Comment respecter RGPD et ePrivacy avec Piano Analytics ?
La solution de suivi des audiences a multiplié les garde-fous pour bénéficier de l'exemption de consentement de la Cnil.
Concilier le besoin d'avoir des données pour les analyses et respecter en même temps les différentes directives encadrant ces données n'est pas toujours évident pour les entreprises. Une solution peut être d'utiliser un outil ayant obtenu l'exemption de consentement de la part de la Cnil. "Sous réserve d'en faire un usage strictement nécessaire au fonctionnement et aux opérations d'administration courante du site web ou de l'application", selon l'autorité administrative française.
Pour cela, différentes conditions doivent être respectées. Afin d'être exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés, ces traceurs, c'est-à-dire les cookies, doivent notamment "avoir une finalité strictement limitée à la seule mesure de l'audience du site ou de l'application (...), pour le compte exclusif de l'éditeur", rappelle la Cnil. Ils doivent "servir à produire des données statistiques anonymes uniquement."
À l'inverse, ils ne doivent pas "conduire à un recoupement des données avec d'autres traitements ou à ce que les données soient transmises à des tiers." Ils ne doivent également pas "permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web.(...)"
Des demandes prises au sérieux par la solution Analytics Suite Delta (ex AT internet), renommée Piano Analytics. L'entreprise déclare que les données sont entièrement détenues par les clients. Stockées dans l'Union européenne, elles ne sont ni vendues ni transférées. "Nous proposons différents contrôles exclusifs des données," assure Mickael Lucarelli, eenior solutions engineer chez Piano. "Nous ne les utilisons pas pour d'autres business à côté." Une équipe de consultants et d'experts de Piano Analytics s'occupent aussi de la mise en conformité avec la RGPD, ainsi que du processus d'exemption de consentement. "L'idée est de donner la main à nos clients et à leur DPO pour définir ce que l'on collecte, en fonction du niveau de consentement de l'utilisateur." Grâce notamment à ses mesures, Piano Analytics est exempté de consentement par la Cnil.
Une même interface pour comparer les différentes données
Conséquence notamment de cette exemption, l'utilisateur de Piano Analytics peut analyser un grand nombre de données récoltées. "Nous pouvons les assembler dans un même environnement, afin d'effectuer une analyse globale, dans un seul et même endroit", explique Mickaël Lucarelli.
Avec Piano Analytics, donc, fini les données organisées en silos, comme dans d'autres solutions. Mickael Lucarelli raconte : "les données sont réunies au sein d'un même data model. Grâce à cela, nous pouvons avoir une vue intégrale des données. Cela nous offre la possibilité d'incrémenter les métriques, comme le nombre réel de visiteurs, ou encore les pages vues."
Pour mieux saisir l'intérêt de cela, il suffit de visionner les données dans l'outil Piano Analytics. Rendez-vous dans la section "Audience", située en haut à gauche de l'interface graphique, puis dans "Privacy". On voit apparaître dans un même environnement les données collectées. Différentes méthodes ont été utilisées : en "opt-in", c'est-à-dire lorsque l'utilisateur a donné son accord, en mode "exempté", et en "opt-out" ou "extended opt-out", lorsque l'utilisateur n'a pas donné son aval pour la récolte de données. "L'opt-out et l'extended opt-out amèneront une collecte minime, voire inexistante", analyse Mickael Lucarelli. "Le mode le plus intéressant est le mode exempté. C'est une liste de propriétés qui avait été validée auprès de la Cnil et par notre DPO. Nous l'utilisons nativement. Ce répertoire peut être modulable en fonction des besoins des entreprises."
Notons que le mode le plus utilisé par les clients de Piano Analytics est la mesure hybride. Dans ce cas, la bannière de cookie s'affiche sur le site du client. "Si nous passons en mode accepté, ou opt-in, nous pouvons réaliser une collecte étendue des données", narre Mickael Lucarelli. "Lorsque la personne n'accepte pas les cookies, nous passons en mode exempté ou extended opt-out. Nous allons alors être un peu plus limité sur la collecte, mais nous allons quand même récolter un certain nombre de données."
Indiquons aussi que sur le graphique, les rectangles gris correspondent au résultat de la période de comparaison sélectionnée. Ceux en couleur correspondent à la période principale d'analyse.
Exigences de l'ePrivacy et du RGPD
Afin de mieux saisir l'intérêt de cette collecte, rappelons que ces dernières années, différentes mesures sont venues encadrer la gestion des données par les outils Analytics. Parmi elles, l'ePrivacy. L'article 82 de la loi "Informatique et Libertés" transpose en droit français la directive 2002/58/CE ePrivacy, ou "vie privée et communications électroniques", une loi spéciale du RGPD. Elle prévoit notamment l'interdiction de l'utilisation de traceurs sur un terminal utilisateur, sauf s'il y a eu consentement ou exemption. Le RGPD, de son côté, explique par exemple dans l'article 7.3 qu'il doit être "aussi simple de retirer que de donner le consentement."