Comment respecter le RGPD sans compromettre l’expérience utilisateur ?
28/03/2019 |
Ce défi résume à lui seul la vocation d’une Consent Management Platform (CMP) capable de concilier conformité réglementaire et expérience utilisateur.
CMP : l’abréviation est encore récente, mais se répand à grande vitesse dans l’univers des Martech. Derrière ces 3 lettres, une nouvelle génération de solutions dédiées à la gestion des consentements : les Consent Management Platform. Ces outils ont été conçus dans le sillage du RGPD (Règlement Général sur la Protection des Données) pour assurer la collecte, l’enregistrement et la gestion des consentements donnés par les utilisateurs à un site ou une app. Un sujet clé, puisque l’activation de tags et le déploiement de cookies dépendent directement de l’obtention de ces consentements. Les 7 caractéristiques d’une telle plate-forme :
1) Une CMP n’impose pas sa lecture de la loi
Le RGPD peut donner lieu à différentes interprétations. D’un pays à l’autre d’ailleurs, on observe des nuances dans la compréhension du texte avec, à la clé, des usages plus ou moins tolérés. Il y a de bonnes chances également que l’interprétation du texte évolue au fil du temps, au fur et à mesure que le marché s’outille et mûrit sur le sujet.
En effet, si la validation des conditions d’usage des données par simple défilement de la page semble pour l’heure tolérée en France, rien ne dit que cette pratique sera acceptée encore bien longtemps… Au contraire, il ne serait pas surprenant de voir la réglementation se durcir davantage. Ce n’est donc pas à la CMP d’interpréter les textes, mais aux responsables des sites et apps d’arrêter cette interprétation et de paramétrer en conséquence leur plateforme. Une CMP doit pouvoir s’adapter à un large éventail de scénarios.
2) Une CMP fonctionne avec tous les « vendors » (IAB ou pas)
Le framework de l’IAB fait légitimement beaucoup parler de lui. Il fédère d’ores et déjà plus de 400 « vendors », des éditeurs de solutions Martech. Dans ce modèle, chaque « vendor » s’engage à s’outiller pour recevoir le statut (accepté ou rejeté) des consentements des utilisateurs tel que défini par l’IAB afin de savoir s’il est en droit de traiter ou non les données collectées.
Outre le fait que ce framework représente une lecture partisane (car orientée « vendor ») du RGPD, il ne couvre pas l’intégralité des solutions existantes. Tous les « vendors » ne sont pas enregistrés auprès de l’IAB. Autrement dit, une CMP qui se résume à la mise en œuvre du framework IAB n’est pas capable de dialoguer avec des « vendors non-IAB ».
3) Une CMP désactive réellement les tags non consentis
Dans le modèle de l’IAB, que le consentement soit donné ou pas par un utilisateur, les tags sont bel et bien chargés – c’est au vendor de traiter ou non les données émises selon le statut du consentement. Un mode opératoire qui suscite une question légitime : pourquoi ne pas désactiver les tags par défaut et tant que l’utilisateur n’a pas donné son consentement ?
Ce fonctionnement semble à la fois plus logique et sécurisant, mais toutes les CMP ne le proposent pas. Il existe deux façons de bloquer les tags avant réception du consentement :
Soit, en ajoutant manuellement une condition dans le code des tags afin que ces derniers se déclenchent seulement si l’utilisateur accepte que sa donnée soit traitée.
Ou en associant la CMP à un TMS (Tag Management System) afin que la première commande au second le chargement des conteneurs de tags en fonction de l’obtention du consentement. Aucun tag n’est activé sans accord de l’utilisateur. Une fois le consentement obtenu, le conteneur de tags est chargé automatiquement en arrière-plan (sans attendre le chargement de la page suivante).
4) Une CMP outille la personnalisation
Pourquoi la pop-in de consentement devrait-elle être la même sur son propre site que sur celui de son concurrent ? Pourquoi le « privacy center » (centre de préférences), cette page où est listé l’ensemble des cookies qui sont activés, semble ne pas respecter la charte graphique ?
Parce qu’il est, de fait, le premier élément que risque bel et bien de découvrir un nouveau visiteur, la pop-in (sur un site) ou l’écran (sur une app) de consentement doit ressembler à l’entreprise. Des éléments de langage aux codes visuels, cette interface dédiée à la collecte du consentement doit porter les attributs de la marque. La CMP doit donc permettre ce « branding » du consentement.
5) Une CMP s’étend aux sites comme aux apps et module l’UX selon les devices
La gestion des consentements ne vaut pas que pour le web, mais aussi pour les apps mobiles. Une complexité supplémentaire à gérer, notamment pour l’expérience utilisateur, puisqu’il n’est pas envisageable d’afficher les mêmes interfaces de consentement sur le site web affiché sur un ordinateur de bureau, sur un mobile et sur l’app elle-même. Si sur un site il s’avère prudent de ne pas cacher le contenu derrière une pop-in, sur un mobile l’affichage d’un écran de consentement à part entière est plus acceptable. Une certitude donc, la CMP doit être en mesure de moduler l’expérience utilisateur selon le device.
6) Une CMP permet une mesure fine de la performance
Personnaliser la pop-in de consentement selon les attributs de la marque, tester différentes tailles d’écran de consentement, évaluer l’impact des éléments de langage… Autant de bonnes pratiques à encourager dès lors que l’outillage de mesure suit.
Objectif : mener un A/B Testing des différentes formules et mesurer leur impact sur l’évolution des taux de consentement et le parcours même des visiteurs. Même si elle se présente en premier lieu comme une solution de gestion de la conformité réglementaire, la CMP est aussi une solution Martech et, à ce titre, sa performance doit être mesurée.
7) Une CMP historise les consentements
Parmi les notions clés du RGPD figure « l’accountability ». En clair, le RGPD demande aux entreprises non seulement de collecter les données à caractère personnel de manière licite et loyale, mais aussi d’être en capacité de prouver a posteriori qu’elles ont bien procédé ainsi.
Voilà pourquoi il s’avère indispensable d’historiser les consentements avec précision (un consentement a-t-il été donné pour un usage particulier ? Pour tous les usages ?) ainsi que les activations qui ont suivi. En cas de contrôle, cet historique fait office de reporting pour démontrer la bonne gestion des données personnelles selon les principes du RGPD. L’historisation est une fonction fondamentale pour de nombreuses entreprises.
La CMP ne doit toutefois pas être confondue avec le « cookie notice », encore en ligne sur de nombreux sites. Ce bandeau informe simplement les visiteurs que la poursuite de leur visite vaut acceptation des conditions d’utilisation des données personnelles. Autant dire que ce dispositif n’est pas vraiment conforme au RGPD qui demande d’afficher clairement la finalité de la collecte des données et, surtout, d’obtenir un consentement explicite.
La CMP entend pour sa part garantir la conformité réglementaire sans compromettre l’expérience client… Respecter le RGPD et faciliter l’obtention des consentements tout en respectant le confort de l’utilisateur !