RGPD, c'est l'enfer

Pour ceux qui reviennent régulièrement sur le site, vous avez peut-être remarqué, durant les dernièrs mois, plusieurs changements autour de la barre de consentement mise en place sur le site. Après avoir tenté de rendre Google Analytics compatible RGPD, et après l’annonce par la CNIL de la non-conformité de cet outil, j’ai en effet essayé plusieurs outils de substitution, avec quelques difficultés. L’occasion de voir plus en détail ce qu’est exactement la RGPD.

RGPD, c'est l'enfer

Les difficultés de la conformité à RGPD

Cas de la mesure d’audience

L’objectif de ces produits est de mesurer le nombre de visites, et de fournir des informations sur le comportement des utilisateurs pendant ces visites (temps passé, pages visitées, …). Pour les sites professionnels, ces outils permettent également de corréler les éventuels changements de comportement avec des campagnes de marketing.

Sans cookies Les produits collectent, des informations de base, comme l’adresse IP, la résolution de l’écran, le système d’exploitation, la liste des pages visitées, … En gros, tout ce qu’un bout de code Javascript s’exécutant dans une page, est capable de collecter.

Avec cookies Les informations collectées sont plus fines : les cookies gardant une trace de nos visites, les outils de mesure d’audience sont capables de fournir des statistiques plus élaborées, comme le nombre de retours d’un utilisateur sur un site, ou sur une page précise, le temps passé par page, …

Avec ou sans cookies, les informations sont envoyées sur le site de l’éditeur chargé de la mesure d’audience, pour y être traitées. A ce stade, nous avons quatre principaux risques : l’outil / la société peut

  • Collecter plus d’informations qu’il ne l’annonce,
  • Identifier l’utilisateur, en croisant les données avec d’autres sources d’informations,
  • Utiliser ces données pour autre chose que de la mesure d’audience,
  • Partager ces données avec une société tierce.

Le RGPD cherche globalement à protéger les utilisateurs de ces risques, en demandant que

  • Le visiteur / l’utilisateur soit pleinement informé de ce qui est collecté, pour qu’il puisse apporter son consentement ou son refus,
  • Les données collectées soient le plus anonymes possibles,
  • L’éditeur du site ou de l’application ait la maîtrise complète des données collectées,
  • Que les données soient traitées et stockées en Europe.

Globalement un outil est conforme RGPD, s’il ne collecte que des informations basiques, ne contenant aucune information personnelle, et/ou que ces données sont anonymisées avant traitement. Dans tous les autres cas, au minimum, le consentement est nécessaire.

Par exemple: la collecte de l’adresse IP sert principalement à la géo-localisation du visiteur. Cette information permet de compter le nombre d’utilisateurs par pays. Si cette adresse IP est traitée immédiatement, puis effacée, alors nous sommes conformes. Si l’adresse est conservée par l’outil, alors nous ne sommes plus conformes.

Opt-in / Opt-out

Concernant le consentement, d’une manière générale, nous avons plusieurs cas:

  • L’opt-in qui consiste à demander le consentement à l’utilisateur au préalable. Si l’utilisateur ne dit pas OUI, c’est NON. Il existe plusieurs variantes (opt-in actif, passif, double), en fonction de la façon dont le consentement est demandé : on parle d’opt-in passif si le formulaire de consentement est pré-rempli, par exemple.
  • L’opt-out consiste à collecter le non consentement, à postériori. Si l’utilisateur ne dit pas NON, c’est OUI. Dans ce cas là, le formulaire propose plutôt des formules du type Je m’oppose à …

Le RGPD renforce le opt-in (consentement préalable).

Les solutions possibles

Les familles de solutions que nous avons pour la mesure d’audience sont globalement les suivantes :

CasFonctionnementConséquences
1Les données collectées ne respectent pas les préconisations de RGPD, et de la CNILDans ce cas, il faut afficher un bandeau pour demander leur consentement aux utilisateurs. Si ces derniers refusent, alors il n’y a pas de mesure d’audience
2Les données collectées respectent les préconisations, à condition de faire quelques réglages, notamment sur les cookiesDans ce cas, il faut appliquer les réglages, et afficher un bandeau, pour demander aux utilisateurs s’ils souhaitent conserver le fonctionnement avec cookies, ou pas. Dans le pire des cas, les cookies sont refusés, mais l’outil continue de fonctionner, de façon légale, avec une quantité réduite de données collectées
3La collecte et le traitement des données respectent les préconisations, et l’outil fonctionne sans cookiesL’outil peut fonctionner directement sans demande de consentement préalable

Le premier cas correspond à ce que je faisais avant, avec Google Analytics, et Tarteaucitron, l’outil de gestion de consentement : je demandais aux visiteurs l’autorisation d’activer la mesure d’audience. La majorité de mes lecteurs refusaient, et les statistiques collectées n’avaient plus aucun sens (je voyais moins de 10% du traffic réel).

