Julie Paci

// Responsable Marketing France

Après la déferlante RGPD (Règlement Général sur la Protection des Données) en mai 2018 et tous les efforts que vous avez mis en place pour être en conformité avec ce nouveau règlement européen, vous pensiez enfin être tranquille ? C’était sans compter sur la prochaine directive ePrivacy qui devrait voir le jour dans les prochains mois.

Nous avons récapitulé pour vous dans cet article tout ce qu’il faut savoir sur ce nouveau règlement ePrivacy. Et à encore quelques mois de la mise en place de contrôles par la CNIL (Commission Nationale de l’Informatique et des Libertés), nous vous donnons toutes les clés afin d’anticiper et de préparer au mieux cette nouvelle directive.

Quelle est la différence entre RGPD (Règlement Général sur la Protection des Données) et ePrivacy ?

Nous parlons de RGPD et de directive ePrivacy, mais connaissez-vous réellement la différence entre ces deux termes ? Chez Mailjet, nous nous sommes intéressés de près à la nouvelle directive ePrivacy. En 2018, nous avons commandé une étude pour comprendre l’impact qu’aura l’ePrivacy sur les stratégies marketing et sur le retour sur investissement des entreprises (enquête réalisée auprès de 400 décideurs marketing en France et au Royaume-Uni). D’après cette enquête, 85% des marketeurs affirment connaître la différence entre ePrivacy et RGPD.

Ce n’est pas votre cas ? Pour faire simple, le règlement ePrivacy, appelé règlement « vie privée et communications électroniques » en français, est une lex specialis (loi spéciale) du RGPD. Cela signifie qu’il complète le RGPD par des règles spécifiques qui s’appliquent au secteur des communications électroniques. En tant que loi spéciale, il remplace le RGPD dans les domaines spécifiques qu’il couvre.

Quelle est la date d’entrée en application de la directive ePrivacy ?

A l’origine, le projet de règlement ePrivacy présenté par la Commission Européenne devait être approuvé dans l’Union Européenne en même temps que la mise en œuvre du RGPD, le 25 mai 2018. Cependant, la date d’entrée en application n’a pas pu être tenue compte tenu de l’ampleur de cette régulation qui concerne la quasi-totalité des sites Web et des applications en France.

Mais alors, où en sommes-nous aujourd’hui ? Alors qu’une date d’entrée en vigueur est estimée en fin de cette année, la CNIL vient de présenter en janvier son projet de recommandations qui a été soumis à consultation jusqu’au 25 février. Une fois que le projet sera adopté, la CNIL laissera 6 mois aux entreprises pour s’adapter. Cela laisse donc encore plusieurs mois aux entreprises pour se mettre en conformité et anticiper les conséquences de ce changement.

Qu’est-ce que la directive ePrivacy ?

L’article 82 de la loi « Informatique et Libertés » transpose en droit français la directive 2002/58/CE ePrivacy (ou « vie privée et communications électroniques » en français). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement de l’utilisateur final avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

Définition cookie

D’après la CNIL, un cookie est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site Web sur lequel vous vous connectez. Votre navigateur Web le conservera pendant une certaine durée, et le renverra au serveur Web chaque fois que vous vous y re-connecterez.

Les cookies ont de multiples usages. Par exemple, ils peuvent servir à mémoriser :

  • votre identifiant client auprès d’un site marchand pour que vous puissiez vous connecter plus facilement lors de votre prochaine visite ;
  • le contenu de votre panier d’achat pour que vous retrouviez les articles sélectionnés lors de votre précédente navigation ;
  • votre navigation sur un site Internet pour des finalités statistiques ou publicitaires.

 

Stat

Les cookies peuvent servir à mémoriser votre navigation pour des finalités statistiques

Quels sont les traceurs concernés par le règlement ePrivacy ?

