Données clients, Sécurité

RGPD : pourquoi les grands sites d’infos ne sont toujours pas en règle

RGPD : pourquoi les grands sites d’infos ne sont toujours pas en règle

Seuls sept des vingt sites d’actualité les plus consultés de France ont installé une CMP leur permettant de prouver que l’internaute a consenti à ce que ses données de navigation soient exploitées.

A peine avait-on eu le temps de s’habituer aux encadrés des sites web en matière d’utilisation des cookies qu’il faut désormais supporter ceux sur la politique de gestion des données. Des fenêtres qui ne se contentent plus d’informer l’internaute, elles lui demandent explicitement son accord pour l’utilisation des dits cookies. Pourquoi infliger ce clic supplémentaire avant d’accéder au contenu ? La réponse tient en quatre lettres : RGPD. Depuis l’entrée en vigueur le 25 mai dernier du règlement européen sur la protection des données personnelles, les éditeurs de sites Internet ont l’obligation de prouver ce consentement. Pour cela, ils utilisent un nouvel outil, la CMP, pour consent management platform, qui génère notamment les agaçantes fenêtres. En France, ils sont plus de 7 500 à avoir installé la technologie de Quantcast, le numéro 1 du marché.

Les sites médias ayant une CMP compatible avec le RGPD
1 France info Non 11 L’Express Non
2 Le Figaro Non 12 Le Huff Post Non
3 BFM TV Non 13 RTL Oui
4 Le Parisien Non 14 L’Obs Non
5 L’internaute Non 15 Actu.fr Oui
6 Le Monde Non 16 Le Point Non
7 20 minutes Oui 17 Sud Ouest Oui
8 Ouest France Oui 18 Libération Non
9 LCI Non 19 La Dépêche Oui
10 Europe 1 Non 20 Orange actu Oui

Problématique dans la mesure où, comme tout autre site utilisant la donnée de leurs visiteurs à des fins de ciblage en tous genres (éditos, serviciel, pub), les éditeurs doivent non seulement pouvoir prouver le consentement mais aussi donner la possibilité de retirer cet accord à tout moment.

C’est pour répondre à ces deux obligations que l’IAB Europe a défini un cadre de gestion du recueil et de la traçabilité du consentement. Un framework qui permet d’assurer que l’utilisateur dont la data est associée à une impression publicitaire (bid request) a bien communiqué son consentement. Charge à l’éditeur d’installer une CMP qui lui permet de récolter chaque consentement et de le transmettre au moment de l’envoi de la bid request, en interfaçant cette CMP avec le frameworkde l’IAB.

La Dépêche a choisi le français Didomi alors qu’Actu.fr a penché pour l’américain Quantcast

De nombreux prestataires ont vu le jour et ils sont selon nos estimations actuellement une centaine à proposer une technologie de CMP. La Dépêche s’est adjoint les services du Français Didomi alors qu’Actu.fr a choisi l’Américain Quantcast. Pour ces deux acteurs, l’affichage est limpide, au plein cœur de la page et la gestion des cookies se fait en un clic. En ce qui concerne le site de 20 minutes, une CMP est certes présente… mais bien cachée. Pour choisir quels cookies il accepte de partager, l’utilisateur doit d’abord cliquer sur le lien “Paramétrer les cookies” qui est présent dans le bandeau de bas de page qui s’affiche lors de son arrivée sur le site. Il atterrit alors sur une “Notice pour la gestion des cookies et vie privée” où en scrollant il retrouve à nouveau une option “Paramétrer les cookies” qui permet l’affichage de la CMP et la possibilité d’autoriser le partage des cookies d’analytics, de pub et de personnalisation de la newsletter. “Le consentement s’obtient dès lors que le lecteur fait une action sur notre site (clic, scroll, fermeture du bandeau)”, explique le patron du digital de 20 minutes Mickael Fromentoux. Et d’assurer que ce fonctionnement est conforme à ce que la Cnil attend sur ce point. “En tout cas, on avait eu la confirmation le 25 mai dernier via le Geste.”

La Cnil clémente jusqu’à fin 2018

Comment expliquer le retard général des grands médias quatre mois après l’entrée en vigueur du RGPD ? Alors même que l’installation d’un outil comme celui de Quantcast est gratuite et l’affaire de quelques minutes ? Simple, les éditeurs profitent de la mansuétude de la Cnil. L’institution, qui protège la vie privée des internautes et à ce titre chargée de veiller à la bonne application du RGPD, leur a donné jusqu’à la fin de l’année avant de sévir. “Les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la Cnil, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points”, nous explique un porte-parole de l’institution.

“Certains gros médias préfèrent développer leur propre outil que de faire confiance à un partenaire externe pour un sujet aussi sensible que la gestion de la vie privée”

Forts de ce délai supplémentaire, les plus gros éditeurs prennent donc le temps de faire les choses eux-mêmes. “Certains préfèrent développer leur propre outil que de faire confiance à un partenaire externe, de surcroît s’il est américain comme Quantcast, pour un sujet aussi sensible que la gestion de la vie privée”, nous confie un connaisseur du marché. Le PDG du groupe Le Monde, Louis Dreyfus, a confié à Mind que le déploiement d’une CMP propriétaire était prévu à l’occasion de la mise en ligne d’un nouveau site Web fin octobre et au cours du quatrième trimestre pour le parc applicatif.

Développer une CMP propriétaire est un luxe que seuls les plus grands groupes médias français peuvent se payer. Il suffit pour s’en convaincre de regarder les ressources allouées par Quantcast au développement de sa solution. “Nous avons mobilisé une trentaine de collaborateurs issus de départements techniques et juridique pendant trois à quatre mois”, confie le patron de la plateforme en France, Franck Lewkowicz. On comprend mieux pourquoi la grande majorité des éditeurs, qui disposent de moyens beaucoup plus limités, sont eux déjà dans les clous du RGPD. Ils n’ont pas eu d’autre choix que de faire confiance aux solutions existantes.

Les  grands groupes ont, eux, d’autant moins de raison de se presser que le numéro un des investissements programmatiques en France, DBM de Google, n’a toujours pas complètement intégré le framework de l’IAB. La procédure était prévue pour fin août, avait promis Google après un DBM Gate qui avait vu Google torpiller une grosse partie des revenus des éditeurs en invoquant le RGPD. Mais aucune annonce n’a eu lieu passée cette échéance. Selon nos informations, le déploiement est finalement prévu pour fin octobre. En attendant, l’installation d’une CMP ne change donc rien aux relations avec un DBM qui pèse tout de même 50% du marché display dans l’Hexagone…

Priivy d’Adloox

Spécialiste de l’ad verification, le français Adloox lance Priivy, un nouveau produit pour mesurer la conformité des éditeurs au RGPD. “Grâce à Priivy, nos clients acheteurs et agences, peuvent s’assurer que leurs campagnes sont diffusées sur de sites respectueux de la nouvelle réglementation, ce qui est indispensable compte-tenu de la co-responsabilité introduite par le RGPD en cas de violation de la nouvelle réglementation sur les données personnelles , explique Romain Bellion, CEO et fondateur d’Adloox.  L’outil d’Adloox passe les sites concernés au crible pour évaluer leur conformité sur un ensemble de critères : présence et qualité du CMP, cookies et trackers.