RGPD – User Looser ?

Technique, User Experience

12 fév, 2020

Cela fait presque 2 ans que nous tous, acteurs du Digital, évoluons dans l’ère nouvelle des bannières RGPD. 

Ces petits bandeaux aux airs simplets et inoffensifs, qui clament en gras et en gros « Le respect de votre vie privée est notre priorité ! » et que l’on est obligé d’implanter partout. Ces bannières « casse-tête » que, du point de vue UX, l’on s’évertue à faire disparaître en un clic, le plus rapidement possible – notamment parce qu’elles « ruinent » en partie le travail et les efforts réalisés par les designers pour mettre en valeur les contenus et rendre les pages les plus belles/efficaces possibles. 

A l’aube du 2ème anniversaire du dispositif, que peut-on dire de ces bannières RGPD ? Quel est l’impact global ? Sur le trafic ? Sur le business ? Quel est le comportement des utilisateurs face à cette nouvelle norme qui rythme désormais de manière incontournable toute navigation sur Internet ? Quelles stratégies pour quelles marques ? Quel impact métier pour nous en tant qu’agence ?

DISKO vous propose un tour d’horizon 2020.

RGPD RGPD   User Looser ?

Des motivations qui varient diamétralement selon les acteurs

#1 L’utilisateur

Pour commencer, que font les gens sur ces bannières ? Que se passe-t-il du point de vue de l’utilisateur ? Parce qu’en premier lieu, c’est sa vie privée et la protection de ses données personnelles qui sont la raison d’être de ce règlement. 

Curieusement, même si le RGPD a été mis en place pour lui donner intégralement la main sur l’utilisation de ses informations, la motivation première de l’utilisateur est, sans ambiguïté, de se débarrasser du bandeau qui freine sa navigation ou perturbe l’accès au contenu qu’il souhaite consulter. Ou de l’ignorer lorsqu’elle est vraiment non intrusive dans la navigation. Ici, une chose importante à avoir en tête est que ça n’est pas parce qu’un site affiche une bannière que celle-ci est conforme. D’ailleurs un grand nombre d’entre elles ne le sont pas.

Qu’est ce qu’une bannière conforme ? Il faut que les choix proposés à l’internaute soient explicites et donnent la possibilité de donner ou refuser son consentement sans équivoque. En clair, idéalement il faut un bouton accepter et un bouton refuser ou, tel qu’on le voit dans la plupart des cas, un bouton accepter et un bouton qui permet d’accéder à la configuration personnalisée des cookies.  Autrement dit, toutes les bannières qui proposent juste un seul bouton du type “ok” sans autre possibilité – ou celles qui ne proposent pas d’accès au paramétrage des cookies – sont juridiquement non conformes.   

Pour revenir au comportement et à la motivation de l’utilisateur, voici le tableau : les dispositifs conformes offrent un choix quasi cornélien : accepter les cookies en un clic sans se poser de question, ou se lancer dans un « marathon du consentement » d’une incroyable profondeur et d’une grande opacité en cliquant sur “personnaliser les cookies”. Face à ces 2 possibilités, sans hésiter, les utilisateurs acceptent très majoritairement la collecte et l’usage de leurs données personnelles par les éditeurs des sites qu’ils fréquentent.

RGPD banner RGPD   User Looser ?

#2 Editeurs de sites

Du point de vue des éditeurs de sites web, qui en tant que collecteurs de données doivent appliquer la réglementation en affichant leur politique en matière de cookies (et donc afficher les fameuses bannières), les motivations sont multiples, complexes et dépendent de nombreux facteurs. 

Bien sûr, la motivation n°1 reste souvent la simple mise en conformité – ne pas risquer d’amende. Mais un grand nombre de sociétés sont également motivées par l’exploitation de leurs données – Le sujet DATA étant aujourd’hui un enjeu stratégique central.

Que faire et comment faire ? Les réponses dépendent aussi bien de la taille de l’entreprise que de son/ses métier(s), du volume du trafic et de son poids sur le marché, de sa capacité à monétiser elle-même les données de ses utilisateurs ou à l’inverse de son choix de ne pas les rendre disponibles à des tiers, etc. 

Pour schématiser à l’extrême, iI y a 2 grandes familles d’entreprises : celles dont le business model est régi par les DATA (principalement les grandes entreprises, grands groupes, leaders de marchés…), et celles qui n’ont ni l’envergure, ni le déploiement, ni les ressources pour placer les DATA au coeur de leur stratégie (typiquement les TPE et PME aux moyens financiers limités).

RGPD bannertype RGPD   User Looser ?

Il en résulte que beaucoup de grandes entreprises développent leurs propres systèmes de bannières et de cookies sur mesure – gardant ou prenant le contrôle sur leur trésor – alors que la plupart des TPE/PME privilégient un simple arbitrage coût/avantage immédiat qui les mènent presque toujours au choix d’une solution “clé en main”. 

