Que se passe-t-il avec le RGPD et l'ePR ? Où CookiePro s'intègre-t-il ?

(Ceci est un article sponsorisé.) La confidentialité est-elle un problème sur le Web ? Selon cet article de ConsumerMan de NBC News il y a quelques années, c'est :

Internet est devenu une menace sérieuse pour notre vie privée.
— Jeff Chester du Centre pour la démocratie numérique

Votre profil en ligne est vendu sur le Web. C'est un peu fou et ce n'est pas anodin.
— Sharon Goott Nissim du Centre d'information électronique sur la confidentialité

Il n'y a aucune limite quant aux types d'informations pouvant être collectées, à leur durée de conservation, à qui elles peuvent être partagées ou à la manière dont elles peuvent être utilisées.
— Susan Grant de la Consumer Federation of America

Bien qu'il ait été question d'introduire un programme "Do Not Track" dans la législation américaine, l'UE est la première à prendre des mesures pour faire d'Internet un endroit plus sûr pour les consommateurs.

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a été promulgué. Bientôt suivra le règlement ePrivacy (ePR).

Avec ces initiatives tenant les entreprises responsables des informations qu'elles suivent et utilisent en ligne, les développeurs Web doivent ajouter une autre chose à leur liste d'exigences lors de la création d'un site Web :

La protection de la vie privée des utilisateurs.

Dans cet article, nous allons examiner :

• Où en sommes-nous actuellement avec le RGPD,
• Quels changements avons-nous constatés sur le Web en conséquence,
• Qu'est-ce qui s'en vient avec ePR,
• Et jetez un coup d'œil à l'outil CookiePro Cookie Consent qui aide les développeurs Web à rendre leurs sites Web conformes dès maintenant .

RGPD : où en sommes-nous ?

Avec le premier anniversaire du GDPR, c'est le moment idéal pour parler de ce que la législation mise à jour a fait pour la confidentialité en ligne.

Récapitulatif du RGPD

Ce n'est pas comme si l'UE n'avait pas mis en place de directives sur la confidentialité auparavant. Comme Heather Burns l'a expliqué dans un article du Smashing Magazine l'année dernière :

Tous les principes existants de la directive d'origine restent avec nous dans le cadre du RGPD. Ce que GDPR ajoute, ce sont de nouvelles définitions et exigences pour refléter les changements technologiques qui n'existaient tout simplement pas à l'ère de l'accès commuté. Il renforce également les exigences de transparence, de divulgation et de processus : leçons tirées de 23 ans d'expérience.

Un autre changement clé qui accompagne le passage de l'ancienne directive sur la confidentialité à ce règlement sur la confidentialité est qu'il est désormais mis en œuvre de manière cohérente dans tous les États de l'UE. Cela permet aux entreprises de mettre en œuvre plus facilement des politiques de confidentialité numérique et aux organes directeurs de les appliquer, car il n'est plus question de savoir ce qu'un pays a fait avec la mise en œuvre de la loi. C'est pareil pour tous.

De plus, il existe des directives plus claires pour les développeurs Web qui sont responsables de la mise en œuvre d'une solution de confidentialité et d'un avis sur les sites Web de leurs clients.

Le RGPD a-t-il entraîné des changements dans la manière dont les sites Web traitent les données ?

Il semble que de nombreuses entreprises aient du mal à se conformer au GDPR, sur la base d'un test effectué par Talend à l'été 2018. Ils ont envoyé des demandes de données à plus d'une centaine d'entreprises pour voir lesquelles fourniraient les informations demandées, conformément au nouveau GDPR. des lignes directrices.

Voici ce qu'ils ont trouvé :

• Seules 35 % des entreprises basées dans l'UE se sont conformées aux demandes, tandis que 50 % en dehors de l'UE l'ont fait.
• Seulement 24 % des entreprises de distribution ont répondu (ce qui est alarmant compte tenu du type de données qu'elles collectent auprès des consommateurs).
• Les sociétés financières semblaient être les plus conformes ; encore, seulement 50% ont répondu.
• 65 % des entreprises ont mis plus de 10 jours pour répondre, le temps de réponse moyen étant de 21 jours.

