Entre annonces de la CNIL et des navigateurs, quel avenir pour les cookies publicitaires ?

La CNIL avait prévenu et haussé le ton cet été en lançant son plan d’action sur le ciblage publicitaire et les cookies tiers. L’écosystème marketing et publicitaire sait maintenant à quoi s’en tenir après la publication, le 14 janvier dernier, du projet de recommandation sur les cookies et autres traceurs. Sans surprise, le gendarme français de la protection des données durcit les règles de collecte du consentement et en profite pour donner (enfin !) des recommandations claires sur les mécanismes autorisés et le design attendu.

Suite à la validation finale de ces recommandations courant mars 2020 après la phase de consultation publique, les annonceurs auront ensuite 6 mois pour se mettre en conformité. Tout l’enjeu sera alors de mettre à profit cette période de transition pour, au-delà de se mettre en conformité, maîtriser les nouvelles règles du jeu dans un écosystème digital où la Privacy s’est, au cours des dernières années, octroyée une place de choix. 

Les 4 principaux axes de recommandations proposés par la CNIL

Le projet de recommandation de la CNIL, sur les modalités pratiques de recueil du consentement sur les cookies contient 9 articles détaillés sur 21 pages. Pas de panique, nous avons résumé pour vous les 4 éléments clés à retenir !

• Les traceurs visés concernent le web et les applications mobiles

Ce n’est pas une surprise, ces recommandations portent à la fois sur les environnements web mais également sur les environnements applicatifs, souvent considérés comme les parents pauvres de la conformité. Par ailleurs même si la CNIL cible tout particulièrement les cookies tiers publicitaires, ce sont bien toutes les familles de cookies qui sont concernées, à l’exception des cookies fonctionnels (paniers, login, AB testing). Enfin, les cookies de mesure d’audience (permettant au propriétaire d’un site de comprendre ce qui s’y passe) peuvent être exemptés dans certains cas très précis, comme spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs. 

• La poursuite de navigation ne vaut plus consentement, il faut dorénavant un consentement explicite

Cette nouvelle restriction est l’application stricte des principes du RGPD en matière de collecte de consentement en tant que « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair ». Désormais, seul un clic sur le bouton d’acceptation permet de déposer les cookies. L’absence de choix du côté de l’utilisateur équivaudra donc à un refus : dans ce cas, aucun cookie ne pourra être déposé.

La fin du soft opt-in aura nécessairement des impacts sur le volume de données collectées, la mesure des différents KPIs média et analytics, mais également sur les possibilités d’actions et d’activations marketing.

• Le refus des cookies doit être aussi simple que leur acceptation

Cette mesure de symétrie du choix est le nouveau cheval de bataille de la CNIL, qui avait déjà annoncé la couleur au printemps 2019 dans un rapport intitulé « La forme des choix, données personnelles, design et frictions désirables », où elle décrivait le lien entre le design des interfaces, les biais cognitifs et la protection des données. Désormais, les boutons « Accepter » et « Refuser » doivent être mis sur un plan d’égalité, sans design trompeur ou incitatif.

Il s’agit d’une des mesures les plus critiquées par les professionnels du secteur puisque, selon une conférence de l’EBG sur le marketing et le RGPD en janvier 2020, le refus des cookies tiers publicitaires pourraient atteindre 85 % dans certains secteurs d’activité.

• Le consentement doit être granulaire et stockable

Le dernier élément clé à retenir de ce projet de recommandation de la CNIL est le fait de pouvoir proposer un consentement sur trois niveaux d’information à l’utilisateur. Un premier niveau, très général, au niveau du bandeau. Un deuxième niveau plus détaillé, par grandes finalités d’utilisation des données (cookies de mesure d’audience, cookies publicitaires, cookies fonctionnels…). Et enfin, un troisième niveau par « solutions technologiques », c’est-à-dire la liste exhaustive des destinataires des données (outils, régies et autres acteurs utilisant les données collectées sur le site). 

Ci-dessus l’exemple de la CNIL présentant la possibilité de consentir de manière granulaire, offerte sur un second niveau d’information via un bouton « personnaliser mes choix ».

Pour les professionnels du secteur, cette granularité des choix ne pourra se faire sans la mise en place d’une Consent Management Platform (CMP). Cette brique technologique permet en effet de proposer une finesse de choix à l’utilisateur et de stocker le consentement. En effet, la CNIL impose le fait de garder la preuve du recueil du consentement de l’utilisateur. Les annonceurs devront donc s’équiper en CMP si ce n’est déjà le cas, et surtout bien s’assurer que celle-ci s’interface correctement avec leur système de Tag Management ( TMS ), afin que le choix granulaire de l’utilisateur sur l’interface déclenche les bonnes règles d’acceptation ou de refus des cookies. 

