Contrôles de la vie privée sur le site web

Un guide pour les entreprises

Contenu

Réglementation du suivi en ligne
L'enquête du BVG
Les erreurs à éviter
Identifier et prévenir les problèmes
Se conformer à la loi de New York
À faire et à ne pas faire

Introduction 

La plupart des sites web utilisent des technologies qui permettent de suivre les visiteurs du site. Prenons l'exemple des cookies. Un cookie est un petit fichier texte créé par un navigateur web lorsqu'une personne visite un site web. Il contient souvent un identifiant unique qui aide les sites web et autres services en ligne à reconnaître un visiteur lorsqu'il clique d'une page web à l'autre. Les cookies alimentent les paniers d'achat sur les sites de commerce électronique, permettent aux visiteurs de rester connectés à leur compte pendant des jours ou des semaines et enregistrent les préférences des visiteurs. Ces technologies et d'autres technologies de suivi sont également couramment utilisées à des fins d'analyse, de marketing et de détection des fraudes. 

Toutefois, ces technologies peuvent également porter atteinte à la vie privée des consommateurs. Pour répondre à cette préoccupation, de nombreux sites web fournissent aux visiteurs des informations sur le suivi qui a lieu sur le site et proposent des contrôles qui permettent aux visiteurs de gérer ce suivi. Les informations et les contrôles en matière de protection de la vie privée sont des outils importants pour de nombreux consommateurs. 

Boîte colorée avec texte : Nous utilisons des cookies sur notre site web pour vous offrir l'expérience la plus pertinente en mémorisant vos préférences et vos visites répétées. En cliquant sur "Accepter", vous consentez à l'utilisation de TOUS les cookies. Vous pouvez consulter les paramètres des cookies pour donner un consentement contrôlé. Politique en matière de cookies

Pop-up de cookies

Malheureusement, toutes les entreprises n'ont pas pris les mesures nécessaires pour s'assurer que leurs informations sont exactes et que les mesures de protection de la vie privée fonctionnent comme prévu. Une enquête menée par le Bureau du procureur général de l'État de New York (OAG) a permis d'identifier plus d'une douzaine de sites web populaires, accueillant ensemble des dizaines de millions de visiteurs chaque mois, dont les contrôles de protection de la vie privée n'étaient pas respectés. Les visiteurs de ces sites web qui tentent de désactiver les technologies de suivi continueront néanmoins à être suivis. L'OAG a également rencontré des sites web dont les contrôles et les informations sur la protection de la vie privée étaient confus, voire potentiellement trompeurs.

Nous avons créé ce guide pour aider les entreprises à éviter ces pièges. Poursuivez votre lecture pour découvrir les erreurs commises par les entreprises lors du déploiement des technologies de traçage, les processus que les entreprises peuvent utiliser pour aider à identifier et à prévenir les problèmes, et les conseils pour se conformer à la loi new-yorkaise.

Réglementation du suivi en ligne

Les différents États américains, ainsi que d'autres pays, adoptent des approches variées pour réglementer le suivi en ligne. En fonction de la juridiction, les sites web et autres services en ligne peuvent être tenus de fournir aux consommateurs des informations sur le suivi, de permettre aux consommateurs de refuser certains types de suivi ou d'obtenir le consentement des consommateurs avant de procéder au suivi à certaines fins.

Au moment de la publication de ce guide, l'État de New York n'a pas encore adopté de loi complète sur la protection de la vie privée qui réglemente spécifiquement quand et comment les consommateurs new-yorkais peuvent être suivis en ligne. Toutefois, les pratiques et déclarations des entreprises en matière de protection de la vie privée sont soumises aux lois de protection des consommateurs de l'État de New York. Ces lois, qui interdisent aux entreprises de se livrer à des actes et pratiques trompeurs, exigent en fait que les déclarations des sites web concernant la vie privée des consommateurs soient véridiques et non trompeuses. Cela signifie que les déclarations concernant le moment et la manière dont les visiteurs d'un site web sont suivis doivent être exactes et que les contrôles de confidentialité doivent fonctionner comme prévu.

