Le dilemme du consentement aux cookies : que se passe-t-il lorsque 97 % de vos données disparaissent

Soyons honnêtes : peu de choses ont changé l'analyse Web de façon aussi spectaculaire (et aussi ennuyeuse) que l'essor de la bannière de consentement aux cookies. Ce qui n'était au départ qu'un avis poli « nous utilisons des cookies » s'est transformé en une fenêtre contextuelle légale en plein écran que la moitié d'Internet ignore désormais.

Ces derniers mois, nous utilisons Enzuzo en tant que plateforme de gestion du consentement (CMP) ici au Milk Moon Studio.

Les chiffres sont... brutaux. Sur chaque centaine de visiteurs, moins de trois cliquent réellement Accepter. C'est un taux de consentement de 2,75 % — inférieure à la marge d'erreur de la plupart des enquêtes. Un autre résultat de 0,63 % Refuser, plus de la moitié (51 %) se contentent de regarder fixement et de ne rien faire, et 45 % ne voient jamais la bannière du tout à cause des bloqueurs ou de la géolocalisation.

En d'autres termes, nous collectons des données analytiques de haute fidélité entièrement conformes sur peut-être trois pour cent de notre audience.

Tous les autres sont invisibles.

Cela nous a fait réfléchir, faire des recherches, débattre et peut-être perdre le sommeil :

Quel est le coût réel de la mise en conformité ?

Sommes-nous en train de faire une hémorragie de données précieuses au nom des exigences légales ? Ou est-ce que les bannières de cookies ont causé plus de dommages aux données que la confidentialité n'en a jamais fait ?

Si vous gérez un site Webflow (ou n'importe quel autre site, en fait) avec des outils d'analyse, de marketing ou même simplement des cookies de base, vous avez probablement eu les mêmes débats tard dans la nuit : Avons-nous vraiment besoin d'une bannière de consentement aux cookies ? Devons-nous passer à la CMP complète ou rester simple ? Que se passe-t-il réellement, à la fois légalement et pratiquement, si vous ne respectez pas les règles ?

Examinons les exigences légales dans trois juridictions principales : l'UE (RGPD), les États-Unis et l'Afrique du Sud (POPIA), examinons des cas d'application concrets, comparons nos données de consentement aux tendances mondiales et découvrons ce qui se passe réellement dans le paysage de l'analyse Web.

Comment nous en sommes arrivés là

L'idée de départ était simple : permettre aux utilisateurs de contrôler la manière dont leurs données sont utilisées. Dans la pratique, ce noble objectif s'est heurté à la dépendance d'Internet à suivre tout ce qui bouge.

GDPR est arrivé en 2018 et a donné le ton : pas de cookies non essentiels sans un consentement explicite, éclairé et opt-in. Aucune case pré-cochée. Aucune autorisation implicite. Tu veux suivre quelqu'un ? Demandez d'abord, et faites en sorte qu'il soit tout aussi facile de dire non.

Puis est venu POPIA en Afrique du Sud, qui a emprunté une grande partie de l'ADN du RGPD, et la lente montée en puissance des lois sur la confidentialité des États américains, telles que CCPA/CPRA, Colorado CPA, et celui de Virginia VCDPA. Les détails diffèrent, mais l'essentiel est le même : les gens peuvent décider quelles données vous collectez, et vous devez leur dire quand vous le faites.

Tout cela semble raisonnable jusqu'à ce que vous réalisiez ce qui se passe lorsque les gens ont réellement le choix.

La réalité : nos statistiques sur Enzuzo par rapport à l'industrie

Avant de nous plonger dans le labyrinthe juridique, examinons ce qui se passe réellement sur notre site Web et comment il se compare aux autres sites :

Chiffres de Milk Moon Studio :

• ‍Nombre total de pages vues : 100 %‍
• Consentement accepté : 2,75 %‍
• Consentement rejeté : 0,63 %‍
• Bannière ignorée : 51,33 %‍
• Bannière rejetée : 0 %‍
• Bannière non affichée : 45,29 %

Laisse-le pénétrer. Plus de la moitié de nos visiteurs (51,33 %) ignorent complètement la bannière. Un autre 45,29 % ne le voient même jamais : il s'agit probablement de visiteurs récurrents qui ont déjà fait leur choix, d'utilisateurs utilisant certaines configurations de navigateur ou de bloqueurs. Seulement 2,75 % acceptent activement et moins de 1 % rejettent activement.

Comment cela se compare-t-il à l'échelle mondiale ?

C'est là que cela devient intéressant (ou déprimant, selon votre point de vue). Selon de récentes études du secteur et des fournisseurs de CMP :

• ‍Moyenne de l'UE (adhésion stricte) : 3 à 7 % d'acceptation explicite pour des bannières bien conçues, certains sites atteignant 15 % lorsque les utilisateurs font vraiment confiance à la marque‍
• Taux de rejet : Lorsque les utilisateurs se voient proposer une option claire « Accepter » ou « Refuser » (comme l'exige le RGPD), les taux de rejet varient généralement de ** 50 à 60 %** ou même plus‍
• Moyenne américaine : 10 à 20 % d'acceptation (plus élevé car de nombreux sites utilisent un consentement implicite ou un blocage moins agressif)‍
• Moyenne mondiale : 5 à 10 % d'acceptation explicite‍
• Taux d'ignorance : À l'échelle du secteur, 40 à 60 % des utilisateurs n'interagissent tout simplement pas du tout avec les bannières de cookies

Qu'est-ce que cela nous apprend ?

Notre taux d'acceptation de 2,75 % est faible, mais pas trop hors de portée pour une mise en œuvre stricte de l'opt-in. Nous sommes en fait au même niveau, voire légèrement en dessous, de la moyenne de l'UE. Nos statistiques Enzuzo sont donc mauvaises, mais elles sont également parfaitement normales. Tout le monde vole à l'aveugle ensemble.

Ce n'est pas un problème « nous ». Il s'agit d'un changement à l'échelle du secteur dans le fonctionnement de l'analyse Web.

La grande panne d'analytique : ce que cela signifie pour la qualité des données

Voici le calcul brutal : si nous sommes pleinement conformes au RGPD et à la POPIA, nous travaillons avec des données précises sur moins de 3 % de notre trafic de visiteurs de l'UE et de l'Afrique du Sud.

Cette cécité a des conséquences. 97 % des visiteurs n'étant pas suivis, vos taux de conversion sont faux, vos entonnoirs ne fonctionnent pas et vos « informations sur l'audience » ressemblent plutôt à lectures d'horoscope plutôt que des données concrètes.

