Fermer

mars 1, 2021

Consentement aux cookies pour les concepteurs et les développeurs


En tant que praticiens du numérique, le RGPD a eu un impact sur toutes les facettes de notre vie professionnelle et personnelle. Que vous soyez accro à Instagram, envoyez un message à votre famille sur WhatsApp, achetez des produits sur Etsy ou sur Google, personne n'a échappé aux règles introduites en 2018.

La semaine dernière je vous ai fait le point sur tout c'est arrivé avec le RGPD depuis 2018. (TL; DR: Beaucoup de choses ont changé.) Dans cet article, nous examinerons le consentement aux cookies: en particulier, le paradoxe où les spécialistes du marketing dépendent fortement des données des cookies de Google Analytics mais doivent le faire se conformer à la réglementation .

Nous allons jeter un oeil à deux développements qui ont impacté les cookies, plus un troisième à l'horizon. Ensuite, je vous expliquerai l’approche fondée sur les risques que nous avons adoptée – du moins pour le moment. Et revenez la prochaine fois pour une plongée en profondeur dans le suivi des publicités de première partie alors que nous commençons à voir s'éloigner des cookies tiers.

En mai 2020, l'UE a mis à jour ses directives GDPR pour clarifier plusieurs points, y compris deux points clés pour le consentement des cookies:

  • Les murs de cookies n'offrent pas aux utilisateurs un véritable choix, car si vous refusez les cookies, vous ne pouvez pas accéder au contenu. Il confirme que les murs de cookies ne doivent pas être utilisés.
  • Faire défiler ou glisser à travers le contenu Web n'équivaut pas à un consentement implicite. L'UE réaffirme que le consentement doit être explicite.

Qu'est-ce que cela signifie pour notre industrie?

Eh bien, l'UE se resserre sur le consentement aux cookies – peut-être l'aspect le plus notable (et ennuyeux!) Du RGPD. Les critiques disent que les avis sur les cookies sont un bloc encombrant pour les utilisateurs et ne font rien pour protéger la confidentialité des utilisateurs. L'UE essaie de changer cela, en promouvant des options simples, significatives et équitables pour le consentement aux cookies.

Mais cela limite ce que nous pouvons faire avec les cookies, et cela indique à l'avance le moment où le règlement sur la confidentialité et les communications électroniques (PECR) pourrait entrer en vigueur. en vigueur. Plus d'informations à ce sujet sous peu.

Grand développement n ° 2: Google et Apple sévissent contre le suivi par des tiers; être touché par des plaintes antitrust

Alors que les grands acteurs du numérique découvrent comment se conformer au RGPD – et comment tirer parti de la législation sur la protection de la vie privée – certains ont déjà été critiqués.

Google fait l'objet d'une enquête de la part de l'organisme de surveillance britannique de la concurrence, la Competition and Markets Authority (CMA), pour son initiative « Privacy Sandbox », à la suite de plaintes émanant d'entreprises et d'éditeurs adtech.

Le géant de l'Internet, qui est également face à une enquête antitrust en Italie pour affichage publicitaire et aux États-Unis pour ses services de recherche publicitaire cherche à supprimer les cookies tiers de Chrome. (Firefox et Safari bloquent déjà ces cookies par défaut.)

Les plaignants affirment que ce changement concentrera davantage les revenus publicitaires entre les mains de Google. La réponse de Google? Le secteur de la publicité doit apporter « des changements majeurs » alors qu'il passe à un «Web sans cookies tiers».

Google n'est pas seul. En octobre 2020, quatre lobbies publicitaires numériques français ont déposé une action antitrust contre le prochain changement de confidentialité iOS d'Apple, une fonctionnalité qui s'appelle App Tracking Transparency (ATT).