Voir au-delà du cadre réglementaire : des bloqueurs de publicité aux navigateurs

Au-delà du cadre réglementaire et des recommandations actuelles de la CNIL, il est nécessaire d’analyser les limitations technologiques imposées par les navigateurs et les restrictions mises en place directement par les utilisateurs finaux eux-mêmes, notamment via les bloqueurs de publicité ou ad blockers. En réalité, ce sont donc trois dynamiques qui remettent fortement en question la pertinence des cookies tiers. 

Les 3 dynamiques qui remettent en question la pertinence des cookies tiers

• Les limitations imposées par les utilisateurs finaux et les bloqueurs de publicité 

La première dynamique, bien avant la réglementation, est bien sûr la tendance croissante des bloqueurs de publicité, initiée par les utilisateurs eux-mêmes. Et contrairement aux idées reçues, un bloqueur de publicité ne se limite pas à sa fonction première. Il bloque certes les publicités, mais certains vont plus loin et bloquent également tous les appels aux différents tags d’adserving, de mesure d’audience ou de conversion, les plus stricts allant même jusqu’à désactiver les TMS. 

En France, le taux d’adoption en 2019 est de 30 %, avec cependant certaines disparités. Sans surprise, les 18-24 ans sont les plus à même d’installer un bloqueur de publicité, à 48 %. Ce dernier chiffre rejoint la moyenne d’adoption dans le monde, qui est de 47 %. 

Plus inquiétant, 51 % des français interrogés estiment que «  les logiciels de blocage des publicités leur évitent d’être ciblés par des annonces basées sur leurs données personnelles ». Pourtant, 58 % d’entre eux seraient prêts à filtrer les publicités au lieu de les bloquer totalement. Un espoir pour une publicité plus saine et moins intrusive ?

• Les limitations technologiques mises en place par les navigateurs depuis deux ans

La seconde dynamique qui avait en réalité déjà bouleversé l’usage des cookies tiers est bien technologique. Apple avait amorcé le mouvement en 2018 avec sa mesure ITP, suivi de près par Firefox avec ETP. Aujourd’hui, c’est Google qui fait le grand saut en promettant la fin des cookies tiers sur Chrome d’ici 2022, avec sa Privacy Sandbox. 

Les navigateurs ont donc imposé en quelques années ce que les régulateurs tentaient de faire depuis plus de 10 ans. Mais de nombreuses solutions de contournement existent, du faux cookie first-party au Local Storage, en passant par CNAME Records, le fingerprinting ou le cookie côté serveurs… Google, en acteur dominant, a sifflé la fin du match en se donnant deux ans pour éliminer l’utilisation de cookies tiers sur son navigateur maison, et va proposer au marché de nouvelles solutions publicitaires plus respectueuses de la vie privée des utilisateurs.

Au-delà de cette guerre technologique, les navigateurs et les géants du numérique opèrent un virage de positionnement pour se placer en tant que défenseurs de la vie privée. On peut notamment penser à Apple qui insiste dans ses récentes communications sur le fait que « la protection de la vie privée est plus importante que jamais ». 

Côté annonceurs, il est donc déconseillé de partir à la course à l’implémentation des différentes solutions de contournement qui ne seraient pas durables dans le temps. Au contraire, il faut impérativement comprendre cette tendance pour installer sa marque comme un acteur responsable, notamment en testant des solutions alternatives pérennes pour préparer le futur, et investir dans les bonnes solutions technologiques.

Les motivations politiques de la CNIL et marketing d’Apple ont finalement sonné la fin des cookies tiers, rouage jusqu’ici essentiel pour l’industrie du numérique. Ces décisions sont en train de bouleverser l’écosystème adtech, et certains acteurs n’en sortiront pas indemnes… 

Cependant, le marketing digital n’est pas mort, au contraire : il s’agit pour les professionnels du secteur de négocier au mieux le virage de la privacy et de capitaliser sur les solutions qui s’offrent à eux. Rappelons que le délai de mise en place de ces nouvelles recommandations CNIL est de 6 mois suite à leur validation courant mars, laissant le temps aux annonceurs et médias de travailler sur des stratégies alternatives, en misant notamment sur la donnée et les canaux first-party ( CRM, audience loguées, scoring…), ou sur de toutes nouvelles techniques comme le fait Chrome avec sa « Privacy Sandbox ». Il y a donc fort à parier que l’industrie saura rebondir face à ce nouveau défi !