Adoptez un tag management « RGPD friendly »
L’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), dans le but de protéger les données personnelles des citoyens européens, a renforcé les contraintes posées aux entreprises qui collectent et partagent des données dans le cadre de leur activité. En tant que « tour de contrôle » des tags (qui sont des morceaux de code qu’exécute le navigateur déclenchant le dépôt de cookies et l’envoi de données à l’extérieur), le Tag Management System (TMS) se situe de fait au cœur du sujet. Il s’appuie sur une couche de données – le datalayer – qui peut abriter des données sensibles (adresse email, numéro de carte de fidélité, nom/prénom…), il gère le contenu des tags – donc la nature des données partagées – et il permet ou non le déclenchement de ces derniers – et donc le dépôt de cookies et le partage des données avec d’autres acteurs. Voyons comment faire des pratiques de gestion des tags un véritable levier de mise en conformité.
Le TMS est un outil central dans le processus de mise en conformité RGPD, et certains éditeurs (par exemple CommandersAct ou Tealium) ont saisi cette opportunité en développant des modules dédiés. Pour être conformes, les sites doivent en effet permettre à l’utilisateur de consentir ou non au dépôt de cookies (puisque que ce sont ces derniers qui identifient les individus), souvent selon le type d’usage auquel ces cookies sont liés. Le TMS lui-même peut permettre cela avec l’ajout d’un module e-Privacy (ou bien un outil tiers de type OneTrust peut se connecter au TMS pour le même résultat) et conditionner le déclenchement des tags (et donc le dépôt de cookies) au recueil du consentement. Concrètement, cela signifie que la personne en charge du TMS devra classer les différents tags intégrés dans un site via ce TMS (tags strictement nécessaires au bon fonctionnement du site, tags de « connaissance client » – analytics, A/B test… – et tags publicitaires – réseaux sociaux et partenaires). Ce dernier gérera ensuite le déclenchement des tags en fonction du/des type(s) de consentement recueilli(s). C’est un premier (grand) pas vers la mise en conformité !
Ensuite, le datalayer – la couche de données dont se nourrissent les tags gérés par le TMS – doit respecter les contraintes règlementaires : tout type de donnée personnelle ou identifiante doit être anonymisé (grâce au hashage, au cryptage ou à la tokenisation) dès son instanciation dans le datalayer. En amont, il faut également valider avec soin la nécessité de conserver telle ou telle donnée au sein du datalayer, conformément au principe de data minimization qui réclame l’adéquation entre le traitement d’une donnée et son usage dans le cadre de l’activité de l’entreprise. Cela permet de fortement limiter les risques de fuite de données sensibles, notamment vers des partenaires ou des acteurs malveillants.
Enfin, étant donné que les sites évoluent dans le temps (et les tags déclenchés avec eux), il est très important de mettre en place des procédures de contrôle réguliers afin de s’assurer que :
- les tags ne se déclenchent pas sans consentement préalable
- les données partagées via le déclenchement des tags le sont dans un format sécurisé
- les partenaires recevant les données grâce aux tags déclenchés sur un site sont bien des « partenaires autorisés »
A cet effet, des solutions de monitoring comme Seenaptic permettent d’automatiser ces contrôles voire de soumettre le déclenchement des tags à un whitelisting préalable (notamment pour gérer le problème du piggybacking, à savoir le déclenchement de tags par d’autres tags, en cascade) et ainsi de justifier de la mise en œuvre de moyens avancés dans la protection des données personnelles auprès de la CNIL. Car rappelons-le, des amendes allant jusqu’à 20M€ ou 4% du CA international peuvent être appliquées en cas de manquement avéré.
Afin de compléter votre lecture, vous pouvez télécharger le Livre Blanc “Découvrez les secrets du Tag Management” de Netvigie auquel Converteo a contribué.
Auteur : Pierre-Eric Beneteau, Senior Manager, Practice Data x Business Consulting