Comment les éditeurs peuvent se protéger contre le cookie dropping

En juillet 2021, le Figaro a été condamnée à une amende de 50000 euros à la suite d'une enquête de la CNIL, qui a révélé que l'éditeur déposait des cookies tiers de tracking non-essentiels sur les ordinateurs des utilisateurs sans avoir obtenu leur autorisation au préalable. L'affaire marque l'un des premiers cas où un éditeur a été condamné à une amende en vertu de la nouvelle réglementation sur le respect de la vie privée. Comment les éditeurs peuvent-ils se protéger contre le cookie dropping?

Alors que l’ensemble de l’industrie de la publicité digitale est en voie de mise en conformité, les éditeurs traversent un moment particulier de prise de conscience. Ces derniers essaient d’adapter au plus vite leurs processus de monétisation pour s’aligner sur les réglementations existantes et nouvelles, mais les réglementations elles-mêmes pourraient avoir un impact sur leurs revenus, ce qui les met dans une situation doublement difficile. La réalité est que la plupart des éditeurs ne disposent pas des ressources internes nécessaires pour surveiller leurs propriétés web afin de détecter le dépôt de cookies non autorisés (cookie dropping) et de contrôler correctement les listes de sous-traitants et ainsi d’éviter de subir un sort similaire. Depuis que Google a annoncé récemment un report de près de deux ans de son plan de suppression des cookies tiers, les éditeurs semblent bloqués dans une situation difficile.

L’épisode traversé par la Société du Figaro nous laisse supposer que, plus de trois ans après l’entrée en vigueur du RGPD, les régulateurs sont désormais prêts à infliger les conséquences de la non-conformité.

Cette évolution du paysage du respect de la vie privée montre clairement que les éditeurs doivent non seulement surveiller leurs propriétés web comme également s’assurer que leurs partenaires et vendeurs ne placent pas de cookies sur les appareils des utilisateurs sans leur consentement.

À tort ou à raison, les risques et responsabilités de non-conformité pèsent lourdement sur les éditeurs. Il est donc impératif pour eux de faire tout leur possible pour se tenir à jour des dernières réglementations en matière de respect de la vie privée et de s’assurer qu’ils recueillent correctement et efficacement le consentement des utilisateurs au cours de chaque session.

Pourquoi le respect de la vie privée est central

Tout compte fait, l’amende de 50 000 euros de la Société du Figaro n’a pas été aussi lourde qu’elle aurait pu l’être. Sous le RGPD, les entreprises peuvent être condamnées à des amendes pouvant atteindre 20 millions d’euros (23,7 millions de dollars) ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé.

Pour bénéficier de revenus supplémentaires, de nombreux éditeurs reposent en partie sur un réseau de sous-traitants qui collectent les données de navigation des utilisateurs. Cette monétisation est impossible sans le consentement de l’utilisateur pour ces acteurs tiers.

Plus important encore, il a été démontré que les clients se soucient beaucoup du respect de leur vie privée et de ce que les entreprises font des données qu’elles collectent. Une enquête de l’Agence des droits fondamentaux de l’Union européenne a révélé que 55 % des consommateurs craignent que des criminels ou des fraudeurs n’accèdent à leurs données personnelles. De plus, 30 % redoutent que les annonceurs, les entreprises et les gouvernements étrangers accèdent à l’information à leur insu. 

Un autre facteur qui peut contrarier les utilisateurs est la découverte de ces longues listes de sous-traitants, car ils pensent que leurs données sont vendues à des centaines d’entreprises différentes. Il est essentiel que les éditeurs prennent le temps de purger leur liste de vendeurs afin de s’assurer que tous les partenaires restants ne travaillent qu’avec la liste de vendeurs approuvée sur leur CMP. Cela permet de créer un volume de sous-traitants moins impressionnant pour les consommateurs et d’aider ces derniers à se sentir plus confiants dans leur choix de consentir.

En d’autres termes, les consommateurs pensent que les éditeurs qui protègent les données personnelles savent valoriser la relation client. À l’inverse, ils pensent que les éditeurs qui gèrent mal les données ne prennent pas assez au sérieux le respect de la vie privée. Par conséquent, si les éditeurs veulent éviter les amendes prévues par le RGPD, débloquer des sources de revenus supplémentaires ainsi que gagner et conserver la confiance des consommateurs, alors le respect de la vie privée et l’utilisation responsable des données des utilisateurs doivent être une priorité absolue – c’est aussi simple que cela.