Pour les spécialistes du marketing, il faut savoir que l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Les traceurs suivants peuvent, en particulier, être regardés comme exemptés d’après la CNIL :

  • les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix ;
  • les traceurs destinés à l’authentification auprès d’un service ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service) ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

 
A titre d’exemple, dans le cas d’un service offert via un univers logué, l’éditeur du service pourra utiliser un cookie pour authentifier l’utilisateur sans lui demander son consentement (car ce cookie est nécessaire à la fourniture du service de communication électronique en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si l’utilisateur a effectivement consenti préalablement à cette finalité spécifique dans les conditions rappelées dans les lignes directrices relatives aux cookies et autres traceurs.

Quelles sont les recommandations de la CNIL pour se mettre en conformité avec la directive européenne sur les cookies ?

Les professionnels du secteur du marketing en ligne cherchent aujourd’hui à mieux comprendre leurs obligations issues de la directive ePrivacy. Ils ont notamment fait part à la CNIL d’un besoin de recommandations pratiques, en matière d’information des internautes, sur la manière de concilier les exigences de clarté et de concision, d’une part, avec la nécessité de délivrer une information complète, d’autre part.

Le 4 juillet dernier, la CNIL a publié des lignes directrices visant à synthétiser le droit applicable. Afin d’accompagner les professionnels concernés dans la mise en place de solutions conformes de recueil du consentement, la CNIL a souhaité compléter celles-ci par des recommandations pratiques qui traduisent une application concrète de la réglementation. Mailjet a récapitulé ci-après pour vous les principales recommandations de la CNIL :

  • L’exigence d’un consentement éclairé : Les finalités des traceurs doivent être présentées à l’utilisateur avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation. De plus, l’utilisateur doit pouvoir prendre connaissance de l’identité de l’ensemble des responsables de traitement des données avant de pouvoir donner son consentement ou refuser. Il doit ainsi être pleinement conscient de la portée effective de son consentement.
  • L’exigence d’un consentement libre : Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix. Cela signifie notamment que l’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser de donner son consentement.
  • L’exigence d’un consentement spécifique : L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. La simple acceptation globale de conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique.
  • L’exigence d’un consentement univoque : Le consentement doit se manifester par un acte positif clair de l’utilisateur. Le mécanisme de recueil du consentement doit permettre à la personne d’avoir conscience de l’objectif et de la portée de l’acte qui lui permet de signifier son accord ou son désaccord.
  • Retrait et durée du consentement : Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment. De plus, il doit être aussi simple de retirer que de donner son consentement.
  • Preuve du consentement : Les responsables de traitements doivent être en mesure de démontrer que l’utilisateur a donné son consentement. Ils doivent mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement recueilli le consentement des utilisateurs concernés.
  • Modalités d’usage des cookies : Ce point indique que les traceurs précédemment listés comme étant exemptés du recueil du consentement ne devraient, de préférence, être utilisés que pour une seule et même finalité, afin que l’absence de consentement de l’utilisateur soit sans effet sur l’usage de traceurs nécessaires à sa navigation.

 
Vous trouverez ici l’intégralité du projet de recommandations de la CNIL avec les modalités pratiques de mise en œuvre et des exemples permettant de se conformer aux règles applicables.

Notez que les acteurs ne sont pas susceptibles de faire l’objet d’actions répressives de la CNIL pour non mise en œuvre de ces bonnes pratiques. Cette recommandation, notamment les exemples qui y sont proposés, a pour seul objectif de guider les professionnels concernés dans leur démarche de mise en conformité.

Quels seront les contrôles effectués par la CNIL ?

Les cookies et autres traceurs devraient faire l’objet d’actions de mise en conformité au cours de l’année 2020. Comme annoncé en juillet 2019, le plan d’action de la CNIL comportera deux phases :

  • Une première étape à partir de début 2020, pendant laquelle les actions de la CNIL seront limitées au respect des principes précédemment exposés dans la recommandation de 2013. Des mesures correctrices pourront être adoptées en cas de non-respect des obligations dont le périmètre est précisé depuis 2013 et qui perdurent dans la nouvelle recommandation.
  • Des missions de contrôle sur l’application du nouveau cadre seront ensuite réalisées à la fin de la période d’adaptation annoncée par la CNIL, soit 6 mois après la publication définitive de la recommandation. Ces contrôles porteront notamment sur les acteurs ayant un impact particulièrement important sur le quotidien des citoyens et dont les pratiques posent de sérieuses questions de conformité.

