Un faux bon plan pour espionner ses internautes en toute discrétion ?
Les éditeurs web ont récemment été bousculés par la réglementation applicable aux cookies. Face à ce constat, certains ont cherché un autre moyen de « pister » les utilisateurs sans leur demander leur consentement ni délivrer aucune information, pensant ainsi passer sous les radars de la CNIL.
Parmi eux, l’opérateur téléphonique Bouygues Telecom, visé par une plainte de l’association eWatchers, pour avoir installé au sein de ses mails promotionnels des pixels invisibles, autrement appelés web beacon.
Qu’est-ce que ce mystérieux dispositif ? Permet-il réellement d’échapper à la réglementation ? Comment l’utiliser dans les règles ?
-> Le pixel invisible : de quoi s’agit-il ?
Le pixel invisible, ou web beacon, est une image déposée par un navigateur web ou un e-mail. Lorsque l’internaute ouvre son e-mail ou une page web, le pixel enregistre la visite et/ou ses actions. Le traceur produit ensuite des statistiques sur les impressions publicitaires en ligne, les téléchargements de fichiers et les campagnes publicitaires. Il peut également indiquer à l’annonceur les emails lus par leurs destinataires.
Autrement dit, le pixel espion peut avoir des finalités similaires à celles des cookies. Il s’avère juste plus compliqué à repérer pour l’internaute. Malheureusement pour les éditeurs de sites web, les règles sont les mêmes, le consentement et l’information s’imposent.
-> Quelles sont les règles applicables ?
En application de la directive ePrivacy et de la Loi Informatique et Libertés, les internautes doivent être systématiquement informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs tels que les pixels invisibles.
-> Et les cookies de Google Analytics dans tout ça ?
Un des pixels espions utilisés par Bouygues appartenait à Google Analytics, outil plébiscité de la mesure d’audience. Hormis l’information de la présence de ce traceur, Bouygues aurait-il pu invoquer l’exemption de consentement pour justifier l’absence de son recueil ?
Non. Les cookies et autres traceurs de Google Analytics ne pourront jamais répondre à ces conditions, tout simplement parce que les données sont toujours utilisées pour le propre compte de Google et non pour le compte exclusif de l’éditeur.
En effet, la page d’aide à l’utilisation de l’outil fournie par Google indique que la collecte des adresses IP permet à Google Analytics de déterminer la géolocalisation d’un visiteur, de protéger le service et d’assurer la sécurité de ses clients. Ce dispositif n’est donc pas limité aux finalités prévues par l’exemption, à savoir, la mesure d’audience.
De plus, la plupart des éditeurs estiment que l’activation de l’anonymisation proposée par Google Analytics permet de passer outre le recueil de consentement en l’absence de données personnelles transférées à Google. Or, l’article 82 de la Loi Informatique et Libertés vise tout type de données et non uniquement les données personnelles. L’anonymisation de l’adresse IP n’est ainsi pas une mesure suffisante pour ne pas avoir à collecter le consentement de l’utilisateur.
Par conséquent, l’éditeur du site web est contraint de demander le consentement ou de se tourner vers les outils présents sur le site de la CNIL « Cookies : solutions pour les outils de mesure d’audience » qui pourront répondre aux conditions d’exemption de consentement.
-> En bref, comment Bouygues Telecom aurait dû procéder ?
L’opérateur aurait dû indiquer une mention d’information complète sur les pixels espions utilisés lors du recueil du consentement pour l’envoi des mails promotionnels, et demander un consentement distinct pour ces envois et pour le dépôt de traceurs dans lesdits mails.
-> En savoir plus
Photo Chris Yang – Unsplash