GDPR : la bonne gouvernance des cookies passe par la maîtrise de vos tags
23/03/2020 |
La protection des données personnelles portées par les cookies passe inévitablement par la mise en place de bonnes pratiques quant à la manière dont elles sont collectées.
S’il y avait une raison pour un CDO ou un patron du marketing digital, de redécouvrir un instant le Tag Management sous un angle plus stratégique, il se pourrait bien que le RGPD représente cette occasion. Pas un jour ne passe sans que le cookie fasse les gros titres de la presse digitale. De l’ITP d’Apple à la récente décision de Google de supprimer les cookies tiers sur Chrome, en passant par la publication des dernières recommandations de la CNIL pour l’application du RGPD, suivies par les prises de parole des acteurs Tech sur leur vision d’un monde sans cookie, le cookie est au cœur de tous les débats, et son avenir incertain soulève une vague d’inquiétude au sein des équipes marketing.
Les organisations n’ont plus d’autres choix aujourd’hui que de revoir sérieusement leur copie en matière de gouvernance des cookies. Car ce qui pose problème – et que le RGPD entend, à juste titre, adresser – c’est le manque de rigueur et de transparence dans la façon dont certaines organisations ont géré leurs cookies jusqu’à présent. Mais derrière les cookies se cache un composant essentiel dont on parle finalement peu : le tag. Et qui veut mettre de l’ordre durablement dans ses cookies doit d’abord reprendre le contrôle sur ses tags.
Le tag aux premières loges du RGPD
Le tag est un script, autrement dit quelques lignes de code informatique, permettant de faciliter le transport de données entre deux systèmes (par exemple, entre un site web et une application tierce). Il agit donc tel un « véhicule » qui collecte des données, comme sur un site ecommerce, et les transporte ensuite dans un autre écosystème, par exemple celui de l’une des solutions utilisées par l’équipe marketing pour améliorer sa performance commerciale. Le cookie, quant à lui, est un fichier placé dans un navigateur, et contenant des identifiants, c’est-à-dire des informations relatives à un profil d’utilisateur (un device, une activité, etc.). Et c’est le tag, en s’exécutant, qui pose le cookie dans le navigateur et définit les règles de collecte des données associées à ce cookie.
Si le cookie traîne cette réputation sulfureuse, c’est parce qu’il va relier d’abord puis reconnaitre le device du visiteur à ces données collectées et à l’information marketing qui a pu en être extraite. En revanche, c’est bien le tag qui définit les conditions selon lesquelles ces informations sont collectées et transmises à des tiers. A ce titre, c’est finalement la combinaison de ces deux composants qui est au cœur du RGPD : protéger les données personnelles portées liées aux cookies passe inévitablement par la mise en place de bonnes pratiques en matière de collecte de ces données, et donc de gouvernance des tags.
Qu’est-ce qu’une bonne gouvernance des tags ?
Pour pouvoir reprendre le contrôle sur son exposition au risque RGPD, il faut d’abord identifier les tags présents sur le site. La plupart des projets de mise en conformité commencent par le référencement de ces tags. Quels sont les tags qui tournent sur le site ? Sur quel périmètre sont-ils déployés ? Avec quelles variables ? Quelle est leur finalité ? Quelles sont leurs règles de déploiement ? Un nécessaire travail d’inventaire par lequel débute la plupart des projets de mise en conformité avec le RGPD, qu’ils soient menés par des DPO ou par des cabinets d’avocats, mais qui peut s’avérer extrêmement complexe lorsque les tags ont été déployés sans gouvernance, sans doucmentation ou sans transfert de connaissance à l’occasion des évolutions internes ou des départs. S’assurer d’avoir mis la main sur l’intégralité de ces tags est une tâche de plus en plus ardue dans des écosystèmes de plus en plus étendus.
A l’échelle d’une organisation ayant déployé une activité digitale mondiale, rien que l’accès à un recensement fiable des tags peut se compter en plusieurs dizaines de milliers d’euros de coûts directs, en cas de délégation de cette tâche à un cabinet de conseil. Et ceci, sans compter les coûts afférents à la mobilisation des équipes internes et aux outils ou routines qui devront être activées pour fiabiliser le process. Une fois l’ensemble des tags recensés, il convient ensuite de reprendre le contrôle sur leur exécution. Autrement dit, de paramétrer précisément les conditions et variables d’exécution de chacun pour pouvoir définir quelles données il va collecter, à quel moment il va ou non s’exécuter, et éventuellement jusqu’à quand. Ce sont ces conditions de collecte des données qui sont au cœur du dispositif imposé par le RGPD.
Enfin, il est important de rappeler que la règlementation n’est pas figée, mais est au contraire en constante évolution, au fur et à mesure des évolutions du marché et des nouvelles mesures préconisées par les instances régulatrices. Il y a fort à parier que votre implémentation actuelle devra être adaptée aux nouvelles contraintes, à la jurisprudence,…Le RGPD a notamment déjà inspiré des initiatives similaires ailleurs dans le monde, et tout laisse à penser que la tendance va aller en s’accélérant, à mesure que se globalise la prise de conscience d’une nécessaire régulation du marché de la donnée digitale. Pour autant, toutes les règlementations n’ont pas le même niveau d’exigence, et il revient à chaque organisation d’adapter ses dispositifs à chaque périmètre. Une bonne gouvernance des tags se doit donc d’être agile pour permettre de modifier des réglages rapidement, simplement et à tout moment.
TMS : un allié incontournable
Les Enterprise TMS (Tag Management System) se sont imposés dans le paysage digital comme un composant stratégique essentiel, en ce qu’ils permettent de prendre le contrôle sur cette réalité de l’écosystème digital que sont les tags et les cookies. Un TMS apporte d’une part la rigueur, la qualité et la transparence requises par le RGPD en matière de gestion des tags, d’autre part la souplesse, la simplicité et l’efficacité attendues par les organisations.
L’un des principaux bénéfices d’un TMS est qu’il permet de centraliser et de normaliser au sein d’une même interface, l’ensemble des tags déployés par une organisation, sur l’ensemble de son écosystème digital. Dès lors que les tags sont déployés par l’intermédiaire du TMS, ils y sont automatiquement recensés, avec leurs paramétrages respectifs. Les conditions d’exécution peuvent y être facilement et rapidement définies, y compris par des profils non techniques. Un membre d’une équipe marketing peut ainsi tout à fait déterminer sur quelle page et dans quelles conditions un tag doit s’exécuter, et quelles données il doit collecter et transporter. Et il est tout aussi simple de modifier des conditions d’exécution, de corriger rapidement des erreurs le cas échéant, et d’agir rapidement sur de grands volumes de pages et de tags de façon centralisée et automatisée.
A ce titre, le TMS s’avère un allié de taille dans un projet de mise en conformité avec le RPGD et de gouvernance des tags et des cookies. En plus de considérablement simplifier les inventaires, de mieux contrôler les risques associés à l’obsolescence éventuelle des tags, et d’en favoriser une gouvernance agile, il apporte aux équipes tant marketing que techniques et juridiques, la garantie de processus à la fois performants, sûrs et conformes.