L'enquête du BVG

La plupart des sites web suivent les visiteurs par le biais de "balises" - des bouts de code insérés dans une page web qui indiquent au navigateur du visiteur de se connecter à un service tiers. Le tiers répond généralement en envoyant un identifiant unique que le navigateur enregistre dans un cookie. Lorsque le navigateur rencontre ultérieurement une balise du même tiers sur une autre page web ou un autre site, il récupère le cookie et renvoie l'identifiant au tiers, ce qui permet à ce dernier de reconnaître le visiteur.

Sur une période de plusieurs mois, le BVG a analysé les balises de tiers et les contrôles de confidentialité sur une variété de sites web. L'OAG a constaté que 13 sites web à fort trafic - essentiellement des sites de commerce électronique bien connus vendant des produits de consommation, tels que des vêtements, des livres et des billets pour des événements en direct - avaient des contrôles de confidentialité qui ne fonctionnaient pas comme prévu. Ensemble, ces sites ont accueilli environ 75 millions de visiteurs en mars 2024.

Sur ces sites web, certaines balises de marketing ou de publicité restaient actives même après que les visiteurs aient essayé de les désactiver à l'aide des contrôles de confidentialité des sites. En conséquence, les visiteurs ont continué à être suivis après avoir choisi de ne plus l'être. L'OAG a alerté les entreprises qui exploitaient ces sites web et leur a demandé d'enquêter et de résoudre les problèmes. Toutes les entreprises ont résolu les problèmes liés à leurs contrôles de confidentialité.

Les erreurs à éviter lors du déploiement de balises et d'autres technologies de suivi

Notre enquête a révélé que les entreprises commettent souvent des erreurs similaires lorsqu'elles déploient des balises et d'autres technologies de suivi. Voici quelques-unes des principales erreurs que nous avons relevées.

Balises et cookies non catégorisés ou mal catégorisés

La plupart des sites web mettent en place des contrôles de confidentialité à l'aide d'un type de logiciel connu sous le nom d'outil de gestion du consentement. Cet outil permet généralement d'activer ou de désactiver des catégories de balises ou de cookies. Par exemple, les balises utilisées pour le marketing peuvent être désactivées, tandis que les balises utilisées pour la détection des fraudes ou l'analyse restent actives. 

Boîte grise avec texte : Préférences en matière de cookies, Ce site web utilise des cookies nécessaires à son fonctionnement. Nous aimons également installer des cookies facultatifs de "performance" pour recueillir des données anonymes sur la fréquentation du site web et des cookies de "marketing" pour nous aider à comprendre quel contenu les visiteurs apprécient le plus. En activant ces cookies, vous nous aidez à fournir un meilleur site web à tous les utilisateurs. Pour plus d'informations, consultez notre avis sur les cookies.

Les catégories de cookies peuvent être activées ou désactivées

Cette fonctionnalité ne fonctionne que lorsque les balises sont correctement classées dans l'outil de gestion du consentement. Si une balise est mal classée, ou pas classée du tout, elle ne répondra pas aux commandes de l'outil. Cela signifie souvent que la balise reste active, indépendamment des choix du visiteur du site web en matière de protection de la vie privée.

Nous avons constaté que les balises non classées étaient la principale cause de violation des contrôles de la protection de la vie privée : Sept des 13 sites web que nous avons identifiés avaient au moins une balise qui n'était pas correctement classée.

Outils mal configurés

Outre les outils de gestion du consentement, de nombreuses entreprises utilisent un type de logiciel connu sous le nom d'outil de gestion des balises. Comme leur nom l'indique, ces outils sont conçus pour simplifier la gestion des balises. Cependant, l'utilisation d'outils de gestion des balises et de gestion du consentement sur un seul site web peut introduire une complexité technique et opérationnelle. Dans la plupart des cas, chaque outil doit pouvoir s'interfacer avec l'autre et être correctement configuré à cet effet. 