Les implications sont stupéfiantes :

1. ‍Données largement incomplètes : Il nous manque des données sur plus de 97 % des visiteurs‍
2. Des indicateurs extrêmement inexacts : Taux de conversion, taux de rebond, temps passé sur le site, sources de trafic : tout est biaisé‍
3. Inutile pour la prise de décisions : Vous ne pouvez pas prendre de décisions commerciales éclairées en vous basant sur les données de 3 % de votre public‍
4. Échantillon biaisé : Les 2,75 % qui donnent leur consentement ne constituent pas un échantillon aléatoire : il s'agit d'un sous-ensemble spécifique d'utilisateurs qui peuvent être plus engagés, plus confiants ou appartenir à des groupes démographiques différents‍
5. Sous-déclaration des conversions : Vos conversions réelles peuvent être bien supérieures à ce que montre Analytics‍
6. Mauvaise allocation des ressources : Vous pourriez surinvestir dans des chaînes qui génèrent des taux de consentement plus élevés tout en ignorant les chaînes présentant un taux de consentement plus faible mais un meilleur retour sur investissement réel

Pour la publicité, c'est encore pire :

Pour tous ceux qui diffusent des publicités, la douleur est double. Sans signaux de consentement, Publicités Google désactive complètement le remarketing et la personnalisation des audiences. Avec le ciblage générique, vous vous retrouvez dans le vide, et bonne chance pour optimiser vos campagnes lorsque vos conversions ne disposent pas de la moitié de leurs données d'attribution :

• Audiences de remarketing très limitées (seuls 2,75 % peuvent être recommercialisés)
• Suivi des conversions dégradé (impossible de savoir quelles publicités ont généré des conversions si les utilisateurs n'y ont pas consenti)
• Optimisation altérée (les algorithmes de Google ne peuvent pas optimiser sans les signaux de consentement de la plupart des utilisateurs)
• Dépenses publicitaires inutiles (diffusion d'annonces aux personnes qui ont déjà effectué une conversion, ou absence de personnes qui devraient les voir)

Et voici le truc : même si vous vous penchez en arrière avec Mode de consentement v2 de Google, vous n'obtenez qu'une modélisation statistique. GA4 essaie de combler les lacunes avec la « modélisation comportementale » et la « modélisation de conversion », mais c'est vraiment juste devinettes sophistiquées. C'est mieux que de voler complètement à l'aveugle, mais loin d'avoir de vraies données.

Pendant ce temps, les régulateurs ne jouent pas : le RGPD régit l'UE

Ce que dit réellement la loi

Le règlement général sur la protection des données (RGPD) est en vigueur depuis le 25 mai 2018 et il n'y a rien à redire. Si vous traitez les données personnelles de toute personne dans l'Union européenne, vous devez vous y conformer, quel que soit l'endroit où se trouve réellement votre entreprise.

Principales exigences relatives au consentement aux cookies :

1. ‍Consentement explicite et éclairé : Les utilisateurs doivent s'inscrire activement avant vous placez des cookies non essentiels sur leur appareil. Les cases pré-cochées ne comptent pas. Le « consentement implicite » n'existe pas dans le RGPD. Pas de consentement = pas de suivi.‍
2. Contrôle granulaire : Les utilisateurs doivent avoir la possibilité d'accepter ou de rejeter séparément différentes catégories de cookies (analytiques, marketing, fonctionnels, etc.). Vous ne pouvez pas regrouper « Tout accepter » comme seule option.‍
3. Informations claires : Vous devez expliquer quelles données vous collectez, pourquoi vous les collectez, avec qui vous les partagez et pendant combien de temps vous les conservez. La directive ePrivacy et le RGPD imposent conjointement cette transparence.‍
4. Retrait facile : Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné. Si l'acceptation se fait en un clic, le rejet ou le retrait devraient également être effectués.‍
5. Pas de Cookie Walls : Vous ne pouvez généralement pas refuser l'accès à votre site Web si quelqu'un rejette les cookies non essentiels. (Il existe quelques exceptions, mais elles sont difficiles à justifier.)‍
6. Consentement documenté :** Vous devez conserver des dossiers prouvant que le consentement a été obtenu, quand et à quelles fins. Si quelqu'un dépose une plainte, vous devez présenter des preuves.‍
7. Aucune case pré-cochée : La décision historique de la CJUE dans *Planète 49* a précisé que même pour les cookies, les cases pré-cochées enfreignent la loi. Le consentement doit être une mesure positive.‍
8. L'intérêt légitime ne s'applique pas : Les récentes tendances en matière d'application de la loi le montrent clairement : vous ne pouvez pas utiliser « l'intérêt légitime » comme base légale pour les cookies non essentiels tels que les cookies analytiques ou marketing.

Qu'est-ce qui est considéré comme des données personnelles ?

C'est là que ça se complique. Google Analytics, même GA4, collecte des données qui peuvent être considérées comme personnelles au sens du RGPD :

• Adresses IP (même lorsqu'elles sont « anonymisées », Google reçoit l'adresse IP complète avant la troncature)
• ID client et ID utilisateur
• Identifiants des appareils
• Comportement de navigation susceptible de créer une « empreinte numérique »

Le Comité européen de la protection des données (EDPB) a été parfaitement clair : Google Analytics nécessite un consentement en vertu du RGPD.

Application de la loi dans le monde réel : ce n'est pas du bluff

Si nous ne pouvons pas nous contenter de hausser les épaules et de collecter des données de toute façon, c'est parce que les régulateurs ont du mordant et qu'ils les ont utilisés. Examinons quelques cas réels dans lesquels des entreprises ont été touchées pour des manquements à la conformité en matière de cookies :

Google contre la France (septembre 2025) : L'autorité française de protection des données (CNIL) a giflé Google Amende de 325 millions d'euros pour avoir inséré des publicités dans Gmail sans le consentement approprié de l'utilisateur et pour avoir contraint les utilisateurs à accepter les cookies par le biais de motifs sombres. Il s'agit de l'une des amendes les plus importantes du RGPD liées au consentement aux cookies en particulier.

IAB Europe (février 2022) : L'autorité belge de protection des données a estimé que le cadre de transparence et de consentement d'IAB Europe n'était pas conforme au RGPD, ordonnant des changements majeurs à la manière dont les entreprises de technologie publicitaire obtiennent le consentement. Amende : 250 000€ ainsi que des ordres visant à supprimer d'énormes quantités de données collectées de manière incorrecte.

Décisions relatives à Google Analytics () : Les autorités chargées de la protection des données en Autriche, en France, en Italie, au Danemark, en Finlande, en Norvège et en Suède ont toutes jugé que l'utilisation de Google Analytics violait le RGPD en raison des transferts de données vers les États-Unis, même avec consentement. Certains sites Web ont obligé les sites Web à cesser complètement d'utiliser GA.

Les petites entreprises sont également touchées : Il n'y a pas que les géants de la technologie. En 2023, une petite entreprise allemande a été condamnée à une amende 10 000€ pour l'utilisation de Google Fonts sans consentement (qui charge des ressources depuis les serveurs de Google et transmet des adresses IP). Des entreprises françaises ont été condamnées à une amende pour des bannières de cookies qui ne permettaient pas un rejet facile.

Les Dark Patterns sont ciblés : L'Agence de protection de la vie privée de Californie et un nouveau consortium de régulateurs de la confidentialité de plusieurs États américains ciblent désormais activement les bannières de cookies qui utilisent des « motifs sombres », en mettant « Accepter » en évidence tout en cachant « Rejeter » dans du texte gris ou en nécessitant plusieurs clics.

Ainsi, même si l'application n'est pas uniforme, le schéma est clair : les lois sur la protection de la vie privée ne sont pas une phase. C'est un cliquet unidirectionnel.

Les enjeux

Les violations du RGPD peuvent vous coûter :

• Jusqu'à **20 millions d'euros** OU ** 4 % du chiffre d'affaires mondial annuel**, la valeur la plus élevée étant retenue
• Frais juridiques, coûts d'audit et dépenses de remédiation
• Atteinte à la réputation
• Être sommé de cesser complètement le traitement des données
• Réclamations civiles intentées par les personnes concernées
• Plaintes actives émanant de groupes de défense de la vie privée tels que NOYB (qui recherche activement les violations)

Pour une petite agence comme la nôtre, même une « petite » amende prévue par le RGPD mettrait fin à son activité.