Ce que Talend suggère donc, c'est que les services numériques (par exemple, SaaS, applications mobiles, e-commerce) sont plus susceptibles de se conformer à la conformité GDPR. Ce sont les autres entreprises - celles qui n'ont pas démarré en tant qu'entreprises numériques ou qui ont des systèmes hérités plus anciens - qui ont du mal à s'intégrer.

Quelles que soient les mesures prises par les entreprises, elles savent qu'elles doivent le faire.

Un rapport de 2018 publié par McDermott Will & Emery et le Ponemon Institute a montré que, malgré l'incapacité des entreprises à se conformer, elles avaient peur de ce qui se passerait s'il s'avérait qu'elles ne l'étaient pas :

Ceux qui disaient craindre des répercussions financières avaient raison de le faire. Le RGPD évalue les amendes en fonction de la gravité de l'infraction :

• Les infractions de niveau inférieur entraînent des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires réalisé au cours de l'exercice précédent.
• Les infractions de niveau supérieur entraînent des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 %.

Certains cas d'amendes très médiatisés ont déjà fait la une des journaux.

Google a reçu une amende de 50 millions d'euros pour avoir commis un certain nombre d'infractions.

Principalement, le problème avec Google est qu'il enterre ses politiques de confidentialité et son consentement si profondément que la plupart des consommateurs ne le trouvent jamais. De plus, beaucoup de leurs politiques de confidentialité sont ambiguës ou peu claires, ce qui amène les utilisateurs à "Accepter" sans vraiment comprendre ce qu'ils acceptent.

Facebook est une autre entreprise que nous ne devrions pas être trop surpris de voir dans le collimateur du RGPD.

Leur pénalité n'était que de 500 000 £. En effet, l'amende a été imposée pour des griefs émis entre 2007 et 2014, avant la mise en place du RGPD. Il sera intéressant de voir si Facebook modifie ses politiques de confidentialité à la lumière de la somme d'argent beaucoup plus importante qu'ils devront payer lorsqu'une autre violation inévitable se produira.

Ce n'est pas seulement l'amende monétaire que les entreprises devraient craindre lorsqu'elles ne se conforment pas au RGPD.

"

Stephen Eckersley du Bureau du commissaire à l'information du Royaume-Uni a déclaré qu'après l'entrée en vigueur du RGPD, le nombre de rapports de violation de données a augmenté de façon exponentielle.

En juin 2018, 1 700 entreprises ont signalé des violations du RGPD. Maintenant, la moyenne est d'environ 400 par mois. Même ainsi, Eckersley estime qu'il y aura le double du nombre de signalements en 2019 par rapport aux années précédentes (36 000 contre 18 000).

Ainsi, non seulement les organes directeurs sont prêts à pénaliser les entreprises en cas de non-conformité. Il semble que les consommateurs en aient assez (et aient suffisamment de pouvoir !) pour signaler davantage de ces violations maintenant.

Parlons d'ePR pendant une seconde

Le règlement ePrivacy n'est pas encore entré en vigueur, mais on s'attend à ce qu'il le soit assez tôt. En effet, le RGPD et l'ePR ont été rédigés pour travailler ensemble afin de mettre à jour l'ancienne directive sur la protection des données.

ePR est une mise à jour de l'article 7 de la Charte des droits de l'homme de l'UE. Le RGPD est une mise à jour de l'article 8.

Bien qu'ils soient définis séparément, il est préférable de considérer l'ePR comme une amélioration du RGPD. Ainsi, non seulement les entreprises doivent faire attention aux données collectées auprès des individus, mais l'ePR indique qu'elles doivent également faire attention à la protection de l' identité des individus.

Ainsi, lorsque l'ePR sera déployé, toutes les communications numériques entre les entreprises et les consommateurs seront protégées. Qui comprend:

• Chats Skype
• Messagerie Facebook
• Appels VoIP
• Publicité par e-mail
• Notifications push
• Et plus.