Notre enquête a révélé que sur plusieurs sites web, l'outil de gestion du consentement ne transmettait pas correctement les signaux d'exclusion à l'outil de gestion des balises. Par conséquent, lorsque les visiteurs du site web désactivaient les cookies marketing à l'aide des contrôles de confidentialité des sites, les outils de gestion des balises permettaient toujours aux balises marketing de se déclencher. 

Balises codées en dur

Sur certains sites web, plusieurs balises n'avaient jamais été configurées pour fonctionner avec les contrôles de confidentialité des sites. Au lieu de cela, les balises ont été codées en dur dans le site web.  Les balises étant codées en dur, l'outil de gestion du consentement n'était pas en mesure de les contrôler et elles se déclenchaient chaque fois que certaines pages web étaient chargées. 

Paramètres de confidentialité des balises 

Plusieurs balises largement utilisées proposent des paramètres que les opérateurs de sites web peuvent configurer pour limiter l'utilisation des informations collectées par les balises. Meta, par exemple, propose une option appelée "utilisation limitée des données" (LDU), qui, selon elle, permet aux entreprises de "mieux contrôler la manière dont les données sont utilisées dans les systèmes de Meta et de mieux soutenir les efforts de mise en conformité avec les diverses réglementations des États américains en matière de protection de la vie privée". Google propose une fonction similaire, le traitement restreint des données (RDP), qui permet de "limiter l'utilisation des données", "afin d'aider les clients et les partenaires à se conformer aux nouvelles lois sur la protection de la vie privée en vigueur aux États-Unis".

Toutefois, bon nombre de ces fonctions n'ont été activées que dans les États dotés de lois complètes sur la protection de la vie privée qui réglementent le suivi en ligne, comme la Californie, le Connecticut et le Colorado. Dans d'autres États, dont l'État de New York, les fournisseurs de balises peuvent ne pas cesser de collecter et d'utiliser les données des visiteurs lorsque les exploitants de sites web ont activé ces fonctions. Plusieurs des entreprises que nous avons contactées s'étaient appuyées à tort sur ces caractéristiques pour limiter la collecte de données lorsque les New-Yorkais choisissaient de ne pas participer aux activités de marketing.

Compréhension incomplète de la collecte et de l'utilisation des données de marquage

Avant de déployer un nouveau tag, une entreprise doit comprendre quelles données le tag collecte et comment ces données peuvent être utilisées ou partagées. Malheureusement, ces informations ne sont pas toujours facilement accessibles, car les documents de commercialisation des étiquettes et les guides techniques peuvent être incomplets ou peu clairs. 

Suivi sans cuisson

Bien que les cookies tiers soient la technologie de suivi la plus couramment utilisée, ils ne sont pas la seule technologie de suivi utilisée par les sites web. Par exemple, une entreprise que nous avons contactée a transmis les informations qu'elle avait collectées sur les visiteurs de son site web directement à des sociétés de publicité, sans balises ou cookies tiers et en dehors du contrôle de son outil de gestion du consentement.

Quelles que soient les technologies de traçage qu'elles utilisent, les entreprises doivent veiller à ne pas induire les consommateurs en erreur en ce qui concerne le respect de la vie privée et le choix. De nombreux contrôles de la protection de la vie privée indiquent, expressément ou implicitement, que les choix faits par un visiteur en matière de protection de la vie privée seront respectés, quelle que soit la technologie de suivi utilisée par le site web. Dans ce cas, les entreprises doivent veiller à ce que les choix des visiteurs soient appliqués à l'ensemble des technologies de suivi. 