Les deux autres cas sont acceptables pour un site comme le mien, parce qu’ils permettent d’avoir le minimum d’information : combien de visiteurs, combien de pages vues, quelles sont les pages les plus visitées.

Les difficultés

RGPD impose une relation contractuelle entre trois parties :

  • Entre l’utilisateur et l’éditeur du site visité: ce sont les mentions légales, ou les Conditions Générales d’Utilisation (CGU),
  • Ainsi qu’entre l’éditeur, et la société fournissant l’outil de mesure d’audience (Data Processing Agreement - DPA).

Pour moi les difficultés résident sur le second point. Il faut

  • que la société proposant l’outil de mesure d’audience, partage de la documentation, de façon suffisamment claire et transparente,
  • que l’éditeur du site puisse comprendre ce que fait l’outil, et comment il le fait,
  • que l’éditeur du site puisse comprendre le DPA proposé.

Donc globalement, il faut être à la fois, technicien et juriste, pour s’en sortir.

Les produits testés

Après la théorie, passons à la pratique: je cherche un produit de mesure d’audience, compatible RGPD. Pour cette sélection, j’ai commencé par faire quelques recherches sur Internet, avec les critères gratuit, et compatible RGPD. Les produits gratuits ne sont pas très nombreux, et j’étais incapable de déterminer si ces produits étaient réellement compatibles.

Je me suis donc tourné vers le site de la CNIL, qui en Septembre 2021, a publié quelques recommandations pour les outils de mesure d’audience.

J’ai trouvé deux produits : eTracker, et Piwik Pro qui correspondaient aux critères. J’ai ajouté un produit supplémentaire, MicroAnalytics qui semblait intéressant sur le papier.

eTracker

eTracker est une société allemande. La solution proposée fait partie du cas 3 listé dans le paragraphe précédent : Document concernant eTracker sur le site de la CNIL.

eTracker propose plusieurs formules, dont la version Pro, gratuite en dessous de 25000 pages vues par mois. La plateforme peut également être utilisée dans le cas 2 : dans ce cas, elle propose un bandeau de consentement configurable.

Le produit est très simple à mettre en place, puisqu’il suffit de placer une ligne de code dans la partie HEAD des pages du site. La configuration est également très simple. La société propose un texte à mettre en place sur notre site pour les CGU, et propose également un DPA.

Pour

  • La documentation est plutôt bien faîte,
  • Le produit « coche toutes les cases » du RGPD,
  • eTracker est très simple à installer.

Contre

  • Il s’écoule plusieurs heures avant de voir les statistiques apparaître,
  • Le produit est d’abord allemand : la traduction en anglais est parfois approximative,
  • eTracker ne s’adresse qu’aux entreprises : les formulaires demandent un identifiant pour la TVA, et le support de l’entreprise me l’a confirmé.
  • L’ergonomie du site demanderait à être améliorée, la navigation n’étant pas forcément intuitive

Figure 1 : eTracker - Ecran principal
Figure 1 : eTracker - Ecran principal
Figure 2 : eTracker - Premier écran détaillé
Figure 2 : eTracker - Premier écran détaillé
Figure 3 : eTracker - Second écran détaillé
Figure 3 : eTracker - Second écran détaillé

Piwik Pro

Piwik Pro est la solution Matomo hébergée par la société Piwik. Le produit correspond plutôt au cas 2 : Document concernant Piwik Pro sur le site de la CNIL

La société propose deux formules : une payante, et une gratuite. Cette dernière est possible jusqu’à 500 000 actions par mois. Je ne sais pas encore ce que signifie une action, nous pouvons supposer qu’il s’agit d’un « clic ».

Les réglages à effectuer sont un peu plus longs que pour eTracker, mais ils restent simples. La plateforme propose un bandeau de consentement relativement simple et explicite pour les utilisateurs. Ce bandeau est configurable, avec notamment un éditeur permettant de quasiment tout refaire, si nous le souhaitons.