ATT, coming in une version d'iOS 14 au début du printemps 2021, fait passer les utilisateurs d'applications d'un modèle opt-out à un modèle opt-in de suivi des publicités. Avec ATT, chaque application doit obtenir votre autorisation pour partager votre identifiant pour les annonceurs (IDFA), ce qui permet le suivi des publicités tierces sur plusieurs sites et canaux.

Les plaignants affirment qu'en limitant les revenus publicitaires des applications, les développeurs peuvent devoir Boostez les abonnements aux applications et les achats intégrés ou passez à la plate-forme publicitaire ciblée d'Apple – ce qui permettra de canaliser les dépenses publicitaires loin d'eux et vers Cupertino.

Des critiques, y compris Facebook, ont critiqué le changement affirmant qu'il " ll touchera les petites entreprises qui comptent sur les publicités micro-ciblées . Apple a défendu cette décision et a salué la défense de l'UE de la confidentialité des données des citoyens.

Pour résumer:

  • Le consentement implicite n'équivaut pas au consentement en vertu du RGPD, selon l'UE.
  • Nous devrions également éviter les murs de cookies
  • Google et Apple s'opposent aux cookies tiers – qui, selon certains, exploitent leur position dominante sur le marché.

Qu'est-ce que cela signifie pour nous, en tant que concepteurs et développeurs? Voyons d'abord pourquoi cela est important.

Voici ce que les concepteurs devraient savoir sur les cookies

  • Le RGPD est essentiel pour vous car vous allez définir les points auxquels les cookies sont placés, les données collectées et comment il est traité.
  • Un audit de fonctionnalité signifie que vous pouvez mapper l'activité de vos cookies dans les couches de données et de conformité de votre plan de service.
  • Cela peut aider à effectuer un audit des cookies et une analyse des écarts , c'est-à-dire que le modèle de cookie existant est conforme? De quel contenu a-t-il besoin?
  • Suivez les meilleures pratiques de Privacy by Design . N'essayez pas de réinventer la roue – si vous avez créé une bannière de cookies conforme, utilisez votre modèle de conception éprouvé.
  • Travaillez avec vos équipes de conformité et de développement pour vous assurer que les conceptions respectent le RGPD et peuvent être mises en œuvre . Ne demandez que les données dont vous avez besoin.
  • Si vous avez besoin de compromis, adoptez une approche basée sur les risques. Nous en avons fait un aperçu plus bas.
  • Sachez que votre équipe de contenu devra peut-être mettre à jour votre politique de confidentialité à mesure que le RGPD et votre utilisation des cookies évoluent.

Voici ce que les développeurs À savoir sur les cookies

  • Assurez-vous que vous êtes impliqué dès le départ en ce qui concerne le consentement et le suivi des cookies, afin que ce qui a été décidé puisse être mis en œuvre.
  • Si vous effectuez une refonte de produit ou de site Web, un audit des cookies à l'aide des outils de développement Chrome peut afficher vous quels cookies de suivi sont utilisés. Des outils tels que Ghostery ou Cookiebot vous donnent plus de détails.
  • Vous devez implémenter le standard de désactivation / désactivation des cookies conformément aux directives GDPR . (Notez que bien que le RGPD soit standard, son application varie selon les pays de l'UE. Il y en a plus à ce sujet plus loin.) Vous risquez de perdre des données Google Analytics. Vous pourriez également être sous pression pour mettre en œuvre des éléments qui pourraient être considérés comme des motifs sombres. Il y en a plus à ce sujet plus tard, avec un aperçu de ce que nous avons fait et un regard sur le risque.

Voilà donc où nous en sommes aujourd'hui. Oh, et il y a encore une chose à savoir: une autre loi qui pourrait arriver. J'aime l'appeler Loi de Schrödinger .

Loi de Schrödinger: le règlement ePrivacy

Vous avez peut-être entendu parler de la sœur jumelle du RGPD, le règlement ePrivacy, qui se cache à l'horizon législatif. Si vous ne l’avez pas fait, voici une introduction.

