Livre blanc sur le respect de vie privée en Europe par la Digital Analytics Association

Une nouvelle législation sur la protection des données collectées en ligne a en effet été votée par le Conseil Européen le 25 novembre 2009 et a ensuite été retranscrite dans les 27 parlements nationaux. On surnomme souvent cette nouvelle législation la "loi sur les cookies" ou "cookie law".

Pour le cas de la France, cette nouvelle réglementation est en vigueur depuis le 24 août 2011 dans le cadre d'une ordonnance par le gouvernement français qui complète la loi "Informatique et libertés". Un article très intéressant est à ce sujet disponible sur le site de la CNIL. J'ai par ailleurs organisé une conférence à ce sujet lors du dernier salon VAD e-commerce à Lille en octobre 2012, dont vous trouverez la vidéo ci-dessous.

En quoi cette nouvelle législation concerne-t-elle le monde du Digital Analytics ? Si l'on suit la nouvelle loi à la lettre, il faut normalement 1. informer chaque visiteur d'un site sur le fait que nous souhaitons installer un cookie pour suivre son comportement avec une solution de Digital Analytics 2. lui demander son consentement et  3. lui donner le droit de s'y opposer.

Dans la réalité, les instances de mise en oeuvre de cette législation dans chaque pays ont une interprétation différente du mode de gestion des cookies pour les solutions de Digital Analytics.

Dans le cas de la France, la CNIL reconnait que "(...) Compte tenu, d’une part, de la finalité spécifique de ces cookies et, d’autre part, du risque très limité sur la protection de la vie privée que pose ce type de traitement dans certaines conditions, la CNIL a décidé de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées. Pour bénéficier de cette exemption au consentement, la CNIL considère cependant qu’un tel traitement doit respecter des conditions particulières afin de respecter l’intérêt ou les droits et libertés fondamentaux de la personne concernée. (...)" (voir toutes les conditions à réunir dans le point 5 dans le texte suivant).

Dans d'autres pays comme pour les Pays-Bas, l'équivalent local de la CNIL demande l'autorisation préalable pour tout cookie de Web Analytics, ce qui amène certains éditeurs de site à demander l'autorisation d'utiliser des cookies avant d'entrer et d'utiliser le site (exemple sur le site www.publiekeomroep.nl). L'impact direct de cette pratique d'un point de vue Digital Analytics est l'absence de provenances dans les rapports.

Le livre blanc de la Digital Analytics Association résume les principaux cas de figure par pays en page 7.

L'absence d'harmonisation des pratiques pour la gestion des cookies au niveau européen a décidé la commission européenne à mettre en place une nouvelle législation qui sera identique dans tous les pays. Aux dernières nouvelles d'après Geddy Van Elburg, cette nouvelle législation devrait être discutée au parlement européen en avril 2013 pour une mise en place en 2015.

D'ici là, je recommande à tous les Digital Analysts de France et de Navarre de bien lire le livre blanc de la Digital Analytics Association, ainsi que l'article de la CNIL afin de s'assurer que leurs employeurs ou clients respectifs sont bien en règle par rapport à la législation actuellement en vigueur dans les pays où ils ont une activité. Les amendes peuvent en effet aller jusqu'à 300 000 € pour le cas de la France.