Le facteur Google : quand les plateformes deviennent des forces de l'ordre

C'est là qu'il s'agit moins d'une question de droit que d'aspect pratique.

Même si tu as eu le courage d'ignorer la conformité, Google ne vous laissera pas. À compter de mars 2024, chaque site utilisant Analytics ou Ads dans l'EEE et au Royaume-Uni doit mettre en œuvre Mode de consentement v2.

Si vous n'envoyez pas de signaux de consentement valides à Google :

• GA4 arrête de collecter des données complètes pour les utilisateurs non consentants
• Les listes de remarketing des publicités ne seront pas renseignées
• Le suivi des conversions devient flou
• La personnalisation des publicités s'arrête
• Les performances de vos campagnes diminuent

Alors oui, tu *pourrait* supprimez la bannière, mais vos analyses et vos publicités deviendraient instantanément à moitié fonctionnelles, au mieux. Google est essentiellement devenu le bras de facto chargé de l'application du RGPD. C'est une application que vous ne pouvez ignorer.

Niveau de risque de non-conformité : ÉLEVÉ

Même les petites entreprises se font prendre. Les utilisateurs peuvent déposer des plaintes. Les groupes de défense de la vie privée recherchent activement les violations. Les autorités de protection des données infligent des milliards d'amendes, enquêtent activement sur les violations du consentement aux cookies, répondent aux plaintes et coordonnent l'application transfrontalière.

POPIA : L'Afrique du Sud suit l'exemple de l'UE

Ce que dit la loi

La Loi sur la protection des informations personnelles (POPIA) est entrée pleinement en vigueur le 1er juillet 2021 et partage de nombreux principes avec le RGPD. Si vous traitez les informations personnelles de personnes sud-africaines, la POPIA s'applique à vous.

Principales exigences :

1. ‍Le consentement doit être volontaire, spécifique et éclairé :** Même norme que le RGPD : vous avez besoin d'un consentement actif et clair avant de traiter des données personnelles. Un consentement préalable éclairé est requis avant de configurer des cookies d'analyse ou de marketing.‍
2. Spécification de l'objectif : Vous ne pouvez collecter des données qu'à des fins légales et explicitement définies. Vous devez communiquer clairement ces objectifs.‍
3. Minimisation des données : Ne collectez que ce qui est nécessaire aux fins que vous avez déclarées.‍
4. Mesures de sécurité : Vous devez protéger les données personnelles contre tout accès non autorisé, toute perte ou tout dommage.‍
5. Droits de la personne concernée : Les individus peuvent demander l'accès à leurs données, demander des corrections ou s'opposer au traitement.‍
6. Transferts transfrontaliers : La POPIA réglemente l'envoi de données en dehors de l'Afrique du Sud. Vous devez disposer de garanties lorsque vous transférez des données vers les serveurs de Google à l'étranger (comme les clauses contractuelles types).

Qu'est-ce qui est considéré comme une information personnelle dans le cadre de la POPIA ?

La POPIA définit les informations personnelles de manière large :

• Adresses IP
• Identifiants des appareils
• Cookies qui peuvent identifier ou se rapporter à une personne identifiable
• Comportement de navigation lié à un individu

Oui, Google Analytics répond à cette définition. Bien que la POPIA ne fournisse pas encore de réglementations spécifiques aux cookies, les commentaires juridiques considèrent généralement les cookies comme un traitement d'informations personnelles.

Application de la loi dans le monde réel : à ses débuts, mais ça devient sérieux

L'application de la POPIA continue de s'intensifier par rapport au RGPD, mais le régulateur de l'information (la DPA sud-africaine) prend des mesures.

En Afrique du Sud, l'application de la loi est récente, mais elle s'intensifie. Le régulateur de l'information a commencé à publier pénalités de plusieurs millions de rands en cas de refus de consentement et de gestion des données bâclée :

Amende pour les professionnels de santé en 2023 :Une entreprise de santé privée a été condamnée à une amende 5 millions de ZAR pour ne pas avoir mis en œuvre des mesures de sécurité adéquates et obtenu le consentement approprié pour le traitement des données.

Enquête sur le commerce de détail 2024 : Un important détaillant sud-africain a fait l'objet d'une enquête pour avoir suivi des clients en magasin sans une signalisation de consentement appropriée.

Plaintes multiples déposées : Le bureau du régulateur de l'information a indiqué avoir reçu des milliers de plaintes, dont beaucoup concernaient le suivi numérique, les communications marketing et l'absence de mécanismes de consentement.

L'application est plus lente qu'en Europe, mais elle est en train de se produire. Et les sanctions sont lourdes.

Les enjeux

Les violations de la POPIA peuvent entraîner :

• Amendes pouvant aller jusqu'à 10 millions de ZAR (environ 550 000 dollars américains)‍
• emprisonnement pouvant aller jusqu'à 10 ans pour des violations graves et intentionnelles
• Réclamations civiles en dommages et intérêts
• Ordres visant à cesser le traitement
• Atteinte à la réputation sur le marché sud-africain

Pour les entreprises qui font des affaires en Afrique du Sud, la conformité à la POPIA n'est pas une option, ce n'est qu'une question de temps avant que l'application de la loi ne rattrape les contrevenants.

Les exigences de Google

Identique au RGPD : Google exige des signaux de consentement de la part des utilisateurs en Afrique du Sud. Si vous ne mettez pas en œuvre un CMP qui fonctionne avec le mode consentement, vous serez confronté à des lacunes en matière de données et à des fonctionnalités limitées dans Google Analytics et Ads.

Niveau de risque de non-conformité : MOYEN (mais en hausse)

Le régulateur de l'information dispose de ressources limitées par rapport aux autorités de protection des données de l'UE, donne la priorité aux cas flagrants (violations de données, violations malveillantes) et répond aux plaintes, mais lentement. Cependant, le risque est réel et s'accroît. Si vous faites des affaires importantes en Afrique du Sud, ne pariez pas là-dessus.

États-Unis : l'approche disparate (ou : l'oncle distrait du droit à la protection de la vie privée)

Voici un moyen utile de réfléchir aux juridictions :

Europe est le parent strict : « Demandez avant de toucher quoi que ce soit. »

Les États-Unis est l'oncle distrait : « Ne le vendez pas et tout ira probablement bien. »

Afrique du Sud est le frère cadet : il observe les erreurs de l'UE et s'arme lentement des mêmes règles.

Loi fédérale : pratiquement rien (pour l'instant)

Contrairement à l'UE et à l'Afrique du Sud, les États-Unis n'ont pas de loi fédérale complète sur la protection de la vie privée. Pas d'équivalent au RGPD. Pas d'équivalent POPIA.

Cependant, il existe des lois fédérales pour des secteurs spécifiques :

• ‍COUPE : Loi sur la protection de la vie privée en ligne des enfants (s'applique aux sites ciblant les enfants de moins de 13 ans)‍
• HIPAA : Loi sur la portabilité et la responsabilité en matière d'assurance maladie (données de santé)‍
• MONDE : Loi Gramm-Leach-Bliley (données financières)‍
• Section 5 de la Loi sur la FTC : Donne à la FTC le pouvoir de poursuivre les pratiques « déloyales ou trompeuses », y compris les violations de la vie privée

Pour la plupart des sites Web, la loi fédérale n'exige pas de bannière de cookie. Mais les lois de l'État ? C'est une autre histoire.