Identifier et prévenir les problèmes 

Il existe plusieurs processus simples que les entreprises peuvent utiliser pour aider à identifier et à prévenir les problèmes lors du déploiement des technologies de traçage. Les processus adaptés à votre entreprise peuvent dépendre des technologies de suivi que vous utilisez et de la manière dont elles sont déployées. Ces processus peuvent être les suivants :

  • Désigner: Désigner une (ou plusieurs) personne(s) qualifiée(s) responsable(s) de la mise en œuvre et de la gestion des technologies de suivi des sites web. Ces personnes doivent recevoir une formation appropriée, notamment en ce qui concerne les technologies et les politiques de suivi de votre entreprise. 
  • Étudier: Avant de déployer une nouvelle balise ou un nouvel outil, ou de modifier le mode d'utilisation d'une balise ou d'un outil existant, prenez les mesures nécessaires pour identifier les types de données qui seront collectées et la manière dont ces données seront utilisées et partagées. Dans certains cas, il peut être nécessaire de demander au développeur de l'étiquette ou de l'outil de fournir des informations qui ne sont pas accessibles au public. 
  • Configurer: Lorsque vous déployez une nouvelle balise ou un nouvel outil, ou que vous modifiez la façon dont votre entreprise utilise une balise ou un outil, assurez-vous qu'il est correctement catégorisé et configuré.
  • Test: Effectuer les tests appropriés pour s'assurer que les étiquettes et les outils fonctionnent comme prévu. Test both on a regular basis and when your business has made changes that affect how website visitors are tracked. Les outils d'analyse automatisés peuvent vous aider, mais assurez-vous de bien comprendre les types de problèmes que ces outils peuvent ou ne peuvent pas identifier. 
  • Révision: Effectuer des contrôles réguliers pour s'assurer que les balises et les outils sont correctement configurés. L'étendue de l'examen dépendra des balises et des outils utilisés par votre site web. Dans la plupart des cas, les examens doivent permettre de s'assurer que les balises sont correctement classées dans un outil de gestion du consentement et que tout outil de gestion des balises est correctement synchronisé.

Veiller à ce que les contrôles et les divulgations en matière de protection de la vie privée soient conformes à la législation de l'État de New York  

Les contrôles de confidentialité et les informations mises à la disposition des consommateurs new-yorkais doivent être conformes aux lois de protection des consommateurs de l'État de New York. Cela signifie que les déclarations d'une entreprise concernant le suivi - qu'elles soient expresses ou implicites - doivent être véridiques et ne pas induire en erreur. Voici quelques points importants à surveiller.  

S'assurer de l'exactitude des déclarations relatives aux contrôles de la protection de la vie privée

Les sites web dotés de contrôles de confidentialité communiquent généralement aux visiteurs diverses informations sur la manière dont le site gère le suivi et le choix. Ces déclarations peuvent être à la fois explicites (dans des déclarations figurant dans une fenêtre contextuelle de cookies ou dans un avis de confidentialité) et implicites (communiquées par la présence et la configuration des contrôles de confidentialité eux-mêmes). Dans la plupart des cas, voire dans tous, le site web indique que les contrôles de confidentialité respecteront la sélection du visiteur.

Veillez à ce que les déclarations sur votre site web concernant vos contrôles de confidentialité, qu'elles soient expresses ou implicites, soient exactes. Cela signifie que les contrôles de confidentialité doivent fonctionner correctement et conformément à la description. 

Éviter les formulations qui créent une impression trompeuse  

Le langage utilisé dans les fenêtres pop-up des cookies implique souvent certaines choses. Le libellé d'un bouton, par exemple, peut donner l'impression qu'un visiteur peut activer ou désactiver le suivi. Votre entreprise doit éviter les formulations qui donnent une impression trompeuse de la manière dont votre site web gère le suivi et le choix. 