Et la plupart du temps, ces TPE/PME n’ont même pas conscience du fait que les données de leurs utilisateurs sont monétisées par les sociétés qui leurs fournissent ces solutions toutes faites. On dit que “quand c’est gratuit, c’est toi le produit !” en parlant des réseaux sociaux… Ce qu’il faut donc avoir en tête en tant qu’éditeur qui se pose la question “quelle bannière mettre en place ?” c’est que la punchline des banners RGPD est la suivante : “Si c’est gratuit, c’est ton visiteur le produit !”. 

RGPD contenubanner RGPD   User Looser ?

#3 Fournisseurs de solutions

Du point de vue des fournisseurs de ces solutions clés en main comme One Trust, TrustArc et autres Cookiebot ou SourcePoint, la motivation est totalement limpide : obtenir un maximum de consentements et remplir les bases de données les plus complètes et bankable possibles. 

C’est le paradoxe du RGPD inversé : en facilitant à l’extrême l’usage du dispositif, rendant au passage “service” à l’utilisateur en lui offrant un “choix éclairé” dans le respect de la loi, ils se rendent surtout un énorme service à eux-même.

Plus l’opt-in est fort sur les bannières, plus ces entreprises collectent de données. Plus leur taux de pénétration sur le marché augmente, plus large est le panel des données mises à leur disposition. Ce qui a pour effet de les rendre aujourd’hui bien plus puissantes qu’hier, et leur permet de revendre une matière toujours plus précise, fine et complète.
Bingo.  

Le « frein RGPD » est transformé en énorme « atout business ». Ces entreprises ont parfaitement réussi, pour l’instant, à tirer profit de la situation et à optimiser la collecte et la monétisation. Le RGPD est un système de protection des données qui offre paradoxalement une immense opportunité de collecte pour les publicitaires et autres sociétés de services marketing, là où le dispositif était censé (du moins dans l’esprit du règlement) réguler ou freiner leur capacité de collecte. Un exploit. 

Du point de vue Agence / Métier

Comment ça se passe pour nous, côté agence ? Comment traite-ton le sujet du point de vue de nos différents métiers ? Dans les faits, au quotidien, avec pragmatisme et efficacité, le plus souvent DISKO met tout en oeuvre pour faciliter la rapidité d’accès au contenu. C’est l’expérience « après bannière » qui reste la priorité de nos clients l’immense majorité du temps.

Nos clients nous mandatent pour leur livrer des projets complexes et multi-dimensionnels. Ils veulent une refonte de site, une interface, une expérience, une app, des activations, de l’automatisation, des règles de gestions, un socle technologique, de la connection via API, des contenus comme-ci, des contenus comme-ça… Et dans toute cette liste, il faut bien avouer que la bannière RGPD arrive très rarement en tête des discussions.

Il n’est pas rare que le point ne soit pas spécifiquement abordé au delà du fait qu’il est entendu que l’agence installera un dispositif “RGPD compliant”. Comme une simple formalité fonctionnelle, un détail. Résultat, nous proposons et mettons en oeuvre essentiellement des solutions clé en main. Elles sont peu chères (certaines gratuites), font économiser du temps de développement, elles sont faciles à mettre en oeuvre, personnalisables, fiables… du point de vue de la production c’est vraiment pratique, rien à dire.

A l’usage, ça donne quoi ?

A l’usage, les bannières sont terriblement efficaces. Un beau bandeau clair et minimal, avec un gros bouton bleu qui propose simplement de «Tout Accepter » et hop, ciao la bannière ! Tant pis si on ne sait pas trop ce que ce « accepter » signifie.

RGPD bannerkonbini RGPD   User Looser ?

Ca marche tellement bien que Quantast (2ème solution la plus utilisée sur les marchés US et UK derrière One Trust) affiche un taux d’opt-in incroyable de 90% ! Pour être efficace, pas de doute, ça l’est. Traduit en volume, Quantcast annonce avoir recueilli + de 25 milliards de consentements. C’est ça le poids du consentement : 25 milliards de points de collecte, agrégés par 1 seul acteur, qui n’est même pas le plus gros du marché.

RGPD quantcast RGPD   User Looser ?

Pourquoi 90% acceptent ?

Le phénomène n’est pas nouveau puisque les gens agissent de la même manière que pour l’acceptation des CGV ou des licences qui rythment la vie de tout utilisateur pour chaque installation d’application, de webservice, chaque achat en ligne etc. 

Et c’est bien ça l’aubaine. L’utilisateur est déjà tellement sollicité qu’il a pris l’habitude depuis bien longtemps de chercher le bouton “OK” sans chercher plus loin. Pas le temps de déchiffrer l’arsenal des « conditions d’utilisations » livrées par chaque service juridique, de chaque entreprise tierce (jusqu’à plusieurs centaines de partenaires commerciaux pour chaque site Internet visité !). 

Le résultat est couru d’avance = quasiment personne ne s’aventure dans la personnalisation des cookies. Tout simplement.

Non seulement le phénomène n’est pas nouveau, mais dans le cas présent il a même un nom. Il a été théorisé sous le nom de « Consent Fatigue » aux USA. Au risque d’une répétition, le résultat de cette « Consent Fatigue » est clair : 90% d’opt-in. J’accepte. 

Qu’accepte t-on quand on clique sur “tout accepter” ?