Lois des États : une liste qui s'allonge

De nombreux États américains ont promulgué des lois sur la protection de la vie privée, chacune comportant des exigences légèrement différentes :

Californie - CCPA/CPRA (2020/2023) :Le California Consumer Privacy Act, amélioré par le California Privacy Rights Act, est la loi américaine la plus complète sur la protection de la vie privée. Cela nécessite :

• Des avis de confidentialité clairs expliquant quelles données vous collectez et pourquoi
• Un lien « Ne pas vendre ni partager mes informations personnelles »
• La possibilité pour les utilisateurs de refuser la vente/le partage de données
• La possibilité pour les utilisateurs de demander l'accès, la suppression et la correction de leurs données

Fait important, Le CCPA n'exige PAS de consentement préalable pour les cookies—il s'agit d'un modèle de désinscription. Vous pouvez effectuer le suivi par défaut, mais vous devez fournir un mécanisme de désinscription simple.

Autres États dotés de lois sur la confidentialité :

• ‍Virginie (VCDPA) - À compter de mars 2023‍
• Colorado (CPA) - À compter de juillet 2023‍
• Connecticut (CTDPA) - À compter de juillet 2023‍
• Utah (UCPA) - À compter de décembre 2023‍
• Montana, Oregon, Texas, Delaware - Prochainement

La plupart d'entre eux suivent un modèle de désinscription similaire à celui du CCPA plutôt que l'approche d'opt-in du RGPD.

Développement récent : Les États examinent de plus en plus la conception de l'interface utilisateur des bannières de cookies. Le nouveau Consortium des régulateurs de la confidentialité coordonne l'application de la mise en œuvre des bannières relatives aux cookies dans plusieurs États, en ciblant les « dark patterns » (incitant les utilisateurs à accepter). Exemple : la CPPA de Californie a critiqué les bannières qui permettent aux utilisateurs d'accepter en un seul clic, mais qui obligent les utilisateurs à les refuser en plusieurs clics (choix asymétrique).

Mise en application dans le monde réel

Séphora (CCPA, 2022) : Amende 1,2 million de dollars pour ne pas avoir révélé qu'elle vendait des informations personnelles et pour ne pas avoir traité les demandes de désinscription. Il s'agissait de la première mesure d'application de la CCPA.

Google et YouTube (FTC, 2019) : Payé 170 millions de dollars pour les violations de la COPPA liées à la collecte de données sur les enfants sans le consentement des parents.

Meta/Facebook (multiple, en cours) : A été condamné à des milliards d'amendes pour diverses actions américaines, principalement liées à des décrets de consentement de la FTC et à des pratiques trompeuses.

Actions du procureur général : De nombreux AG des États ont intenté des actions contre des entreprises pour violations de la vie privée, avant même l'entrée en vigueur de leurs lois nationales sur la protection de la vie privée, en utilisant les lois de protection des consommateurs.

Les enjeux

Les sanctions américaines varient selon les États :

• ‍CCPA : Jusqu'à 7 500$ par violation intentionnelle (et 2 500$ par violation involontaire)‍
• Droit d'action privé : En vertu de la CCPA, les consommateurs peuvent intenter une action en justice pour violation de données (et pas seulement pour violation du consentement) pour un montant de 100 à 750 dollars par incident
• ‍Autres lois de l'État : Structures de sanctions similaires, généralement de 5 000 à 7 500 dollars par violation‍
• Actions de la FTC : Peut donner lieu à des règlements de plusieurs millions de dollars‍
• Poursuites intentées par le procureur général : La défense peut être coûteuse même en cas de victoire‍
• Poursuites intentées par des consommateurs : Les recours collectifs en matière de confidentialité se multiplient, ciblant les pratiques en matière de suivi et de gestion des données

Ce dont Google a besoin

C'est là que cela devient intéressant : Google n'exige PAS le mode consentement ni les signaux de consentement pour le trafic américain de la même manière que pour le trafic EEE/Royaume-Uni.

Toutefois :

• Vous devez toujours vous conformer aux lois nationales applicables en matière de confidentialité (qui peuvent nécessiter des mécanismes de désinscription)
• De nombreux CMP, dont Enzuzo, affichent de toute façon des bannières aux utilisateurs américains pour faire preuve de transparence et recueillir les préférences de consentement
• L'absence de mécanisme de consentement rend plus difficile le respect des demandes de désinscription en vertu de la CCPA et d'autres lois nationales
• Les plateformes publicitaires s'attendent de plus en plus à des signaux de consentement ou à la conformité aux lois régionales

Niveau de risque de non-conformité : FAIBLE À MOYEN

Il est peu probable que vous soyez confronté à une application immédiate pour des problèmes liés aux cookies, à moins que vous ne soyez une grande entreprise ou que vous ne fassiez quelque chose de particulièrement grave. Mais le paysage est en train de changer et de plus en plus d'États adoptent leurs propres lois en ligne. Les tendances indiquent une augmentation des exigences d'adhésion, même aux États-Unis.

Le résultat pratique : sauf si votre public entièrement Basé aux États-Unis et vous êtes prêt à parier sur le fait que personne ne vient d'Europe ou d'Afrique du Sud, vous ne pouvez pas ignorer les bannières de consentement de manière réaliste. Et si vous utilisez Google Analytics ou Ads, vous ne pouvez même pas tricher : les plateformes elles-mêmes exigent les signaux.

L'illusion des données : ce que cela signifie réellement pour l'analytique

Il est tentant de penser : « Très bien, oubliez la conformité, je vais suivre tout le monde ». Mais cela pose un problème différent : données sur les déchets.

Si vous suivez des utilisateurs qui n'ont pas donné leur consentement, vos statistiques sont techniquement illégales et discutables sur le plan éthique. Ils ne sont pas non plus fiables, car de nombreux utilisateurs soucieux de la confidentialité bloquent de toute façon les scripts. Vous obtiendrez peut-être plus de chiffres, mais ils ne seront pas plus précis.

C'est le paradoxe : la conformité tue les données, mais la non-conformité ne les sauvegarde pas non plus.

Les analyses étaient autrefois au cœur de la prise de décisions numériques. Maintenant, c'est un pouls faible et irrégulier qui nous indique à peine si le patient est vivant. Chaque tableau de bord analytique moderne est en fait un échantillon de 3 % prétendant représenter l'ensemble de la population. Le reste ? Modélisé, estimé ou simplement disparu.

Revenons à nos chiffres et analysons en détail ce qui se passe :

La panne

• ‍Consentement accepté à 2,75 % - Nous sommes légalement autorisés à suivre ces utilisateurs à l'aide de Google Analytics, à définir des cookies publicitaires, à faire du remarketing, etc. C'est la norme absolue.‍
• 0,63 % Consentement rejeté* - Ces utilisateurs ont explicitement répondu « non ». Nous ne pouvons pas les suivre à l'aide de cookies non essentiels. Nous respectons cela.‍
• Bannière ignorée à 51.33 % - Ces utilisateurs ont vu la bannière mais n'ont pas interagi avec elle. Légalement, dans les juridictions GDPR/POPIA, cela signifie aucun consentement n'a été donné. Nous ne devrions PAS les suivre à l'aide de cookies non essentiels. Mais le sommes-nous ? Cela dépend de la configuration de notre CMP.‍
• 45,29 % Bannière non affichée - Il s'agit probablement de visiteurs récurrents qui ont déjà fait un choix, d'utilisateurs utilisant certaines configurations de navigateur ou de robots. Leur choix antérieur (le cas échéant) doit être respecté.