Comme je l’ai dit ci-dessus, le consentement aux cookies – l’avis qui apparaît lorsque vous visitez un site Web – est régi par le RGPD. Cependant, les cookies eux-mêmes relèvent d'une législation différente, la Directive ePrivacy de 2002 communément appelée loi sur les cookies. Tout comme le RGPD, il vise à protéger la vie privée des clients.

La directive ePrivacy doit être remplacée par une législation plus stricte, le règlement ePrivacy. (Si vous êtes intéressé par la différence entre les directives et les règlements de l'UE, les directives de l'UE définissent les objectifs de la législation, mais délèguent la mise en œuvre de ces objectifs aux législatures des États membres. Les règlements de l'UE imposent à la fois les objectifs et la mise en œuvre à l'échelle de l'UE. niveau.)

Le projet de règlement ePrivacy va au-delà des cookies et du suivi des publicités. Il s'applique à toutes les communications électroniques, y compris les applications de messagerie, les spams, le transfert de données IoT et plus encore.

Le projet de règlement ePrivacy a été présenté pour la première fois par l'UE en 2017. Cependant, il doit être approuvé à la fois par le Parlement européen et le Conseil de l'Union européenne. (Le Conseil se compose de représentants des gouvernements de chaque État membre de l'UE.)

C'est là que les choses se compliquent. Depuis 2017, le Parlement européen et le Conseil n'ont pas été en mesure de se mettre d'accord sur la portée et les détails du règlement ePrivacy.

C'est parce que certains pays – généralement considérés comme comprenant les États nordiques de la Finlande et du Danemark – veulent renforcer le Directive ePrivacy actuelle. Ils veulent que les utilisateurs, par exemple, puissent définir l'acceptation et le rejet des cookies de suivi dans leur navigateur, et non sur tous les sites qu'ils visitent.

Mais d'autres pays, notamment l'Autriche, pensent également les inclure avec des secteurs importants du marketing numérique et de la publicité, disons que c'est mauvais pour les entreprises. On pense que les 27 États membres de l'UE sont divisés au milieu sur cette question – et ils font tous l'objet de pressions massives de la part de l'industrie de la technologie.

Le projet de règlement a donc ricoché dans les deux sens entre la Commission européenne et son groupe de travail. sur les télécommunications et la société de l’information alors qu’ils tentent d’en convenir. En novembre 2020, le groupe de travail a de nouveau rejeté la nouvelle version de la législation.

Que se passe-t-il ensuite? Il y a deux possibilités. Soit un compromis sera trouvé auquel cas la législation sera approuvée. Étant donné que la mise en œuvre de la législation prend du temps, le règlement ePrivacy pourrait devenir loi le plus tôt possible en 2025.

Alternativement, la législation ne peut pas être approuvée et est retirée par la Commission européenne. Mais l'UE a tant misé là-dessus. Il sera extrêmement réticent à franchir cette étape.

C’est pourquoi j’appelle cela la loi de Schrodinger. Il est difficile pour nous de savoir comment planifier des développements liés aux cookies, car nous ne savons tout simplement pas ce qui se passe.

Que dois-je faire des cookies maintenant?

Différents pays de l'UE mettent actuellement en œuvre la directive sur la confidentialité en ligne différemment. Au Royaume-Uni, l’ICO (l’autorité britannique de protection des données) adopte une position ferme. Il exige un consentement strict pour les cookies d'analyse par exemple, et s'est prononcé contre les murs de cookies.

Jusqu'à – et si – nous obtenons la cohérence d'un nouveau règlement ePrivacy, si vous êtes basé dans une UE pays, commencez par suivre les conseils de votre autorité nationale de protection des données. Ensuite, regardez cet espace pour les développements autour du règlement ePrivacy.

Si vous êtes basé en dehors de l'UE, assurez-vous de donner aux citoyens de l'UE les options requises en vertu du RGPD et de la directive ePrivacy.

