Suivi sans cookie

von Katrin Nebermann

Les médias marketing utilisent des termes tels que ”cookiecalypse” ou ”cookiegeddon” lorsqu’il s’agit de limiter l’utilisation des cookies. Une chose est sûre : La fin de certains cookies a sonné et leur utilisation est strictement réglementée par la loi. Les allusions à la fin du monde qui en découle sont non seulement très exagérées, mais aussi tout simplement fausses. En effet, il existe depuis longtemps des solutions d’analyse web et de suivi des conversions qui se passent de cookies tout en fournissant une base de données solide. Dans cet article, nous expliquons le contexte technique et juridique, ce qui est possible avec le tracking sans cookie et ce à quoi il faut faire attention.

Dans quelle mesure les cookies fonctionnent-ils encore pour le suivi ?

Les cookies ne remplissent leur fonction que s’ils sont stockés dans le navigateur, c’est-à-dire s’ils ne sont pas systématiquement bloqués. Mais ce n’est pas tout, car la durée de stockage ou de fonctionnement est également importante. Cette dernière n’est plus seulement déterminée par l’émetteur du cookie, mais de plus en plus par les paramètres par défaut du navigateur. Les restrictions de stockage et de durée varient selon les navigateurs et dépendent fortement du type de cookie et de la classification du service de suivi. Le site cookiestatus.com fournit un bon aperçu actualisé. Apple est le plus restrictif avec Safari et la prévention intelligente du traçage (ITP), selon laquelle l’expiration des cookies est réduite à un jour si l’utilisateur a suivi un lien avec des paramètres de traçage connus. Du côté du navigateur, il devient ainsi de plus en plus difficile d’analyser les parcours clients au-delà d’une très courte fenêtre de temps.

Cookies de suivi uniquement après un consentement valide

La directive européenne ePrivacy et la loi nationale sur la protection des données dans les télécommunications et les médias (TTDSG), qui entrera en vigueur le 1er décembre 2021, exigent un consentement explicite, informé et équivalent à un refus avant l’installation de cookies non indispensables. Comme ces cookies ne procurent pas d’avantage immédiat à l’utilisateur et qu’ils ont plutôt mauvaise réputation, une grande partie des utilisateurs refusent de les utiliser si la possibilité de les refuser est conforme à la protection des données, c’est-à-dire qu’elle n’est pas rendue difficile ou cachée.

Les autorités de surveillance se sont déjà prononcées clairement contre le nudging et les dark patterns dans la conception des contenus et renforcent leur action contre les infractions. Ce sujet est également au centre des préoccupations des organisations de protection des consommateurs telles que la Verbraucherzentrale Bundesverband (vzbv) et noyb de Max Schrems. Max Schrems procède même de manière systématique et utilise des procédures automatisées pour vérifier et mettre en garde contre les bannières de cookies. Le TTDSG assure également des possibilités de sanctions supplémentaires et une centralisation des poursuites en cas d’infraction.

Comme le montre l’étude etracker Consent Benchmark, le consentement n’assure pas seulement une réduction de la base de données, mais également une distorsion des données saisies. Le biais provient du fait que les taux de consentement varient considérablement en fonction de la source d’origine et de la campagne. Or, il est impossible de piloter efficacement une campagne sans données suffisantes et fiables.

Suivi sans cookie et sans contenu

Les entreprises feraient bien de se préparer le plus rapidement possible à l’ère de l’après-cookie et de passer au suivi sans cookie. Mais cela ne suffit pas ! Bien que le sujet du consentement des cookies soit sous les feux de l’actualité, les conditions à remplir selon la législation actuelle pour permettre le tracking sans consentement préalable exigent bien plus que la simple suppression des cookies. Il s’agit de savoir ce qui se passe avec les données dans le cadre du suivi et quel type de données est traité et où. Le simple passage à un suivi sans cookie ne suffit donc pas.

Les entreprises doivent plutôt veiller à utiliser des solutions qui répondent à toutes les exigences d’un suivi conforme à la loi sans opt-in. Ce n’est qu’ainsi qu’elles pourront évaluer de manière fiable le comportement d’utilisation et la performance des campagnes.

Tout cela doit être respecté afin que les intérêts de l’utilisateur final ne prévalent pas et que l’obligation de consentement puisse être levée :

TTDSG :

• Pas d’utilisation de cookies d’analyse (les cookies fonctionnels en cas d’opt-out ou d’utilisation du stockage local pour mettre en mémoire tampon les transmissions de suivi sont en revanche acceptables).
• Pas de lecture d’identifiants tels que les ID d’appareils, les numéros IMEI, les adresses Mac ou les identifiants publicitaires

RGPD :

• Pas d’empreintes digitales ni de technologies similaires pour une reconnaissance permanente
• Pas de transfert de données vers des pays tiers non sûrs comme les États-Unis
• Pas de transfert ou d’utilisation par les transformateurs eux-mêmes
• Pas de fusion via des sites web de différents fournisseurs et, par exemple, enrichissement de données sociodémographiques provenant d’autres sources du processeur
• La ré-identification doit être exclue, par exemple par le biais d’un lien vers les comptes d’utilisateurs du processeur.
• Pas d’enregistrement de la souris ou de la session

Le mode de consentement ne protège pas de l’obligation de consentement

Avec ce que l’on appelle le mode de consentement, Google offre la possibilité de réagir au consentement ou au refus dans le mode de consentement et de transmettre le statut de consentement à Google. En cas de refus des cookies de marketing et d’analyse, Google indique qu’il ne met à disposition que des valeurs de mesure agrégées et non identifiantes. Toutefois, cela n’empêche pas le transfert de données vers les États-Unis. La question de savoir si toutes les autres exigences relatives à la liberté de consentement sont également remplies, notamment en ce qui concerne l’utilisation des données par Google lui-même, reste floue et n’a pas encore été confirmée par les autorités de contrôle. En attendant, quel que soit le mode utilisé, la décision de la conférence sur la protection des données concernant Google Analytics, qui exige toujours un consentement préalable, s’applique.