Le cauchemar de l'analytique

Avec seulement 2,75 % de consentement, nos données analytiques sont les suivantes :

• ‍Massivement incomplet : Données manquantes sur plus de 97 % des visiteurs‍
• Extrêmement inexact : Taux de conversion, taux de rebond, temps passé sur le site, sources de trafic : tout est biaisé‍
• Biaisé sur le plan statistique :Les 2,75 % qui acceptent ne constituent pas un échantillon aléatoire : ils sont peut-être plus respectueux de la vie privée, plus engagés ou issus de certaines zones géographiques‍
• Inutile pour la prise de décisions : Vous ne pouvez pas prendre de décisions commerciales en toute confiance en vous basant sur les données de 3 % de votre public‍
• La modélisation n'aide pas assez : La modélisation comportementale du mode consentement v2 de Google tente de combler les lacunes, mais elle reste essentiellement une supposition

Comparaison avec les indices de référence mondiaux

Sur la base de ces recherches, voici comment se comparent nos chiffres :

Taux d'acceptation

• ‍Studio Milk Moon : 2,75 %
• Moyenne du secteur : 3 à 7 % (UE), 10 à 20 % (États-Unis), 5 à 10 % (mondial)
• Ce que cela signifie : Légèrement faible mais pas inhabituel pour un opt-in strict

Taux de rejet

• ‍Studio Milk Moon : 0,63 % ‍
• Moyenne du secteur : Moins de 1 % (de nombreux utilisateurs ne rejettent pas activement) ‍
• Ce que cela signifie : Normal : la plupart des utilisateurs ignorent au lieu de rejeter

Ignorer le taux

• ‍Studio Milk Moon : 51,33 % ‍
• Moyenne du secteur : 40 à 60 % dans l'ensemble du secteur ‍
• Ce que cela signifie : Juste au milieu : la fatigue des bannières est réelle

Bannière non affichée

• ‍Studio Milk Moon : 45,29 % ‍
• Moyenne du secteur : Varie selon la mise en œuvre ‍
• Ce que cela signifie : Élevé : nécessité de déterminer pourquoi

Aperçu clé : Notre taux d'acceptation de 2,75 % n'est pas un échec. C'est la nouvelle réalité de l'analyse Web axée sur la confidentialité. Les sites proposant des bannières vraiment bien conçues et fiables peuvent atteindre 10 à 15 % d'acceptation, mais c'est le plafond. Plus personne n'obtient un taux de consentement de 50 % ou 80 % (et si c'est le cas, sa bannière n'est probablement pas réellement conforme).

‍Ce que cela signifie pour différents scénarios

Si vous utilisez Google Ads :

• Les listes de remarketing sont réduites à environ 3 % des visiteurs
• Le suivi des conversions devient peu fiable
• L'optimisation des campagnes en souffre
• Baisse de l'efficacité des dépenses publicitaires

Si vous utilisez uniquement Google Analytics (comme nous) :

• Je n'arrive pas à comprendre quel contenu suscite des demandes
• Impossible de voir quelles sources de trafic sont converties
• Impossible d'optimiser la stratégie de contenu en fonction du comportement réel
• Taille de l'échantillon trop petite pour une signification statistique

Le problème du biais : Les utilisateurs qui acceptent les cookies peuvent être :

• Faites davantage confiance à votre marque
• Plus d'engagement avec votre contenu
• Provenant de groupes démographiques ou de régions spécifiques
• Moins soucieux de la confidentialité que la moyenne

Cela signifie que vos analyses ne sont pas simplement incomplètes, elles sont **systématiquement biaisé en faveur d'un sous-ensemble spécifique de votre public**.

Le calcul du risque : perdre vos données ou perdre votre dossier ?

Voici donc la question d'un million de dollars : Qu'est-ce qui est pire : perdre vos données ou perdre votre dossier ?

La perte de données est-elle pire que le risque légal ? Décomposons les scénarios :

Scénario A : Supprimer la bannière et suivre tout le monde

Avantages :

• Données complètes sur 100 % des visiteurs (sans les bloqueurs de publicités)
• Analyses précises
• Publicité et remarketing efficaces
• De meilleures décisions commerciales basées sur des données complètes
• Plus de fatigue pour les utilisateurs en matière de bannières
• Peut passer d'environ 3 % à environ 80 % de visibilité (en tenant compte des bloqueurs de publicités)

Inconvénients :

• ‍illégal en vertu du RGPD (pour les visiteurs de l'UE) - risque jusqu'à 20 millions d'euros ou 4 % de recettes‍
• Illégal en vertu de la POPIA (pour les visiteurs sud-africains) - risque 10 millions de ZAR + emprisonnement‍
• Peut-être illégal selon les lois des États américains (en fonction de la mise en œuvre)‍
• Google ne coopérera pas (ils nécessitent le mode consentement pour l'EEE/le Royaume-Uni)‍
• Risque d'amendes allant de milliers à des millions‍
• Risque de recevoir l'ordre d'arrêter complètement le suivi**
• Atteinte à la réputation en cas de capture‍
• Perte de confiance des clients (en particulier pour les agences)‍
• Les données deviennent juridiquement toxiques - je ne peux pas l'utiliser, je dois le supprimer s'il est commandé‍
• Tout visiteur de l'UE ou de l'Afrique du Sud peut déposer une plainte et déclencher une enquête

Scénario B : conserver la bannière et accepter la perte de données

Avantages :

• ‍Conformité légale avec le RGPD, la POPIA et les lois des États américains‍
• Aucun risque d'amende pour les violations du consentement‍
• Un haut niveau d'éthique(nous respectons la vie privée des utilisateurs)‍
• Confiance des clients (nous mettons en pratique ce que nous prêchons)‍
• Coopération avec Google (Le mode consentement fonctionne correctement)‍
• Les données que nous collectons sont juridiquement valables
• À l'épreuve du temps (réglementations de plus en plus strictes, au lieu de les assouplir)

Inconvénients :

• ‍Plus de 97 % de perte de données** sur les utilisateurs non consentants‍
• Analyses inexactes** qui peuvent induire en erreur les décisions commerciales‍
• Publicité faible** performance en raison d'un public limité‍
• Désavantage compétitif** si des concurrents suivent sans consentement (alors qu'ils prennent des risques juridiques)‍
• Impossible de prendre des décisions fiables fondées sur les données**
• Le retour sur investissement du marketing n'est plus clair**

Scénario C : Approche géo-ciblée

Avantages :

• ‍Conformité légale dans les juridictions qui l'exigent‍
• Des données de meilleure qualité provenant de juridictions qui n'exigent pas de consentement préalable‍
• Équilibre le risque et la récompense‍
• Pourrait suivre 100 % des visiteurs américains, ~ 3 % des visiteurs de l'UE et de l'Afrique du Sud

Inconvénients :

