escalier de couleur

Le Google consent mode v2 est-il conforme aux règlementations française et européenne ?

Publié le 24.06.2024

Tracking et protection des données personnelles : décryptage juridique et précisions sur la conformité du Google Consent Mode v2 vis à vis du RGPD, du ePrivacy et de la Loi informatique et libertés

Depuis le 6 mars 2024, les organisations qui utilisent les outils de collecte de données Google sur leurs sites internet ou leurs applications mobiles devraient, si elles souhaitent poursuivre leur campagne marketing et leurs mesures d’audience par le biais des produits Google, installer la mise à jour relative aux bannières cookies « Google consent mode v2 ».

 

Le contexte règlementaire : pourquoi Google a-t-il mis en place le Google consent mode v2 ?

La législation sur les marchés numériques (Digital Markets Act ou « DMA ») vise à régulariser l’écosystème numérique et remédier au déséquilibre des rapports de force en faisant en sorte que ces marchés restent équitables et ouverts malgré la présence d’acteurs dits dominants, dénommés « gatekeepers » ou « contrôleurs d’accès ».

Le DMA est entré progressivement en vigueur depuis son adoption le 14 septembre 2022. Ce règlement fait peser de nouvelles obligations et interdictions sur les contrôleurs d’accès, qui sont désignés et contrôlés par la Commission européenne. À compter de leur désignation, les contrôleurs d’accès sont tenus de mettre en place dans un délai de six mois des mesures leur permettant de garantir le plein respect des obligations du DMA, et ce, pour chacun de leurs services qui auront été visés par la Commission européenne.

A ce jour, la Commission a désigné 7 gatekeepers : Alphabet (Google, Android, Youtube…), Amazon, Apple, ByteDance (TikTok), Meta (Facebook, Instagram…), Microsoft et Booking.

Certaines des obligations et interdictions introduites par le DMA sont en lien avec la protection des données personnelles des utilisateurs finaux des services proposés par les contrôleurs d’accès, lorsque ces utilisateurs sont situés dans l’Espace Economique Européen (EEE). A ce titre, les gatekeepers ne peuvent plus réutiliser les données personnelles collectées lors d’une prestation pour les besoins d’une autre prestation, sans qu’un consentement effectif de l’utilisateur n’ait été donné.

Le consentement de l’utilisateur final doit être obligatoirement obtenu par les contrôleurs d’accès pour :

  • réutiliser, combiner ou croiser des données personnelles (article 5.2 du DMA)
  • partager des données personnelles entre le contrôleur d’accès et les entreprises utilisatrices (article 6.10 du DMA)

Le consentement de l’utilisateur doit être recueilli dans les conditions prévues par le RGPD[1], c’est-à-dire qu’il doit être libre, spécifique, éclairé et univoque.

Enfin, le contrôleur d’accès doit prendre les mesures nécessaires pour permettre aux entreprises utilisatrices d’obtenir directement le consentement requis ou, à défaut, leur fournir des données anonymisées (article 13.5 du DMA).

C’est dans ce cadre que Google a mis en place un nouveau mode de recueil de consentement relatif aux traceurs qui sont liés à l’utilisation de ses outils marketing, tels que Google Ads, Google Analytics, Google DV 360 ou encore Search Ads 360 : le Google consent mode v2. Afin de se conformer au DMA, Google doit en effet être en mesure de garantir que les données collectées via ses outils sont des données d’utilisateurs ayant accordé leur consentement libre et éclairé.

 

Qu’est-ce que le Google consent mode v2 ?

Le Google consent mode v2 permet de recueillir le consentement des utilisateurs finaux, c’est-à-dire des personnes naviguant sur le site internet ou l’application mobile, pour pouvoir activer les fonctionnalités des produits Google qui y ont été implémentés.

Le principe est le suivant :

  1. L’organisation utilise sur son site internet une plateforme de gestion des consentements (aussi appelé « CMP » pour consent management platform) qui lui permet d’obtenir le consentement de l’utilisateur sur différents points : collecte de données personnelles, dépôt de cookies sur le terminal, utilisation de traceurs…
  2. Pour chaque consentement ou refus donné par l’utilisateur, un signal est automatiquement envoyé à la CMP et aux services Google concernés
  3. En fonction de la nature de ces signaux de consentement (accord ou refus), des balises de suivi (traceurs) sont déclenchées ou ne le sont pas. Le comportement de Google Ads, Google Analytics ou de toute autre service concerné s’ajustera en conséquence.

En pratique, le déclenchement des balises Google permet aux outils Google d’écrire et de lire des cookies sur le navigateur d’un utilisateur. L’outil pourra alors recueillir des données et réaliser des mesures d’audiences ou encore proposer des publicités ciblées.