Si un consommateur n'a pas expressément autorisé une entreprise à le contacter, l'ePR lui interdira de le faire. En fait, l'ePR va encore plus loin et donnera plus de contrôle aux consommateurs en matière de gestion des cookies.

Plutôt que d'afficher une notification contextuelle de consentement demandant "Est-ce que cela vous convient si nous utilisons des cookies pour stocker vos données ?", les consommateurs décideront de ce qui se passe via les paramètres de leur navigateur.

Cependant, nous n'en sommes pas encore là , ce qui signifie qu'il vous incombe de publier cet avis sur votre site Web et de vous assurer que vous êtes responsable de la manière dont leurs données sont collectées, stockées et utilisées.

Ce que les développeurs Web doivent faire pour protéger la confidentialité des visiteurs

Effectuez une recherche sur "Comment éviter d'être suivi en ligne":

Il y a plus de 57 millions de pages qui apparaissent dans les résultats de recherche de Google. Effectuez des recherches par mots clés similaires et vous trouverez également des pages interminables et des soumissions de forum où les consommateurs expriment de sérieuses inquiétudes concernant les informations recueillies à leur sujet en ligne, voulant savoir comment "arrêter les cookies".

De toute évidence, c'est une question qui empêche les consommateurs de dormir la nuit.

Le RGPD devrait être votre motivation à aller au-delà pour rassurer vos clients.

Bien que vous n'ayez probablement pas la main sur la gestion ou l'utilisation des données au sein de l'entreprise, vous pouvez au moins aider vos clients à mettre de l'ordre dans leurs sites Web. Et, si vous l'avez déjà fait lors de l'entrée en vigueur du RGPD, le moment serait venu de revoir ce que vous avez fait et de vous assurer que leurs sites Web sont toujours conformes.

Assurez-vous simplement que votre client traite en toute sécurité les données des visiteurs et protège leur vie privée avant de fournir toute sorte de déclaration de consentement à la confidentialité. Ces déclarations et leur acceptation sont sans valeur si l'entreprise ne tient pas réellement sa promesse.

Une fois que cette partie de l'élément de conformité est en place, voici ce que vous devez faire à propos des cookies :

1. Comprendre le fonctionnement des cookies

Les sites Web permettent aux entreprises de recueillir de nombreuses données auprès des visiteurs. Les formulaires de contact collectent des informations sur les prospects. Les passerelles de commerce électronique acceptent les méthodes de paiement. Et puis il y a les cookies :

Les cookies sont des éléments de données, normalement stockés dans des fichiers texte, que les sites Web placent sur les ordinateurs des visiteurs pour stocker une série d'informations, généralement spécifiques à ce visiteur - ou plutôt à l'appareil qu'il utilise pour afficher le site - comme le navigateur ou le téléphone mobile. .

Certains collectent des détails rudimentaires nécessaires pour offrir aux visiteurs la meilleure expérience. Comme la préservation d'une session connectée lorsque les visiteurs se déplacent d'une page à l'autre. Ou ne pas afficher de pop-up après qu'un visiteur l'ait rejeté lors d'une visite récente.

Il existe d'autres cookies, généralement de services de suivi tiers, qui sont plus poussés. Ce sont eux qui suivent et ciblent ensuite les visiteurs à des fins de marketing et de publicité.

Peu importe d'où viennent les cookies ou à quoi ils servent, le fait est que les consommateurs sont suivis. Et, jusqu'à récemment, les sites Web n'avaient pas à les informer quand cela se produisait ou combien de leurs données étaient stockées.

2. N'utilisez pas de cookies non pertinents

Il n'y a pas moyen de contourner l'utilisation des cookies. Sans eux, vous n'auriez pas accès à des analyses qui vous indiquent qui visite votre site Web, d'où il vient et ce qu'il fait pendant qu'il est là. Vous ne pourrez pas non plus proposer de contenu ou de notifications personnalisés pour que leur expérience avec le site reste fraîche.

Cela dit, savez- vous même quels types de cookies votre site Web utilise actuellement ?