• ‍Configuration plus complexe (nécessite une géolocalisation précise)‍
• Expérience utilisateur incohérente dans toutes les régions‍
• Vous perdez toujours des données de visiteurs de l'UE et de l'Afrique du Sud‍
• Il faut vraiment comprendre d'où viennent vos visiteurs‍
• Un visiteur de l'UE mal classé pourrait toujours déclencher une enquête sur le RGPD

Scénario D : Optimisation de la bannière pour augmenter les taux de consentement

Avantages :

• ‍Restez en conformité tout en obtenant plus de consentements‍
• Améliorez la qualité des données sans risque juridique‍
• Meilleure expérience utilisateur (les bannières plus claires et moins gênantes sont mieux acceptées)
• Pourrait passer de 3 % à 10 à 15 % d'acceptation

Inconvénients :

• ‍Je n'atteindrai jamais 100 % consentement (ou même clôture)‍
• Cela demande du temps et des tests pour optimiser‍
• Des rendements décroissants (même les meilleures bannières n'obtiennent que 15 à 20 % d'acceptation en mode opt-in strict)‍
• Risque de motifs sombres si vous insistez trop pour obtenir le consentement

Le verdict

Dans un monde parfait, nous aurions des données complètes. Mais nous ne vivons plus dans ce monde.

Ignorez la bannière et suivez tout le monde : 

Vous obtenez des données fiables, mais vous enfreignez le RGPD et la POPIA, vous risquez des amendes de plusieurs millions de rands ou d'euros, et vous vous apercevrez que l'écosystème de Google vous coupe discrètement la parole.

Conservez la bannière et respectez la loi :

Vous perdez plus de 90 % de votre comportement mesurable, mais vous dormez mieux la nuit en sachant que vous n'êtes pas sur le point de figurer dans un communiqué de presse d'un régulateur.

C'est un scénario perdant-perdant, avec différentes saveurs de douleur.

Mais voici le truc : **le coût de la non-conformité (poursuites, amendes, restrictions de plateforme, atteinte à la réputation) l'emporte sur les « avantages » de données complètes juridiquement toxiques. **

Les données que vous collectez par consentement sont juridiquement solides et défendables. Les données illégales sont des données sans valeur. Vous ne pouvez pas les utiliser et vous pourriez être obligé de les supprimer de toute façon.

Mais il y a un juste milieu.

Le milieu pragmatique : géo-ciblé et optimisé

La seule stratégie rationnelle à l'heure actuelle est l'équilibre.

Affichez des bannières d'adhésion strictes dans les régions qui le demandent (l'UE, le Royaume-Uni et l'Afrique du Sud) et optez pour un modèle de désinscription ailleurs. Cela permet de récupérer certaines données sans provoquer de catastrophe.

Optimisez ensuite la bannière elle-même :

• Un langage clair, pas un jargon juridique
• Boutons symétriques (les boutons d'acceptation et de rejet sont également visibles)
• Une brève explication des raisons pour lesquelles le consentement est utile (la confiance stimule toujours l'acceptation)
• Délai minimal avant l'affichage, mais pas instantanément lors du chargement de la page
• Ne harcelez pas les utilisateurs qui ont déjà fait leur choix

De petites modifications peuvent augmenter les taux de consentement de 3 % à 10 %. C'est toujours terrible, mais trois fois moins terrible.

Et si vous le pouvez, investissez dans analyses côté serveur ou outils respectueux de la vie privée comme Plausible ou Fathom pour des tendances générales et anonymes. Ils ne remplaceront pas complètement le GA4, mais ils combleront certaines des lacunes sans déclencher de lois sur le consentement.

Ce que cela signifie pour nous (et pour tous ceux comme nous)

Soyons précis sur notre situation. Nous sommes un petit studio de conception et de développement Web basé en Afrique du Sud. Nous ne diffusons pas de publicités. Nous n'avons pas besoin de listes de remarketing. Nous voulons simplement savoir si quelqu'un lit réellement nos articles et peut-être comprendre quels articles de blog suscitent réellement des demandes de renseignements.

Est-ce que la suppression de la bannière résoudrait ce problème ? Techniquement oui, nous passerions de 3 % de visibilité à peut-être 80 % (en tenant compte des bloqueurs).

Mais légalement? C'est une toute autre histoire.

Notre situation spécifique

Lieu : Afrique du Sud (la POPIA s'adresse directement à nous en tant que responsable du traitement des données)

Public : Mélange de visiteurs des États-Unis (majorité), d'Afrique du Sud et de l'UE

Outils : Google Analytics 4 (GA4) pour l'analyse des sites Web

Publicité : Aucune, pour le moment. Nous ne diffusons pas de publicités Google Ads, Facebook Ads ou aucune publicité payante avec suivi des pixels, mais nous l'activons et le désactivons et faisons des essais.

Modèle commercial : Basé sur les services (agence de conception/développement de sites Web)

Implications juridiques de la suppression de la bannière

Risque POPIA (élevé, nous sommes en Afrique du Sud)

C'est le plus gros. Nous sommes une entreprise sud-africaine, enregistrée en Afrique du Sud, qui traite les informations personnelles des personnes concernées. La POPIA s'applique à nous directement et sans ambiguïté.

Si nous supprimons la bannière de consentement et suivons les visiteurs de l'Afrique du Sud sans leur consentement :

- Nous violons directement les exigences de consentement de la POPIA

- Nous traitons des informations personnelles (adresses IP, identifiants d'appareils, comportement de navigation) sans justification légale

- Nous sommes passibles d'amendes pouvant aller jusqu'à 10 millions de ZAR

- Nous sommes exposés à une responsabilité pénale potentielle (oui, une peine de prison pour des violations intentionnelles)

Probabilité d'exécution réaliste :

Le régulateur de l'information continue de renforcer l'application de la loi et donne la priorité aux cas les plus graves (violations de mégadonnées, acteurs malveillants, plaintes concernant du spam marketing). S'en prendraient-ils à une petite agence web pour avoir géré Analytics sans consentement ?

Probablement pas dans l'immédiat. Mais :

1. ‍Tout visiteur de la SA peut déposer une plainte contre nous‍
2. Nous ne pouvons pas nous cacher—nous sommes une entreprise enregistrée avec un site Web public‍
3. Le risque s'aggrave au fil du temps—plus nous exerçons nos activités de manière non conforme, plus nous sommes exposés‍
4. Les sanctions sont sévères—même 1 million de ZAR serait dévastateur ; 10 millions de ZAR seraient une fin d'activité‍
5. Poursuites pénales signifie la responsabilité personnelle des administrateurs

Nous pourrions dire que l'application est lente, que les régulateurs recherchent les gros poissons, que personne ne se soucie d'une petite agence Webflow dans l'Overberg, mais ce n'est pas le but. Le point est le suivant : **la loi existe, et l'ignorer tout en conseillant les clients en matière de conformité serait un objectif spectaculaire contre son camp. **

Notre évaluation :Il ne s'agit pas d'un risque que nous pouvons justifier. Même si la probabilité est faible, la gravité est catastrophique. En termes de gestion des risques : faible probabilité × Impact catastrophique = Ne le faites pas.

Risque lié au RGPD (moyen : nous avons des visiteurs de l'UE)

Nous ne sommes pas basés dans l'UE, mais nous avons des visiteurs européens. Si nous proposons des services à des personnes concernées de l'UE (ce que nous sommes : notre site Web est accessible au public et nous acceptons les clients de l'UE), le RGPD s'applique à nous conformément à ses dispositions relatives à la portée territoriale.