Certains organismes à but non lucratif faisant appel à la générosité utilisent les services de technologie publicitaire et d’analyse de Google, notamment à des fins de prospection (campagnes de remarketing, campagnes personnalisées telles que les « Custom Audiences »[2]…). Dès lors que ces organismes utilisent ces produits dans l’EEE, ils devraient implémenter le Google consent mode v2 à leur CMP pour communiquer à Google l’état du consentement de leurs utilisateurs. A défaut, Google alerte sur le fait que certaines fonctionnalités risquent de ne plus être alimentées.

Le Google consent mode v2 soulève plusieurs questions en lien avec la règlementation relative à la gestion des données personnelles.

 

Directive ePrivacy et Loi informatique et libertés : le Consent Mode v2 est-il conforme ?

Lors de l’implémentation du Google consent mode v2, il est possible de choisir entre un mode « basique » et un mode « avancé », étant entendu qu’il est possible de basculer d’un mode à l’autre une fois l’outil mis en place.

Dans la mesure où sont utilisés des traceurs, les utilisateurs situés dans l’EEE doivent être en mesure de donner leur consentement libre et éclairé avant le stockage d’informations sur leur terminal ou l’accès à des informations déjà stockées sur celui-ci lorsque les opérations de traitement ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur (cf. directive ePrivacy[3] et art. 82 de la Loi informatique et libertés[4]).

Si l’utilisateur donne son consentement, il n’y a donc pas de difficulté, les outils de tracking s’activent selon la volonté de l’internaute.

En revanche, lorsqu’un utilisateur refuse de donner son consentement, les modes basique et avancé présentent des différences importantes.

  • Mode basique

Lorsque l’utilisateur se connecte sur le site, les balises Google sont bloquées jusqu’à ce que celui-ci interagisse avec la bannière cookies.

Si l’utilisateur refuse les cookies, aucune balise n’est déclenchée et, par conséquent, aucune donnée n’est collectée.

Ce mode de recueil de consentement semble donc conforme à la directive ePrivacy et à la loi informatique et libertés, dans la mesure où aucun cookie n’est déposé ni aucune information collectée sans le consentement de l’internaute.

Au vu de nos échanges avec la CNIL, cette analyse est confirmée. La CNIL indique qu’en l’état actuel de la documentation technique accessible en ligne, le mode basique ne semble pas poser de difficulté.

  • Mode avancé

Lorsque l’utilisateur se connecte sur le site, les balises sont déclenchées avant que celui-ci interagisse avec la bannière cookies.

Si l’utilisateur refuse les cookies, les balises Google ne se déclenchent pas mais des pings (des signaux) sans cookie contenant des informations fonctionnelles sont envoyés aux produits Google à des fins de modélisation sans le consentement de l’utilisateur.

Ces données concerneraient notamment l’adresse IP, l’information relative au consentement ou encore l’URL de la page consultée.

Google indique que ces données sont anonymisées et ne permettent pas d’identifier l’utilisateur qui a refusé de donner son consentement.

Cependant, s’agissant de traceurs, il importe peu que ces données soient ou non anonymisées, car l’article 82 de la loi informatique et libertés pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’information ou leur accès sur un terminal.

Ce principe s’étend à tous les traitements qui impliquent des opérations de lecture ou d’écriture sur le terminal de l’utilisateur, tels que :

  • Le fingerprinting (prise d’empreinte) qui est une technique probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur,
  • Les pixels invisibles ou « web bugs »,
  • Tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV))

Il convient également d’avoir à l’esprit que la règlementation relative aux traceurs est susceptible d’évoluer et de se renforcer. La proposition de règlement européen ePrivacy[5], toujours en cours de discussion, qui a vocation à remplacer la directive ePrivacy, protègera, au-delà des informations qui y sont stockées, les informations qui sont émises par le terminal de l’utilisateur.

Dans l’attente, de nouvelles lignes directrices du Comité européen à la protection des données (CEPD) devraient prochainement être publiées (la consultation publique a pris fin le 18 janvier 2024). Ces dispositions précisent le champ d’application technique des dispositions de la directive ePrivacy relatives aux traceurs afin que les nouvelles solutions techniques de tracking soient également réglementées.

Le mode avancé Google consent mode v2 soulève donc des questions au regard de sa conformité à la règlementation actuelle et future applicable aux cookies et autres traceurs. En tout état de cause, il n’est pas certain que ces traceurs utilisés par Google puissent être exemptés de consentement au regard des recommandations de la CNIL en matière d’outils de mesure d’audience.