Cependant, quand il s'agit de jusque dans les détails, il y a des moments où je recommande d'adopter une approche fondée sur les risques. C’est ce que nous avons fait chez Cyber-Duck – et voici pourquoi.

Voici notre avis de cookie original . Vous les voyez partout. Ils n'ont pratiquement aucun sens: les utilisateurs appuient simplement sur Accepter et continuent leur chemin.

Capture d'écran de la bannière de consentement aux cookies. Il dit "Découvrez comment nous utilisons les cookies pour gérer votre expérience et modifier vos paramètres."
Peu importe si l'utilisateur a accepté les cookies ou non – Google Tag Manager (GTM) s'est déclenché lorsqu'il a atterri, car les cookies ont été activés par par défaut, ce qui signifie que nous obtiendrions nos données d'analyse. (Source de l'image: Cyber-Duck ) ( Grand aperçu )

Mais nous voulions être conformes, nous l'avons donc remplacé par cet avis. Vous verrez que les cookies de suivi sont désactivés par défaut – conformément aux directives de l'ICO . Nous savions qu'il y avait un risque que nous perdions des données analytiques car GTM ne se déclencherait plus lors du premier chargement.

Voyons ce qui s'est passé.

Capture d'écran du nouvel avis de consentement de cookie montrant les cookies marketing et analytiques désactivés par défaut
Notre nouvelle bannière de cookies a suivi les directives de l'ICO, mais … (Source de l'image: Cyber-Duck ) ( Grand aperçu )

Problème résolu? En fait non. Cela ne fait que créer un autre problème. L'impact a été bien plus important que prévu:

Capture d'écran de Google Analytics montrant la baisse du trafic suivi lorsque le nouveau consentement aux cookies a été mis en œuvre
Le nouveau consentement aux cookies a entraîné l'effondrement de notre trafic suivi. (Crédits image: Cyber-Duck ) ( Grand aperçu )

Regardez l'effondrement de la ligne bleue lorsque nous avons implémenté le nouvel avis de cookie. Nous avons publié le nouveau consentement aux cookies le 17 décembre et sommes passés directement de l'abondance du trafic suivi à presque zéro. (La ligne orange montre le trafic de l'année précédente, à titre de comparaison.)

Dans les deux scénarios avant et après, l'option par défaut était de loin la plus populaire. La plupart des utilisateurs cliquent naturellement sur «accepter» ou «confirmer». C’est délicat, car nous en savons si peu sur les personnes qui visitent notre site que nous ne pouvons pas leur donner les meilleures informations adaptées à leurs besoins.

Nous avions besoin d’une solution. L'analyse et les données marketing déterminent en fin de compte les décisions commerciales. Je suis sûr que nous savons tous à quel point les données sont importantes. Dans ce cas, c'était comme mettre de l'argent sur un compte bancaire et ne pas savoir combien nous avions dépensé ou économisé!

Certaines des solutions qui ont été posées incluent des alternatives de conception (supprimer la bascule, ou avoir deux boutons avec un coup de pouce visuel vers l'aide «Accepter»?) Ou pourrions-nous activer les cookies analytiques par défaut?

Pour l'instant, nous avons implémenté une position de compromis. Les cookies de marketing et d'analyse sont activés par défaut, avec un interrupteur clair pour les désactiver:

Capture d'écran montrant un avis de cookie itéré avec des cookies de marketing et d'analyse activés par défaut
Ensuite, nous avons répété. (Crédits image: Cyber-Duck ) ( Grand aperçu )

Et voici ce que nous avons fait à nos statistiques:

Capture d'écran Google Analytics montrant le trafic suivi partiellement récupéré à partir du 15 janvier
Cette itération a rapporté une partie du trafic attribuable. (Crédits image: Cyber-Duck ) ( Grand aperçu )

La nouvelle bannière cookie a été relancée le 15 janvier. Vous pouvez voir que le trafic de notre site Web recommence à augmenter. Cependant, nous n'obtenons pas toutes les données que nous obtenions auparavant, car Google Tag Manager ne se déclenche que si un utilisateur choisit les cookies.