Avant de mettre en œuvre votre propre avis de consentement aux cookies pour les visiteurs, assurez-vous de comprendre exactement ce que vous collectez auprès d'eux.

Rendez-vous sur le site Web de CookiePro et lancez une analyse gratuite sur le site de votre client :

Après avoir entré votre URL et lancé l'analyse, il vous sera demandé de fournir quelques détails sur vous-même et sur l'entreprise. L'analyse commencera et vous recevrez un avis indiquant que vous recevrez votre rapport gratuit dans les 24 heures.

Juste pour vous donner une idée de ce que vous pourriez voir, voici les résultats du rapport que j'ai reçu :

Comme vous pouvez le voir, CookiePro fait plus que simplement me dire combien ou quels cookies mon site Web possède. Il comprend également des formulaires qui collectent des données auprès des visiteurs ainsi que des balises.

Assurez-vous d'examiner attentivement votre rapport. Si vous suivez des données totalement inutiles et injustifiées pour un site Web de cette nature, cela doit changer dès que possible. Pourquoi mettre les affaires de vos clients en danger et compromettre la confiance des visiteurs si vous collectez des données qui n'ont aucune raison d'être entre leurs mains ?

Remarque : si vous créez un compte avec CookiePro, vous pouvez exécuter votre propre audit des cookies depuis l'outil (qui fait partie de l'étape suivante).

3. Fournir de la transparence sur l'utilisation des cookies

Le RGPD n'essaie pas de décourager les entreprises d'utiliser des cookies sur leurs sites Web ou d'autres canaux de marketing. Au lieu de cela, il les encourage à être transparents sur ce qui se passe avec les données, puis à en être responsables une fois qu'ils les ont.

Ainsi, une fois que vous savez quel type de cookies vous utilisez et quelles données vous traitez, il est temps d'informer vos visiteurs de l'utilisation de ces cookies.

Gardez à l'esprit que cela ne devrait pas être servi uniquement aux visiteurs basés dans l'UE. Bien que ce soient les seuls protégés par la réglementation, qu'est-ce que cela pourrait faire de mal de faire savoir à tout le monde que leurs données et leur identité sont protégées lorsqu'ils se trouvent sur votre site Web ? Le reste du monde suivra (espérons-le), alors pourquoi ne pas être proactif et obtenir le consentement de tout le monde maintenant ?

Pour assurer la transparence, un simple avis d'entrée suffit à afficher aux visiteurs.

Par exemple, en voici un de Debenhams :

Comme vous pouvez le voir, ce n'est pas aussi simple que de demander aux visiteurs d'« accepter » ou de « rejeter » les cookies. Ils ont également la possibilité de les gérer.

Pour ajouter votre propre bannière d'entrée de cookies et des options avancées, utilisez l'outil de consentement aux cookies de CookiePro.

L'inscription est simple - si vous commencez avec le forfait gratuit, l'inscription ne prend que quelques secondes. Dans l'heure qui suit, vous recevrez vos identifiants de connexion pour commencer.

Cependant, avant de pouvoir créer votre bannière de consentement aux cookies, vous devez ajouter votre site Web à l'outil et exécuter une analyse dessus. (Vous avez peut-être déjà terminé cela à l'étape précédente).

Lorsque le scan est terminé, vous pouvez commencer à créer votre bandeau cookie :

En publiant une bannière de consentement aux cookies sur votre site Web, vous faites le premier grand pas pour vous assurer que les visiteurs savent que leurs données et leur identité sont protégées.

4. Faites en sorte que votre formulaire de consentement aux cookies se démarque

Ne vous contentez pas d'ajouter une bannière de cookies à votre site Web. Comme Vitaly Friedman l'a expliqué :

Dans nos recherches, la grande majorité des utilisateurs donnent volontairement leur consentement sans lire du tout l'avis sur les cookies. La raison est évidente et compréhensible : de nombreux clients s'attendent à ce qu'un site Web "ne fonctionne probablement pas ou que le contenu ne soit pas accessible autrement". Bien sûr, ce n'est pas nécessairement vrai, mais les utilisateurs ne peuvent pas le savoir avec certitude à moins de l'essayer. En réalité, cependant, personne ne veut jouer au ping-pong avec l'invite de consentement des cookies et donc ils cliquent sur le consentement en choisissant l'option la plus évidente : "OK".