 

Comment la directive sur les cookies va impacter les entreprises ?

D’après l’étude Mailjet, 93% des spécialistes du marketing utilisent aujourd’hui les publicités basées sur les cookies pour atteindre leurs clients. Avec la nouvelle réglementation ePrivacy, les entreprises auront l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Du point de vue des marques, cela pourrait signifier une réduction drastique du nombre de données détenues sur les internautes. Les professionnels ont bien compris qu’il leur faudrait alors revoir leur stratégie marketing, avec 30% qui prévoient de réduire le nombre de publicités basées sur les cookies, et ce immédiatement après l’entrée en vigueur de la nouvelle réglementation ePrivacy.

Pour certains secteurs tels que celui des médias, la directive ePrivacy menace même leur modèle économique sur Internet. En effet, d’après le Syndicat de la Presse Quotidienne Nationale, le recueil de données anonymisées permet notamment aux rédactions de mieux connaître les centres d’intérêts éditoriaux de chaque lecteur et de développer des offres de contenus adaptées.

D’après Marie-Laure Denis, Présidente de la CNIL, « la CNIL ne nie pas que l’application de la loi européenne et de la loi nationale est susceptible d’avoir un impact sur le modèle économique de certains acteurs. C’est pourquoi la commission a privilégié une méthode concertée et progressive tout en restant pragmatiques. La CNIL a par exemple dressé une liste des cookies exemptés du consentement. » (source : Le Monde)

Marie-Laure Denis, Présidente de la CNIL

Quels changements les spécialistes du marketing peuvent-ils implémenter pour préparer ePrivacy ?

Mais alors quelles solutions peuvent être mises en place afin de compenser cette réduction du nombre de données récupérées via les cookies ? Voici quelques pistes de changements que les spécialistes du marketing peuvent implémenter dès aujourd’hui pour préparer l’entrée en vigueur d’ePrivacy :

  • Recueillir les données sur leurs publics via d’autres moyens que les cookies, par exemple par le biais d’enquêtes ou de sondages d’opinion. Cette solution présente notamment l’avantage d’améliorer la compréhension des motivations et besoins des consommateurs.
  • Revoir leurs priorités concernant leurs canaux d’acquisition. Par exemple, 80% des spécialistes du marketing déclarent qu’ils utiliseront davantage l’email marketing après l’entrée en application d’ePrivacy d’après l’étude Mailjet.
  • Déterminer de nouveaux formats publicitaires créatifs qui ne sont plus conditionnées par le seul recueil de données personnelles. Par exemple, Facebook testerait de nouvelles formes de publicité search sur le modèle de Google Adwords.

 
Malgré les conséquences potentielles de la nouvelle directive ePrivacy, une majorité des professionnels estiment que cette nouvelle réglementation représentera un changement positif pour leur entreprise sur le long terme. L’ePrivacy incitera leur marque à être plus transparente sur les informations qu’ils suivent, ce qui aidera les clients à les considérer comme plus dignes de confiance.

Comment Mailjet peut vous aider ?

Alors que l’emailing est le canal marketing qui présente le meilleur retour sur investissement, de nombreuses entreprises prévoient d’ores et déjà d’utiliser davantage l’email marketing après l’entrée en application de la nouvelle directive ePrivacy. Vous pouvez tester Mailjet dès aujourd’hui pour vos emails marketing.

Mailjet

L’éditeur d’emails de Mailjet

En tant que solution emailing, Mailjet place sécurité et la confidentialité des données au coeur de ses priorités. Mailjet détient la certification ISO 27001, la norme internationale de sécurité des systèmes d’information, ainsi que la certification d’AFNOR garantissant le respect des grands principes du RGPD. Mailjet offre ainsi à ses clients le plus haut niveau de sécurité et de confidentialité de leurs données à caractère personnel.