La commission et le parlement européen souhaitent mettre en place le projet de Marché Unique Numérique européen (MUN). Pour restaurer la confiance des européens, et renforcer la sécurité des communications, ils ont décidé de reformer la directive européenne ePrivacy datant de 2002. Ce nouveau règlement, toujours baptisé ePrivacy, viendra préciser ou compléter le RGDP déjà en vigueur. A la différence du RGDP, qui concerne la protection des données personnelles en général, ePrivacy est spécifiquement orienté vers la communication électronique.
Pour le emarketing, ePrivacy va exiger un consentement pour toute collecte de données personnelles mais aussi de toute forme d’information d’un terminal en vue d’un traitement pour de la publicité ciblée (donnée et métadonnée).
La Commission souhaitait à l’origine une adoption des deux règlements en mai 2018. Le RGDP a été adopté, mais pas encore ePrivacy qui fait toujours l’objet de débats. Suite à la proposition de la Commission de janvier 2017, le Parlement a rendu son avis en octobre 2017. Des amendements ont été proposés. Le trilogue (Commission – Parlement – Conseil) est toujours en cours. Pour rappel un règlement, contrairement à une directive européenne, s’applique à tous les pays de l’Union, avec peu d’adaptations nationales.
A l’issue des négociations, il ne fait aucun doute que notre cœur de métier sera directement touché par ce nouveau règlement. Nous pensons qu’il sera voté au premier trimestre 2019.
Ce qui va changer !
Nous, les marketers, allont perdre à court terme toute relation avec les consentements « cookie based » avec un impact global sur tous les parcours client.
Risque : Le consentement risque d’être géré au niveau supérieur (navigateur, OS), avec une opposition par défaut du suivi multidomaine et du stockage de données.
Opportunité : En cas d’opt-in global, l’utilisateur donnera son consentement à-priori. Une friction de moins dans notre processus de tracking.
Au départ la Commission souhaitait que les utilisateurs finaux aient un choix large : du non-consentement «ne jamais accepter les cookies») jusqu’au consentement global permissif («toujours accepter les cookies»), en passant par des options intermédiaires («rejeter les cookies de tiers»).
Mais cette proposition a été amendée par le Parlement qui souhaite que les utilisateurs aient le choix entre 5 catégories de finalités :
1- suivi à des fins commerciales ou à des fins de prospection directe à des fins non commerciales (publicité comportementale);
2 – suivi aux fins de la fourniture de contenu personnalisé;
3 – suivi à des fins d’analyse;
4 – suivi des données de localisation;
5 – communication de données à caractère personnel à des tiers (y compris communication d’identifiants uniques pour corrélation avec des données à caractère personnel détenues par des tiers) »
Il propose donc une granularité plus fine des permissions. Une décision qui demande toutefois une certaine expertise à l’utilisateur.
Un consentement opt-in supplémentaire est envisagé par le législateur. Chaque site pourrait proposer un opt-in au moment de la connexion au service… même si nous ne savons pas encore qui prendra cet opt-in en charge. Le navigateur, le traceur (qui dépose le cookie), ou l’éditeur du service ?
Tout laisse penser que ce seront les éditeurs de service qui conserveront cet opt-in.
L’utilisateur final aura aussi le loisir de créer une liste blanche de sites Web dont il accepte les cookies tiers. Et aussi une liste noire de sites où l’utilisateur refuse tout cookie tiers. C’est déjà le cas dans Mozilla Firefox.
Nous assistons à un déplacement du consentement de nos plateformes vers l’utilisateur. Pour ce dernier, tout sera plus simple : il n’aura à gérer qu’un seul paramétrage global.
Mais cette proposition fait débat : un consentement global, donné à-priori et une fois pour toute, peut-il être considéré comme « informé » et « spécifique » au sens de l’article 4§11 du RGDP ?
Le contrôle de confidentialité est au cœur de l’ePrivacy, il sera adopté lors du vote définitif.
Il convient de se préparer à une baisse des visiteurs « identifiables » sur nos plateformes.
Le risque principal pour les pros du marketing :
Si un utilisateur restreint globalement ses permissions de confidentialité, jusqu’à « refuser les cookies de tiers », nous aurons des difficultés à l’identifier sur nos différents points de contact. Nous perdrons beaucoup de pertinence sur les trackings. Il peut même être « invisible » pour notre remarketing comportemental via les cookies ou identifiants de terminaux.
Cette proposition vient clore une série de tentatives de régulation du cookie, et rien ne prédit son adoption massive.
Nous avions déjà le protocole « Do Not Track » au niveau du navigateur, mais qui n’est toujours pas adopté au niveau du W3C (7 ans de procédure). Apple, en 2012, qui a basculé de l’identifiant unique et personnel (UDID) à l’identifiant publicitaire variable (IDFA). Ce dernier proposant un effacement (« reset ») de l’identifiant. Au final, peu d’utilisateurs s’en servent.
Les trois mesures ayant eu des effets significatifs ont été :
– 2016, Apple imposant sur ses terminaux le LAT (Limit Ad Tracking) qui permet un opt-out complet de tout tracking (Conséquence : 20% des utilisateurs auraient activé cette fonction).
– Apple limitant – unilatéralement – la durée de vie des cookies tiers à 24h.
– Le RGDP, qui a fait baisser de 22% en trois mois l’utilisation par les sites des cookies 3rd party.
Un rappel de consentement tous les 6 mois va aussi générer une augmentation de l’opt-out en cas de liaison relâchée entre la plateforme et l’utilisateur.
Si l’éditeur conserve la main sur le consentement au niveau de sa plateforme, nous pourrons limiter les pertes en sollicitant le visiteur comme nous le faisons déjà avec les pop-ups cookies / RGDP.
Il faut prévoir une inflation de pop-ups de demande d’opt-in, similaire à celle de l’entrée en vigueur du RGDP en mai 2018.
Je propose que notre équipe UX / UI prépare déjà des messages pour solliciter l’acceptation de nos cookies quand nous détectons un navigateur ou OS très « restreint » en termes de confidentialité.
Un renouvellement d’opt-in après 30 jours est aussi à prévoir. Là aussi, l’expérience utilisateur devra être travaillée pour ne pas lasser le visiteur.
En cas de refus, retrait ou objection de consentement, nos systèmes devront être en mesure de « caper » (limiter) les nouvelles demandes d’opt-in, mais aussi de proposer des publicités contextualisées par rapport à la page (et non par rapport au profil du visiteur).
Une question que le projet ePrivacy n’aborde pas : qui sera responsable en cas de non-identification de consentement ? L’OS, le navigateur, le traceur, ou l’éditeur ?
Que devons-nous faire dans ce cas : prendre une position de repli (non consentement) ou présumer d’un consentement à minima ?
La question du protocole de communication entre les apps / sites et l’OS n’est pas réglée. Nous souhaiterions éviter des initiatives isolées de chaque constructeur au profit d’une norme technologiquement neutre. L’initiative de l’IAB Europe « Transparency & Privacy » est un excellent exemple de norme open source et technologiquement neutre.