Bien que ePR finira par nous débarrasser de ce problème, vous pouvez faire quelque chose maintenant - et c'est pour concevoir votre formulaire de consentement aux cookies pour qu'il se démarque.

Attention : soyez prudent lorsque vous utilisez des pop-ups sur un site Web mobile. Bien que les formulaires de consentement soient l'une des exceptions à la sanction de Google contre les fenêtres contextuelles d'entrée, vous ne voulez toujours pas compromettre l'expérience du visiteur dans le seul but d'être conforme au RGPD.

En tant que tel, vous feriez peut-être mieux d'utiliser une bannière de cookies en haut ou en bas du site, puis de la concevoir pour qu'elle se démarque vraiment.

Ce qui est bien avec CookiePro, c'est que vous pouvez tout personnaliser, donc c'est vraiment à vous de faire ce que vous voulez. Par exemple, en voici un que j'ai conçu :

Vous pouvez changer:

• Couleur du texte
• Couleur du bouton
• Couleur de l'arrière plan.

Vous pouvez écrire votre propre copie pour chaque élément :

• Entête
• Un message
• Remarque sur la politique relative aux cookies
• Paramètres de la politique des cookies
• Accepter le bouton.

Et vous décidez comment la bannière fonctionnera si ou quand les visiteurs s'y engagent.

5. Éduquer les visiteurs sur les cookies

En plus de donner à votre bannière de consentement aux cookies un aspect unique, utilisez-la comme un outil pour informer les visiteurs sur ce que sont les cookies et pourquoi vous les utilisez même. C'est à cela que sert la zone Paramètres des cookies.

Avec le consentement aux cookies, vous pouvez informer les visiteurs des différents types de cookies utilisés sur le site Web. Ils ont ensuite le choix d'en activer ou de les désactiver en fonction de leur niveau de confort.

C'est pourquoi CookiePro s'occupe de l'analyse des cookies pour vous. De cette façon, vous savez quels types de cookies vous avez réellement en place. Il vous suffit alors de vous rendre dans votre liste de cookies et de choisir les descriptions que vous souhaitez afficher aux visiteurs :

Assurez-vous simplement d'expliquer l'importance des cookies les plus élémentaires ("strictement nécessaires" et "performances") et pourquoi vous leur recommandez de les laisser activés. Pour le reste, vous pouvez fournir des explications dans l'espoir que leur réponse sera : "D'accord, oui, j'aimerais vraiment une expérience personnalisée sur ce site." Si ce n'est pas le cas, c'est à eux de choisir d'activer/désactiver les types de cookies qu'ils souhaitent afficher. Et l'outil de consentement aux cookies peut vous aider.

En d'autres termes, une barre de consentement aux cookies n'est pas une tentative superficielle d'obtenir le consentement. Vous essayez de les aider à comprendre ce que font les cookies et leur donnez le pouvoir d'influencer leur expérience sur le site.

Emballer

Il y a beaucoup de choses dont nous devons être reconnaissants avec Internet. Il comble les lacunes géographiques. Il présente de nouvelles opportunités pour faire des affaires. Il permet aux consommateurs d'acheter à peu près tout ce qu'ils veulent en quelques clics.

Mais à mesure qu'Internet mûrit, les façons dont nous construisons et utilisons les sites Web deviennent plus complexes. Et pas seulement complexe, mais risqué aussi.

GDPR et ePR ont mis du temps à arriver. Alors que les sites Web collectent davantage de données sur les consommateurs qui peuvent ensuite être utilisées par des tiers ou pour les suivre vers d'autres sites Web, les développeurs Web doivent jouer un rôle plus actif dans le respect de la nouvelle réglementation tout en rassuré les visiteurs. En commençant par une bannière de consentement aux cookies.