La bonne nouvelle est que nous récupérons à nouveau certaines données! Mais l’histoire ne s’arrête pas là. Après que nous ayons réactivé le suivi des cookies par défaut le modèle d'attribution a été foiré. Il n'attribuait pas le bon canal dans Google Analytics.

Voici ce que nous voulons dire:

Scénario 1: (Attribution correcte)

  1. L'utilisateur arrive sur notre site Web via une annonce payante (PPC) ou à partir de la recherche result (organique)
  2. L'utilisateur accepte les cookies tout de suite.
  3. La source de la chaîne est attribuée correctement, par ex. à PPC.

Scénario 2: (Attribution incorrecte)

  1. L'utilisateur accède à notre site Web via une annonce payante (PPC) ou à partir du résultat de la recherche (organique)
  2. L'utilisateur visite quelques autres pages de notre site Web sans répondre à l'invite de la bannière de cookie (la bannière apparaît sur chaque page jusqu'à ce qu'elle reçoive une réponse)
  3. L'utilisateur accepte finalement la bannière de cookie après avoir parcouru quelques pages.
  4. L'attribution est directe – bien qu'elle provienne à l'origine d'un moteur de recherche. [19659088] Comment ça marche? Lorsqu'un utilisateur navigue sur d'autres pages du site, rien n'est suivi tant qu'il n'a pas répondu à l'invite du cookie . Le suivi ne démarre qu'à ce stade. Donc, pour Google, il semble que l'utilisateur vient d'atterrir sur cette page – et ils sont attribués au trafic direct.

    Retour à la planche à dessin.

    Note : I ' Je suis sûr que maintenant vous commencez à voir un modèle ici. Toute cette expérience est nouvelle pour nous et il n'y a pas beaucoup de documentation, donc ça a été une vraie courbe d'apprentissage.

    Maintenant, comment pourrions-nous résoudre ce problème d'attribution et empêcher les utilisateurs de naviguer sur le site jusqu'à ce qu'ils '

    Un cookie wall est une option que nous avons envisagée, mais qui pourrait nous éloigner davantage de la conformité, selon l'ICO. (Bien que vous souhaitiez peut-être essayer de naviguer sur leur site en mode incognito et voir s'ils s'en tiennent à leurs propres conseils…)

    Capture d'écran montrant un avis de consentement de cookie de compromis avec suivi activé par défaut
    En fin de compte, nous avons dû nous contenter d'un faire des compromis. (Crédits image: Cyber-Duck ) ( Grand aperçu )

    Mais c'est ce que nous avons choisi. Le voyage se termine ici pour le moment, car nous sommes toujours en train de collecter des données. À l'avenir, nous voulons explorer d'autres outils et l'impact potentiel de l'abandon de Google Analytics.

    Alors, que font tout le monde?

    Eh bien, McDonald's UK propose des boutons d'activation / désactivation simples:

    Capture d'écran du consentement aux cookies de McDonald's offrant trois options: tout rejeter, accepter les cookies et les paramètres des cookies
    McDonald's UK propose des choix de cookies simples. (Crédits image: McDonald's UK ) ( Grand aperçu )

    Le site britannique de Coca Cola vous incite à accepter en rendant l'option «rejeter» plus difficile à trouver:

    Capture d'écran de L'avis de consentement aux cookies de Coca-Cola avec «accepter tous les cookies» mis en évidence
    Le site britannique de Coca-Cola vous incite à accepter les cookies. (Crédits image: Coca Cola UK ) ( Grand aperçu )

    Alors que Sanrio a juste une option pour accepter le suivi des publicités:

    Capture d'écran du consentement du cookie de Sanrio indiquant «Ok 'bouton de confirmation
    Sanrio donne simplement la possibilité d'accepter les cookies. (Crédit d'image: Sanrio.com ) ( Grand aperçu )

    Hello Kitty, bonjour les cookies.