Ainsi, le mode de consentement de Google Analytics permet éventuellement de respecter les directives TTDSG en ce qui concerne l’utilisation de cookies, mais ne dispense pas de l’obligation de consentement conformément au RGPD.

Que fait le suivi sans cookie ?

Les cookies sont utilisés pour associer des interactions mesurées individuelles, telles que des pages vues ou des événements de clic, et des objectifs, tels que des commandes, des inscriptions ou des demandes, à une visite, ainsi que différentes visites à un visiteur. En règle générale, une visite est considérée comme une série d’interactions d’un visiteur entre lesquelles il y a eu moins de 30 minutes d’interruption ou entre lesquelles l’onglet ou le navigateur n’a pas été fermé. Comme certaines informations transmises par le navigateur sont constantes au cours d’une visite, mais différentes entre les différents utilisateurs, elles peuvent être utilisées à la place des cookies pour attribuer des interactions à une visite. Pour ce faire, les différentes informations sont combinées en un identifiant (à l’aide d’un procédé de hachage). Si les interactions mesurées sont associées au même identifiant, elles sont attribuées à un visiteur ou à une visite.

Cette procédure ne nécessite donc pas de ”stockage d’informations dans l’équipement terminal de l’utilisateur final ou d’accès à des informations déjà stockées dans l’équipement terminal”^.1 L’obligation de consentement prévue par l’article 25 de la loi sur la protection des données dans le secteur des télécommunications et des télémédias (TTDSG) n’est donc pas applicable.

Toutefois, pour répondre aux exigences du RGPD en matière d’intérêt légitime, l’identifiant ne doit inclure que l’adresse IP anonymisée du visiteur et il faut éviter que l’identifiant n’entraîne une reconnaissance de longue durée. Pour s’en assurer, il suffit d’ajouter une valeur aléatoire changeant quotidiennement lors de l’encodage.

Le fonctionnement est schématisé dans le graphique suivant, à partir d’un visiteur ayant effectué trois visites sur deux jours :

Ainsi, dans le cadre du suivi sans cookie et sans contenu, les analyses concrètes suivantes ne sont pas possibles au-delà de la limite journalière :

• Nombre de visiteurs (uniques) et fréquence des visites au cours de la période
• Distinction entre les nouveaux visiteurs et les visiteurs récurrents
• Des parcours clients plus longs et l’attribution marketing

Dans la pratique, cela ne constitue toutefois pas un inconvénient majeur, car la reconnaissance d’un visiteur au moyen de cookies pendant une période supérieure à 24 heures est rendue impossible par certains navigateurs, comme décrit ci-dessus, et nécessite toujours le consentement. Par conséquent, les analyses à long terme à l’aide de cookies ne sont généralement possibles que de manière très limitée dans la pratique.

Il existe une autre solution pour gérer efficacement les campagnes avec un suivi sans cookie, même dans le cas de parcours clients plus longs, et pour optimiser les stratégies d’enchères en fonction d’autres facteurs que les clics : la gestion des prédicteurs au sein de chaque visite pour les conversions ultérieures. Ces prédicteurs peuvent être : le temps passé sur le site, le nombre de pages vues, la consultation de pages de produits, l’interaction avec des configurateurs, par exemple pour des voitures, ou des calculateurs, par exemple pour des crédits. L’effet secondaire positif est que ces données sont généralement beaucoup plus nombreuses que celles relatives aux actions de conversion finales, ce qui permet aux algorithmes d’apprendre et d’optimiser plus rapidement.

Il n’y a pas de restrictions pour toutes les autres analyses liées aux visites. Cela inclut entre autres

• Enregistrement de l’origine avec l’URL de référence et, le cas échéant, les paramètres de la campagne
• Pages vues et affectation à des domaines en fonction de la structure de l’URL
• appels de liens audio et vidéo, externes, par e-mail et par téléphone, téléchargements et événements de clics individuels
• Événements de défilement par page : 0-9%, 10-24%, etc.
• Interactions de formulaire, y compris les erreurs par champ de formulaire
• Appareils et navigateurs utilisés, y compris les paramètres linguistiques
• Articles recherchés, consultés, notés, ajoutés au panier et commandés

En résumé, on peut dire

L’avenir appartient au tracking sans cookie.

En effet, il présente de nombreux avantages :

• C’est l’une des conditions pour permettre un tracking conforme à la loi sans consentement.
• Il lutte contre les pertes et les distorsions de données dues à Consent.
• Il peut épargner aux propriétaires et aux visiteurs de sites Web les dialogues ennuyeux sur les cookies.
• Il rend indépendant et résilient aux restrictions des cookies imposées par les fournisseurs et les plug-ins des navigateurs.

---

^{1Loi sur la protection des données dans le domaine des télécommunications et des télémédias}(TTDSG) § 25

Clause de non-responsabilité

Ces explications ne constituent pas un conseil juridique et ne peuvent pas remplacer un conseil juridique individuel. Il s’agit d’une analyse technique et d’un résumé du sujet. En cas de besoin, nous vous mettrons volontiers en contact avec un avocat spécialisé.