Pour

  • Facile à mettre en oeuvre,
  • Configuration aisée, mais beaucoup de paramètres,
  • Statistiques obtenues assez rapidement, et présence d’un mode DEBUG permettant d’avoir les valeurs en temps réels

Contre

  • Comportement parfois difficile à comprendre (voir ci-dessous),
  • Code javascript un peu lourd,
  • Paramètres par défaut pas toujours pertinents, ce qui oblige à parcourir tous les paramètres un par un, pour vérifier que le produit fait bien ce que l’on veut, et pas autre chose.

Je reviens sur mon commentaire concernant le comportement de l’outil: lors de mes tests, il m’est arrivé d’effacer les cookies, puis de rafraîchir la page. La plupart du temps, le produit redemande le consentement, mai parfois non, sans que je trouve d’explication.

Figure 4 : Piwik Pro - Ecran principal
Figure 4 : Piwik Pro - Ecran principal
Figure 5 : Piwik Pro - Détail par type de matériel
Figure 5 : Piwik Pro - Détail par type de matériel
Figure 6 : Piwik Pro - Indication du nombre de recherches
Figure 6 : Piwik Pro - Indication du nombre de recherches

Microanalytics

Pour moi, ce produit ne doit pas être utilisé. Sur le papier la plateforme semble offrir tout ce qu’il faut :

  • Le produit est léger,
  • Il s’annonce compatible RGPD,
  • et éco-responsable.

En pratique :

  • Par défaut, le produit utilise des cookies : rien n’est indiqué sur le site pour les désactiver, à part qu’il faut désactiver les cookies au niveau du navigateur,
  • D’une manière générale, la documentation est quasiment inexistante, et ne permet pas, de configurer le produit,
  • A part indiquer que les données sont hébergées en Europe (chez OVH), nous n’avons pas d’indications sur ce qui est stocké.

Bref, MicroAnalytics est un produit dont il faut surveiller les évolutions, mais en l’état, il est inutilisable (tests effectués en Février 2022).

Conclusion

Ma sélection s’est faite rapidement :

  • MicroAnalytics : Trop de risque sur la compatibilité RGPD,
  • eTracker : ne s’adresse qu’aux entreprises,
  • Piwik Pro : quelques défauts, mais officiellement compatible RGPD, et gratuit pour mon niveau de traffic.

Donc le produit sélectionné est Piwik Pro. A noter qu’il s’agit d’une solution hébergée, mais qu’il est possible, pour ceux qui le peuvent, d’héberger soi-même la solution (voir Matomo).

Revenons un peu sur la mise en place de la solution : Cette mise en place ne consiste pas uniquement à inclure un script dans des pages, mais également à

  • Configurer le bandeau de consentement pour que les messages soient clairs, et pour que les liens pointent sur les bonnes pages,
  • Configurer le produit pour que le traitement des données soit compatible RGPD,
  • Mettre à jour vos conditions d’utilisation pour y inclure une description des cookies utilisées, et des informations collectées.

Tout cela pour quoi ? Juste avoir une idée du nombre de visiteurs et du nombre de pages vues. Je ne souhaite pas obtenir des centaines de milliers de visiteurs, mais juste savoir si j’écris des choses pour quelques-uns.

Bref, beaucoup de complexité pour un besoin initial très simple. Je n’ose imaginer le travail à réaliser pour l’implémentation de solutions plus complètes, incluant la publicité, ou les campagnes marketing …

Pour finir j’ai deux commentaires:

  • Une grosse proportion des sites ne respectent pas les règles : pas de consentement, pas de bouton refuser tout, paramètres imposés, … et je ne parle pas uniquement des sociétés américaines (ou non-européennes),
  • Sur les gros sites, le nombre de paramètres étant importants, les bandeaux de consentement se transforment en véritables pages, trop longues, et trop complexes pour être incompréhensibles. Vouloir que l’utilisateur puisse gérer ce qu’il souhaite partager, c’est bien, mais encore faut-il qu’il comprenne ce que l’on lui demande ! Nous sommes exactement dans le cas des « petites lignes » des contrats ou des C.G.U de la plupart des logiciels : personne ne les lit et tout le monde accepte, faute d’avoir le choix.

Donc globalement, pour moi, nous sommes loin d’une réglementation mature, puisqu’elle n’offre qu’une protection très partielle pour le moment.

Références

Commentaires