire, et des progrès restent encore à faire.
L’ère des cookies tout puissants est dans tous les cas révolue. Il est fini, le temps où chacun partageait sans limite l’intégralité de sa vie numérique avec les GAFAM. Ainsi, les professionnels du ciblage publicitaire vont devoir changer de stratégie et trouver de nouvelles solutions pour continuer à proposer des campagnes performantes.
C’est une bonne chose, pour la confidentialité de nos données personnelles et pour restaurer la confiance des utilisateurs. Cela nous oblige à mettre en place de réelles stratégies customer centric pour attirer et convertir nos prospects.
Au lieu de compter uniquement sur la publicité pour générer du trafic sur un site, il est plus que jamais vital de recourir à une stratégie de contenu qualitative, centrée sur les attentes des prospects. Diversifier nos canaux d’acquisition, constituer une base d’emails de prospects consentants et intéressés par nos services, proposer des contenus à réelle valeur ajoutée : voilà ce qui nous permettra de continuer à interagir avec les internautes de façon durable !