Si nous supprimons la bannière de consentement et suivons les visiteurs de l'UE sans leur consentement :

• Nous violons le RGPD pour tous les visiteurs de l'UE qui consultent notre site
• Nous sommes exposés à des amendes pouvant aller jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires mondial
• Tout visiteur de l'UE peut déposer une plainte auprès de son DPA national
• Les autorités de protection des données de l'UE peuvent (et le font) poursuivre des activités non européennes dans le cadre du champ d'application territorial du RGPD

Notre évaluation :** un risque significatif, en particulier si nous nous développons ou si un seul visiteur de l'UE décide de déposer une plainte.

Risque pour les États-Unis (faible, mais pas nul)

Pour nos visiteurs américains, le risque est bien moindre. Aucune loi fédérale sur le consentement aux cookies, et les lois des États utilisent des modèles de désinscription, et non d'opt-in. Nous pourrions potentiellement suivre les visiteurs américains sans bannière et simplement fournir un mécanisme de désinscription.

Notre évaluation : La partie américaine de notre trafic pourrait être légalement suivie sans consentement préalable, à condition que nous fournissions des mécanismes de désinscription.

Conséquences sur la qualité des données

État actuel (avec bannière de consentement) :

• Taux d'acceptation du consentement de 2,75 %
• Suivi de 2,75 % des visiteurs avec toutes les fonctionnalités
• Plus de 97 % de perte de données
• Données Analytics très incomplètes
• Impossible de prendre des décisions fiables sur la base de données

Si nous supprimions la bannière :

• Suivi à 100 % (pour les visiteurs sans bloqueur de publicités, ~ 75 à 85 % des utilisateurs)
• Vue complète du comportement des utilisateurs
• Des statistiques précises sur les sources de trafic, les parcours des utilisateurs, les parcours de conversion et les performances du contenu‍
• L'amélioration des données serait considérable—de ~ 3 % de visibilité à ~ 80 % de visibilité

Avec des données complètes, nous pourrions :

1. Comprendre quels articles de blog suscitent réellement des demandes de renseignements (je suppose actuellement)
2. Identifiez les sources de trafic qui se convertissent le mieux (taille de l'échantillon trop petite pour le moment)
3. Optimisez notre stratégie de contenu en fonction du comportement réel
4. Prenez de meilleures décisions quant aux domaines dans lesquels investir du temps
5. Suivez le retour sur investissement réel des efforts de marketing de contenu

Ce n'est pas anodin. Pour une petite entreprise, disposer de données précises contre 97 % de perte de données est ce qui fait la différence entre voler à l'aveugle et prendre des décisions éclairées.

Le facteur Google Analytics (sans publicité)

Voici en quoi notre situation diffère : Nous ne diffusons pas Google Ads. (Parfois, nous le sommes)

Cela change l'équation pour les raisons suivantes :

1. ‍L'exigence du mode de consentement de Google est moins importante pour nous. La principale pression exercée par Google concerne les produits publicitaires. GA4 continuera à collecter des données sans mode consentement. Nous le ferons simplement de manière non conforme dans les juridictions GDPR/POPIA.‍
2. Nous ne perdons pas les fonctionnalités publicitaires. De nombreuses entreprises ne peuvent pas supprimer la bannière car Google Ads ne fonctionne pas correctement. Nous n'avons pas cette contrainte.‍
3. GA4 fonctionnera. Google Analytics 4 n'arrête pas de fonctionner si vous n'avez pas de bannière de consentement. Il collecte simplement des données qui peuvent poser problème sur le plan juridique.

Donc, à partir d'une simple question : « Les outils fonctionneront-ils ? » perspective, oui, GA4 fonctionnerait bien sans la bannière.

Mais cela ne le rend pas légal.

La dimension éthique et de réputation

Il y a un autre facteur : Nous sommes une agence web.

Si nous supprimons notre bannière de consentement :

1. ‍Que disons-nous à nos clients ? Leur conseiller d'utiliser des bannières alors que nous ne le faisons pas ? C'est hypocrite.‍
2. Et si les clients découvrent que nous ne sommes pas conformes ? Pourquoi nous feraient-ils confiance pour créer des sites conformes ?‍
3. Quel message envoie-t-il ? « Nous connaissons la loi, mais nous choisissons de l'ignorer » n'est pas une bonne idée pour une entreprise de services professionnels.‍
4. Risque d'atteinte à la réputation : Si nous sommes arrêtés ou condamnés à une amende, c'est public. Dans la petite communauté de développeurs Web d'Afrique du Sud, cette nouvelle se répand.

Il ne s'agit pas simplement d'une question juridique ou de données, c'est aussi une question de crédibilité commerciale.

Le verdict final : que doit faire Milk Moon Studio ?

Après avoir tout analysé, voici notre conclusion :

Nous ne pouvons pas justifier la suppression de la bannière de consentement, malgré la perte massive de données.

Voici pourquoi :

1. Le risque POPIA est trop élevé

Nous sommes une entreprise sud-africaine. La POPIA s'applique directement. Les sanctions (amende de 10 millions de ZAR, emprisonnement potentiel) sont sévères. L'application de la loi s'intensifie. Cela seul rend le retrait de la bannière injustifiable.

Même si la probabilité d'une exécution est relativement faible à l'heure actuelle, la gravité du résultat est la fin de l'activité. Faible probabilité × Impact catastrophique = Ne le faites pas.

2. Le risque lié au RGPD aggrave le problème

L'ajout de visiteurs de l'UE ne fait qu'aggraver le risque juridique. Nous ne serions pas en conformité dans deux juridictions majeures, toutes deux passibles de sanctions sévères.

3. Le gain de données ne l'emporte pas sur le risque juridique

Oui, nous obtiendrions de bien meilleures données. Mais :

• Nous ne pouvons pas prendre de décisions commerciales si nous risquons une amende de 10 millions de ZAR
• Nous ne pouvons pas optimiser le contenu tout en nous défendant contre une enquête du régulateur de l'information
• Les données Better Analytics ne valent rien si elles nous coûtent cher

4. Nous sommes une entreprise de services professionnels

Nous conseillons nos clients sur les meilleures pratiques du Web. Nous ne pouvons pas être non conformes nous-mêmes. Le risque d'atteinte à la réputation est trop élevé.

5. L'industrie s'oriente vers la protection de la vie privée au lieu de s'en éloigner

L'application de la POPIA sera plus stricte, et non plus souple. De plus en plus de pays mettent en œuvre des lois sur la confidentialité. La tendance est à l'augmentation de la réglementation, et non à sa diminution. Le fait de ne pas être conforme aujourd'hui signifie que nous sommes du mauvais côté de la direction que prennent les choses.