Avant d’entrer dans le détail et les explications, il est important de noter que tout le dispositif européen est déployé sur le même modèle. Les pratiques sont similaires qu’il s’agisse des fournisseurs de solutions clé en main, ou des entreprises qui collectent en direct leurs données pour leur propre compte et via leur propre solution.

Alors qu’est-ce qu’on accepte ? Plein de choses. Impossible d’être exhaustif, mais heureusement, pas besoin de chercher bien loin pour comprendre.

Prenons donc un exemple. En cliquant sur le lien « consulter les fournisseurs » d’une bannière de l’éditeur Quantcast, trouvée au hasard d’une navigation, et après avoir scrollé dans la liste impressionnante de compagnies partenaires, nous nous arrêtons arbitrairement sur l’une d’entre elle : Marketo. Comme toutes les autres compagnies de la liste, elle est cochée “activé” par défaut. Donc elle collecte par défaut.

RGPD parametrequantcast RGPD   User Looser ?

Marketo quesako ?

Sur son site, Marketo se présente comme “leader mondial de plate-forme d’engagement pour le marketeur moderne”. Il s’agit d’un service du groupe Adobe qui propose des solutions pour optimiser le ciblage des publicités et ainsi optimiser la performance des campagnes et des ventes de ses clients. 

Marketo, parmi des centaines d’autres sociétés, utilise donc les cookies installés par Quantcast pour optimiser ses solutions. Vos données, via Quantcast, sont vendues à Marketo qui les valorise à son tour auprès de ses annonceurs.

Mais de quelles données parleton précisément ? Ca reste quand même le coeur du sujet !

Que dit Marketo dans sa Privacy Notice ? Sans passer en revue tout le document concentrons-nous tout simplement et uniquement sur  l’article 1, point 1 :

RGPD privacynotice RGPD   User Looser ?

Traduit en français – oui, il faut déjà comprendre ce qu’on lit… :
Quel type d’information Marketo collecte ? 

Point 1 : Vos données personnelles. Une “donnée personnelle” est toute information personnelle qui vous concerne vous ou quelque individu utilisant votre appareil, et qui peut inclure : Nom, titre, nom de la société, intitulé du poste, expertise, adresse postale, numéro de téléphone, adresse email, informations de navigateur et d’appareil (inclus l’adresse IP) ainsi que des informations collectées par des cookies ou technologies similaires». 

L’info est transparente, très claire, explicite à souhait. Comme le veut le règlement. 20/20. 

L’article continue et engage votre responsabilité de la manière suivante : « Si vous soumettez quelque donnée personnelle qui concerne d’autres personnes à nos prestataires en relations avec ses sites (en référence ici à Quantcast mais en réalité Marketo est présent sur presque toutes les bannières du marché), vous assumez avoir la responsabilité, l’autorité nécessaire et l’autorisation d’utiliser ces données en accord avec la présente notice ». 

Des articles juridiques comme celui-ci il y en a des dizaines pour chaque partenaire. Et il y a des centaines de partenaires (souvent les mêmes) sur chaque site où vous acceptez les cookies via ce type de bannières. C’est à la fois impressionnant et vertigineux. Pour autant, les pratiques de collecte via ces solutions clé en main restent variables. Chaque éditeur fait un peu sa popote selon ses enjeux, ses valeurs…

Ainsi, La Poste active par défaut, comme dans l’exemple, tous les cookies publicitaires alors que la Maaf à contrario n’active absolument aucune collecte par défaut.

RGPD laposte RGPD   User Looser ?

RGPD lamaaf RGPD   User Looser ?

Quoi qu’il en soit, il ne s’agit que, dans l’immense majorité des cas, de données utilisées à des fins publicitaires et commerciales. Il ne s’agit pas ici d’alerter sur un “danger” quelconque, mais plutôt de chercher à comprendre : comment cette loi de protection des données personnelles peut-elle être efficace pour les utilisateurs alors qu’elle semble plutôt avoir eu un effet inverse, en rendant toujours plus de données toujours plus accessibles ? 

Il est certain que cette situation va changer. Devant les nombreux paradoxes et zones d’ombres, il faut s’attendre rapidement à des évolutions de la loi. Des précisions tout au moins. C’est évident. Et le secteur du marketing risque d’être contraint à de profonds changements dans ses pratiques et méthodes. Ce qui n’est pas sans conséquence.

Si le dispositif s’inverse – par exemple – et contraint les éditeurs de sites à désactiver systématiquement les cookies (laissant au seul utilisateur le soin d’activer lui-même ce qu’il souhaite autoriser), personne ne va rien accepter.

Pourquoi ? Pour la même raison que tout le monde accepte aujourd’hui : la Consent Fatigue, dans un cas comme dans l’autre, sera toujours au coeur du comportement. Un clic ou rien. 

Et l’on voit mal comment tout un pan de l’industrie digitale pourrait se passer de cette collecte providentielle. A suivre…

Sources
Kobini
La Réclame
JDN
Le Monde
Adzerk.com
Le Blog du Modérateur
Quantcast
Marketo
Google

Laisser un commentaire.