Article

Audit de la conformité RGPD d’un site web vs. audit de la Consent Management Platform (CMP) ?

By:
Mathias Grinbaum
Audit de la conformité RGPD d’un site web vs. audit de la Consent Management Platform (CMP) ?

La conformité des sites web est cruciale, à plusieurs égards :

Or, l’audit d’un site web doit s’aborder du point de vue de l’utilisateur du site et non pas d’un point de vue technique en contrôlant seulement le paramétrage de la Consent Management Platform (CMP).

Nous avons trop souvent vu le cas où une CMP semblait correctement paramétrée mais des cookies étaient malgré tout déposés hors de toute règle de gestion. Un site web est un objet en constante évolution où s’accumulent des couches successives de développement, parfois sans documentation. Il n’est donc pas rare de voir apparaître un cookie déposé hors des règles de la CMP lorsque l’on visite une page ou un sous-domaine spécifique. Tout ceci plaide en faveur d’une politique de revue régulière des cookies.

C’est pourquoi nous privilégions une approche d’audit en se mettant dans la peau d’un utilisateur lambda, plutôt que de partir de la CMP. Nous utilisons un navigateur grand public et vierge de tout historique, extensions, etc. pouvant perturber l’analyse, avec son interface de contrôle permettant de voir les cookies déposés par le site.

Notre démarche consiste à cartographier tous les parcours utilisateurs possibles sur le site, puis à les reproduire’: acte d’achat, consultation de contenu, candidature à un emploi, etc. afin de relever les mentions d’information affichées ainsi que les cookies déposés à chaque étape du parcours. L’objectif est de s’assurer que les traitements de données effectivement réalisés sur le site soient conformes aux informations fournies et aux finalités des cookies déposés. Il existe des sites internet tels que cookiedatabase.org permettant de trouver des informations sur la finalité du cookie et l’identité de son éditeur.

C’est seulement une fois ce travail effectué que nous pourrons confronter le paramétrage de la CMP à ce qui a été constaté lors de notre contrôle.

Que ce soit dans le cadre de recommandations d’audit ou de refonte d’un site, la mise en conformité de ce dernier est un travail mobilisant plusieurs stakeholders en interne comme en externe : DPO (Délégué à la Protection des Données), service communication, service commercial, prestataires de développement, etc.

L’idéal à cet égard est d’adopter une approche de Privacy by design afin d’insérer la conformité RGPD de manière pertinente dans le parcours utilisateur (UX - User experience) plutôt que d’en faire une surcouche ajoutée « sur le tard » et qui rend l’expérience utilisateur moins plaisante. Nous avons tous déjà été confrontés à des sites qui nous assaillaient de demandes (consentement aux cookies, inscription à la newsletter, création de compte etc.) avant même de nous laisser consulter le contenu que nous souhaitions voir au départ. L’approche Privacy by design peut aussi permettre de diluer ces demandes au moment qui frustrera le moins l’utilisateur, ce qui maximisera par ailleurs les chances d’obtenir un consentement.

Parmi les bonnes pratiques, il faut travailler à réduire la taille des mentions d'information en adoptant l'approche à plusieurs niveaux : une information synthétique à la collecte des données avec un renvoi vers une notice d'information plus complète.

Le recours à des prestataires externes pour la gestion des sites web est là aussi un enjeu important. Le prestataire doit être impliqué dans les aspects de conformité RGPD du site, au moment de son développement mais aussi au gré de ses évolutions. Pour cela, le prestataire doit comprendre l’importance du sujet pour l’entreprise et être intégré dans l’approche Privacy by design afin qu’il puisse amener son expérience et ses solutions. Dans le cas d’une relation contractuelle déjà en cours, il ne faut pas hésiter à rappeler au prestataire qu’il est tenu de livrer un site web conforme à la réglementation. Il ne peut donc pas refuser ces développements et il est même possible de demander qu’ils ne soient pas facturés.