    Die Zeit offre un accès gratuit si vous acceptez les cookies de suivi – mais pour un expérience non suivie et sans publicité, vous devrez payer:

    Capture d'écran du consentement des cookies de Zeit
    Die Zeit offre un accès gratuit avec des cookies – mais pour une expérience non suivie, vous devez vous abonner. (Crédit d'image: Die Zeit ) ( Grand aperçu )

    Et voici l'un de mes motifs sombres préférés. Ce site de restaurant n'a sélectionné que les cookies «nécessaires». Mais cela vous pousse au gros bouton rouge "Autoriser tous les cookies" – et lorsque vous cliquez dessus, les cases des cookies analytiques et publicitaires sont automatiquement cochées et définies. Essayez-le ici!

    Capture d'écran du consentement du cookie Pinchos
    Le consentement du cookie de Pinchos est un bon exemple d'un motif sombre. (Crédit Imagae: Pinchos.se ) ( Grand aperçu )

    Même l'UE n'est pas cohérente sur ses propres sites.

    L'approbation des cookies du Parlement européen offre deux options claires options:

    Capture d'écran de l'approbation du cookie du Parlement européen
    La notice de cookie du Parlement européen propose deux options claires. (Crédit d'image: Parlement européen ) ( Grand aperçu )

    Le site de la CJUE n'est pas si clair:

    Capture d'écran du consentement du cookie de la CJUE
    Le cookie de la CJUE Le consentement offre trois choix: les cookies nécessaires, tout accepter et plus d'informations. (Crédit d'image: Cour de justice de l'UE ) ( Grand aperçu )

    Alors que le site d'Europol est livré avec deux cases pré-cochées:

    Capture d'écran du consentement d'Europol en matière de cookies indiquant les informations obligatoires et cookies de suivi vérifiés
    Le consentement aux cookies d'Europol fait vérifier automatiquement les cookies d'analyse. (Crédit image: Europol ) ( Grand aperçu )

    Et si vous regardez les sites de la présidence allemande du Conseil de l'Union européenne ( Juillet-décembre 2020), au début, il semble qu'il n'y ait pas du tout de cookies:

    Capture d'écran du site allemand EU2020 ne montrant aucun cookie ni avis de consentement aux cookies
    Cookies? Quels cookies? (Crédit d'image: eu2020.de ) ( Grand aperçu )

    Lorsque vous arrivez sur le site, il n'y a pas de bannières ou d'invites de cookies. Un examen plus attentif, avec des outils d'extension de cookies, montre qu'aucun cookie n'est placé non plus.

    Alors, capturent-ils des données analytiques? La réponse est oui.

    Capture d'écran du code Matomo de eu2020.de
    Le site eu2020.de suit les utilisateurs utilisant Piwik, maintenant Matomo. Pas de cookies ici! ( Grand aperçu )

    Nous avons trouvé ce petit extrait dans leur code, qui montre qu'ils utilisent "Piwik". Piwik est maintenant connu sous le nom de Matomo l'un des nouveaux outils qui aident à la conformité des cookies avec Fathom (suivi côté serveur) et HelloConsent (cookie

    Ainsi des alternatives et des solutions émergent . Nous examinerons cela de plus près la prochaine fois – avec de nouvelles alternatives aux cookies tiers qui vous aideront à prendre le contrôle de vos données et à obtenir les informations dont vous avez besoin pour offrir une expérience optimale à vos clients. Restez à l'écoute!

    Lectures complémentaires

    Smashing Editorial "width =" 35 "height =" 46 "loading =" lazy "decoding =" async (vf, il)

Le meilleur outil 2023 pour ta croissance Instagram !



Source link