Faire la lumière sur les angles morts de la vie privée

Si vous êtes comme la plupart des éditeurs, il y a de fortes chances que votre équipe n’ait pas examiné la liste de sous-traitants de votre CMP. Et vous pouvez croire à tort que vos vendeurs ne déposeront pas de cookies sans consentement – mais vous vous trompez. Tous les sites ne suivent pas le cadre de transparence et de consentement de l’IAB, qui créerait un signal de consentement de l’IAB permettant de déclencher un dépôt de cookies. Cela signifie que les sous-traitants déposeront automatiquement un cookie lorsqu’il est déclenché par un signal alternatif, à moins qu’un mécanisme ne soit en place pour le « retenir » jusqu'à ce que le consentement soit obtenu.

Pour éviter d’être victime de ce processus, assurez-vous d’une configuration appropriée de votre CMP et de votre gestionnaire de balises, en particulier si ce dernier régit le dépôt de cookies tiers. De plus, il serait sage de mettre en place un outil de surveillance pour assurer une conformité continue. Cela est vraiment nécessaire car les scripts d’une page peuvent changer fréquemment et il se peut que des cookies tiers soient déclenchés sans consentement, par inadvertance. Cependant, avec les bons outils en place, vous pouvez déterminer en un coup d’œil si vos sous-traitants franchissent le pas de déposer des cookies avant d’obtenir l’autorisation des utilisateurs. Muni de ces données, vous pourrez contacter de manière proactive ces acteurs aux pratiques douteuses et leur demander de résoudre le problème ou encore les empêcher complètement d’accéder à vos sites.

Faire du respect de la vie privée votre priorité absolue

Sans une surveillance régulière et proactive de votre stack adtech, il n’est tout simplement pas possible d'être totalement sûr que vos sites sont conformes.

En fait, dans le cadre du RGPD, vous devez divulguer tous les contrôleurs de données au point de collecte au sein du CMP. Pour répondre à cette exigence, il est essentiel que les éditeurs sachent quels vendeurs sont déclenchés – directement ou indirectement – sur leur site. Cependant, en mettant en place un outil de surveillance, les éditeurs peuvent gagner en visibilité sur tous les sous-traitants déclenchés sur leur site afin de pouvoir décider lesquels conserver et lesquels supprimer. Ce processus aidera les éditeurs à garder le contrôle sur les sous-traitants agissant sur leur site et à protéger le respect de la vie privée de leurs consommateurs.

Dans l’univers des cookies, les acteurs tiers représentent souvent la plus grande source de risque pour une entreprise. En mettant un point d’honneur à analyser ce qui se passe sur votre site, vous accédez à une meilleure compréhension des sous-traitants avec lesquels vous travaillez – à la fois directement et indirectement – et vous êtes mieux placé pour protéger votre marque des mauvais joueurs.

Des produits technologiques existent pour vous permettre d’identifier le dépôt illégal de cookies et d’autres comportements à risque. Vous pouvez commencer à faire apparaître une liste de fournisseurs non autorisés traitant des données personnelles, identifier les sous-traitants qui créent des chaînes de consentement frauduleuses ou déposent des cookies à longue durée de vie. Vous serez également mieux équipé avec des capacités de test globales qui vous permettront de comprendre facilement ce que vous devez faire pour atteindre la conformité dans les différentes régions du monde.

À l’ère de la prise de conscience du respect de la vie privée, il est clair que les consommateurs exigent une protection et un contrôle accrus des données personnelles. Bien que cette responsabilité n’incombe pas uniquement aux éditeurs, il est essentiel que ces derniers, à qui on confie de grandes quantités de données personnelles, continuent d’investir pour assurer la conformité et des flux de revenus fluides.

Il est important de reconnaître que l’amélioration de la protection de la vie privée est un processus ainsi qu’une idéologie en évolution qui nécessite du temps pour se perfectionner. L’ensemble de l’industrie, y compris les éditeurs, doit continuer à adopter des mesures positives dans cette quête de conformité au respect de la vie privée.