 

Les autorités de protection des données française et européenne ne se sont pas prononcées sur la conformité du Google consent mode v2

A ce jour, aucune position officielle n’a été prise, que ce soit de la part de la CNIL, l’autorité française de protection des données, ou du CEPD, le Comité qui regroupe, au niveau européen, l’ensemble des autorités à la protection des données nationales.

Dans l’attente d’un positionnement officiel de ces autorités sur la conformité du Google consent mode v2 à la directive ePrivacy et à la loi informatique et libertés, et au regard des zones d’ombre techniques qui subsistent sur le mode avancé, la responsabilité pèse sur les responsables de traitement. Par conséquent, il appartient à chaque organisation de vérifier si le mode d’implémentation choisi est bien conforme à la règlementation applicable.

A ce stade, il est donc recommandé :

  • De se rapprocher de ses prestataires (fournisseurs de CMP, …) afin de conduire une analyse plus approfondie et d’identifier si les opérations de traitement réalisées sans l’accord préalable de l’utilisateur, dans le cadre du mode avancé, sont bien exemptées de consentement,
  • A défaut, d’implémenter l’outil en mode basique,
  • En toute hypothèse, de mettre à jour les mentions d’informations relatives à la bannière cookies afin d’informer l’utilisateur final du fonctionnement de ce mode de recueil du consentement.

 

Organisations faisant appel à la générosité et consent mode v2 : comment s’adapter ?

Google précise dans ses supports d’information que le mode de consentement avancé permet une modélisation plus détaillée, selon un modèle spécifique à l’annonceur. Ainsi, les organisations faisant appel à la générosité du public qui choisissent le mode basique perdraient des données stratégiques susceptibles d’avoir un impact important sur leurs campagnes.

Il convient cependant de se poser les questions suivantes :

  • Quelle est la réelle plus-value de passer du mode basique au mode avancé ?
  • Les données susceptibles d’être perdues en implémentant le mode basique sont-elles vraiment essentielles à l’efficacité d’une campagne marketing?

D’un point de vue pragmatique, les problématiques soulevées par le Google consent mode v2 peuvent être l’occasion de s’interroger sur certaines pratiques marketing. A titre d’exemple, ne serait-ce pas le moment pour les organisations faisant appel à la générosité du public de diminuer leurs stratégies « Look alike[6] » et d’aller chercher des personnes éloignées de leurs audiences classiques afin de rentrer en conversation avec elles ?

De tels changements de stratégies pourraient avoir un réel impact, notamment sur la sensibilisation du grand public aux causes défendues par les organisations d’intérêt général et ainsi répondre au problème de concentration des donateurs constaté aujourd’hui en France.

Notons par ailleurs que le nouveau mode de consentement proposé par Google peut engendrer des difficultés techniques relatives à la gestion des données CRM (Customer Relationship Management). Certaines organisations afin de cibler des « customs audience » en retargetting ou look alike, transmettent aux plateformes marketing (META, Google…) des fichiers de contacts issus de leur base de données. Dans le cadre du Google consent mode v2, ce transfert de données doit obligatoirement être accompagné de l’information relative au consentement des personnes dont les coordonnées sont transmises. Cela soulève une problématique technique importante lorsque le CMP de l’organisation ne communique pas avec la base de données du CRM[7].

Au-delà des enjeux techniques susvisés, il convient de mettre en place dès à présent des solutions permettant d’informer les personnes concernées des transferts de données induits par le consent mode v2 et de s’assurer que ces personnes puissent retirer leur consentement à tout moment.

France générosités travaille sur ces différents enjeux avec ses organisations membres, notamment dans le cadre du groupe de travail tracking DPO x Webmarketing de France générosités. L’un des objectifs de ce groupe de travail est d’analyser la réalité des pertes de données liées au mode basique et leurs conséquences éventuelles, mais également de permettre l’échange et le co-développement entre pairs.

anouk Anouk MARCHALAND
Juriste

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Un segment personnalisé de cibles, paramétré dans les outils marketing pour aller toucher l’audience souhaitée en fonction de critères définies par l’annonceur et/ou similaires à des audiences déjà touchées.

[3] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[5] Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

[6] Une audience ou une cible dite “look alike” est une cible publicitaire qui est déterminée par sa ressemblance avec la cible habituelle de l’annonceur, ici de l’association / fondation qui réalise la campagne marketing

[7] Dans un tel cas de figure, les données collectées via le CMP ne permettent pas de faire le lien avec la base de données CRM car ni l’email ni l’identité de l’internaute ne sont collectés.

escalier de couleur inversé