L'un des problèmes les plus fréquents que nous avons rencontrés concernait les fenêtres pop-up de cookies qui laissaient entendre que les visiteurs pouvaient accepter le suivi. Par exemple, une fenêtre contextuelle comportant un bouton intitulé "Accepter les cookies" ou "Accepter tout", accompagné d'un texte indiquant qu'en cliquant sur le bouton, vous acceptez l'utilisation de cookies, peut faire comprendre aux visiteurs que les cookies ne seront utilisés que si l'on clique sur le bouton. Cela est trompeur si les cookies sont en fait déployés sans avoir obtenu au préalable le consentement des visiteurs - par exemple, au moment où les visiteurs accèdent au site web. 

Boîte colorée avec le texte : En cliquant sur "Tout accepter", vous acceptez que des cookies et d'autres technologies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de personnaliser le marketing. Veuillez lire notre politique en matière de cookies pour en savoir plus.
Boîte colorée avec le texte : En cliquant sur "Accepter les cookies", vous acceptez nos conditions de service telles que décrites dans notre politique de confidentialité. Nous utilisons des cookies pour améliorer votre expérience sur le site, analyser l'utilisation du site et contribuer à nos efforts de marketing.

Pop-ups avec bouton "accepter" déroutant

Veiller à ce que l'interface utilisateur ne soit pas trompeuse 

Les contrôles de confidentialité peuvent prendre de nombreuses formes : par exemple, un seul bouton, plusieurs boutons ou un ensemble de curseurs ou de cases à cocher. La manière dont les contrôles de la protection de la vie privée sont conçus fournit des informations sur le rôle des contrôles et la manière dont ils sont utilisés. Une interface qui semble tenir compte des choix du visiteur, mais qui ne le fait pas, peut être trompeuse. 

Les contrôles de confidentialité d'un site web que nous avons examiné illustrent la manière dont une interface confuse peut limiter les choix des visiteurs. Sur ce site web, les visiteurs qui souhaitaient désactiver certains cookies (par exemple, les "cookies de ciblage") devaient d'abord cliquer sur un curseur virtuel, puis sur les mots "Enregistrer les paramètres". Cette deuxième étape a été facilement négligée. Les mots "Enregistrer les paramètres" apparaissaient dans une autre zone de l'écran, dans une couleur grise délavée, sans aucune indication visuelle permettant de cliquer sur ces mots. En effet, lorsque nous avons examiné le site pour la première fois, nous sommes passés complètement à côté de cette étape.

Veillez à ce que l'interface de vos contrôles de confidentialité ne donne pas une impression trompeuse. Un site web avec des commandes intuitives est moins susceptible d'impliquer les lois de protection des consommateurs de New York. 

Exemple de graphique d'options de cookies montrant tous les types de cookies que vous pouvez activer ou désactiver pour les sites web qui collectent vos données.

Bouton "save" facile à oublier 

Recommandations concernant les informations et les contrôles relatifs à la protection de la vie privée

Les informations et les options de suivi en ligne peuvent être présentées à différents endroits et de différentes manières : dans des bannières et des fenêtres contextuelles, derrière des liens en bas de page, et enfouies dans les politiques de confidentialité. Votre entreprise peut aider les consommateurs à s'y retrouver en leur fournissant des informations efficaces et des contrôles faciles à utiliser. Voici quelques points à faire et à ne pas faire. 

Faire :
    • utiliser un langage clair et simple 
    • étiqueter les boutons pour indiquer clairement ce qu'ils font
    • rendre l'interface accessible. Par exemple, un visiteur doit pouvoir utiliser son clavier pour accéder aux contrôles de confidentialité.
    • donner le même poids à des options équivalentes. Par exemple, si les consommateurs peuvent accepter le suivi en un seul clic, laissez-les refuser en un seul clic. Un modèle opt-in pourrait comporter une fenêtre contextuelle de suivi qui fournirait des boutons "Accepter" et "Refuser" de taille, de couleur et d'importance égales.

Dernière mise à jour le 15 juillet 2024.