Ce que nous allons réellement faire

Compte tenu de tout cela, voici notre plan :

1. Conservez la bannière de consentement (non négociable pour la conformité à la POPIA et au RGPD)

2. Mettez en œuvre le ciblage géographique :

• Inscription stricte pour les visiteurs de l'Afrique du Sud et de l'UE (obligatoire par la loi)
• Modèle de désinscription pour les visiteurs américains (autorisé par la législation américaine, améliore la collecte de données)

3. Optimisez la bannière pour améliorer les taux d'acceptation :

• Testez différentes messageries
• Rendre la proposition de valeur plus claire
• Simplifier l'interface utilisateur
• Faites en sorte que le rejet soit aussi facile que l'acceptation (contrairement à l'intuition, cela peut augmenter l'acceptation en renforçant la confiance)
• Essayez différents modèles et emplacements de bannières

4. Acceptez la perte de données d'utilisateurs non consentants en tant que coût de fonctionnement légal

5. Utilisez les données dont nous disposons plus intelligemment :

• Concentrez-vous sur les tendances plutôt que sur les chiffres absolus
• Utilisez le feedback qualitatif pour compléter les données quantitatives
• Acceptez que 3 % de données précises soient meilleures que 100 % de données illégales
• Segmentez « consenti » par rapport à « non consenti (modélisé) » dans les rapports

6. Découvrez des alternatives respectueuses de la vie privée :

• Envisagez des analyses côté serveur qui ne nécessitent pas le consentement des cookies
• Examinez les méthodes de collecte de données de première partie
• Étudiez les outils d'analyse qui ne traitent pas les données personnelles (comme Plausible, Fathom)

L'essentiel pour Milk Moon Studio

La perte de données de 97 % fait mal. Cela rend nos analyses presque inutiles. C'est frustrant.

Mais le risque juridique d'opérer sans consentement en Afrique du Sud n'est pas acceptable. Nous traiterions des données personnelles sans consentement dans le cadre de la POPIA, qui prévoit des amendes pouvant aller jusqu'à 10 millions de ZAR et des peines de prison en cas de violation intentionnelle. Ce n'est pas un risque que nous pouvons justifier pour nous-mêmes, nos clients ou nos comptables.

Ajoutez le risque lié au RGPD pour les visiteurs de l'UE, le risque de réputation en tant qu'agence web et la dimension éthique liée à la pratique de ce que nous prêchons, et la réponse est claire.

Nous conservons la bannière de consentement, l'optimisons dans la mesure du possible et acceptons la perte de données comme un coût pour nos activités commerciales légales et éthiques.

Nous conservons donc la bannière. Nous allons le géolocaliser, l'affiner et accepter que nos analyses ne soient qu'une fiction polie.

Ce n'est pas la réponse que nous voulions. Mais c'est la bonne réponse.

La nouvelle normalité : ce que cela signifie pour le Web

Faisons un zoom arrière pendant un moment. Ce que nous vivons n'est pas propre à Milk Moon Studio. Cela se passe sur l'ensemble du Web.

La triste vérité est que l'ère de l'analytique parfaite est révolue.

Les bannières de consentement n'ont pas seulement limité le suivi ; elles ont changé ce que signifie « piloté par les données ». Pendant des années, nous avons supposé que vous pouviez suivre toutes les personnes qui visitaient votre site Web. Cette époque est révolue. La nouvelle réalité est la suivante :

• ‍La plupart des utilisateurs ne consentent pas au suivi (taux d'acceptation de 3 à 10 % dans le monde)‍
• La plupart des utilisateurs ignorent les bannières de cookies (40 à 60 % n'interagissent jamais)‍
• Les données que nous collectons sont systématiquement biaisées (les utilisateurs consentants ne constituent pas un échantillon aléatoire)‍
• La modélisation de Google tente de compenser (mais c'est une supposition, pas une mesure)‍
• L'application de la loi augmente (milliards d'amendes, enquêtes en cours)‍
• Les exigences en matière de plateforme se resserrent (Google exige le mode de consentement v2)

C'est la nouvelle norme.

Les professionnels du Web doivent adapter leurs attentes :

• Les analyses seront toujours incomplètes
• Le suivi des conversions sera toujours flou
• Le remarketing publicitaire sera toujours limité
• Les décisions commerciales nécessiteront des informations plus qualitatives
• La taille des échantillons sera toujours inférieure à ce que nous souhaiterions

La question n'est pas « Comment revenir à un suivi à 100 % ? » (Réponse : Vous ne le savez pas, légalement.)

La question est la suivante : « Comment prendre de bonnes décisions commerciales avec 3 à 10 % de données de suivi complétées par des modélisations et des informations qualitatives ? »

Les décisions doivent désormais s'appuyer sur des ensembles de données plus petits et plus propres, sur des recherches qualitatives et, étonnamment, jugement humain réel.

Ce n'est pas une mauvaise chose. C'est juste différent.

Pour les agences et les spécialistes du marketing, cette évolution impose un retour aux fondamentaux : un contenu convaincant, un engagement réel et la confiance. Parce que dans un monde où seulement 3 % des utilisateurs disent « oui », ceux qui le font sont ceux qui s'en soucient réellement.

Recommandations pour différents scénarios

Si vous avez des visiteurs de l'UE ou de l'Afrique du Sud :

Vous avez besoin d'une bannière de consentement. Arrêt complet. Le risque juridique est trop élevé et Google ne fonctionnera pas correctement sans lui.

Outils recommandés pour Webflow :

• Enzuzo (ce que nous utilisons, s'intègre bien à Webflow)
• Cookie Oui
• Cookiebot
• Osano
• Trimestriel

Tous ces éléments s'intègrent à Webflow et prennent en charge Google Consent Mode v2.

Si vous êtes aux États-Unis uniquement :

Vous bénéficiez d'une plus grande flexibilité :

1. ‍Option A : Implémentez quand même une bannière de consentement (meilleures pratiques, renforcement de la confiance, protection contre les nouvelles lois de l'État)‍
2. Option B : Utilisez un préavis minimal avec un lien de désinscription (conformité au CCPA)‍
3. Option C : Pas de bannière, mais ayez une politique de confidentialité claire et un mécanisme de désinscription quelque part sur votre site

Sois honnête avec toi-même pour savoir si vous êtes vraiment réservé aux États-Unis. Vérifiez vos analyses. Si vous voyez du trafic en Europe ou en Afrique du Sud, vous avez besoin de la bannière.

Pour les concepteurs/agences de flux Web :

Il s'agit d'une opportunité d'éducation pour les clients. Maucun client ne comprend :

• Qu'est-ce que le consentement aux cookies ou pourquoi c'est important
• Que la loi s'applique à eux
• Que Google en a besoin pour fonctionner correctement
• Que tout le monde est confronté à une perte de données, pas seulement eux

Définissez des attentes appropriées :

• « Vos données Analytics seront incomplètes, c'est normal et légal. »
• « Nous suivons les utilisateurs qui comptent le plus : ceux qui vous font suffisamment confiance pour donner leur consentement. »
• « L'absence de bannière de consentement vous expose à des amendes qui pourraient mettre fin à votre activité. »

Meilleures pratiques pour optimiser votre bannière

Puisque vous êtes bloqué avec la bannière, faites en sorte qu'elle fonctionne mieux :

1. Simplifiez-vous les choses : Ne surchargez pas les utilisateurs d'options‍
2. Soyez transparent :Expliquez ce que vous collectez et pourquoi‍
3. Facilitez le rejet : Renforce la confiance, peut paradoxalement augmenter l'acceptation‍
4. Testez différents modèles : Styles, texte, placement et calendrier des bannières de test A/B‍
5. Utilisez le ciblage géographique : Afficher différentes bannières selon les régions en fonction des exigences légales‍
6. Mode de consentement du support v2 : Laissez Google modéliser les données pour les personnes qui n'ont pas donné leur consentement‍
7. Documentez tout : Conservez des dossiers de consentement pour les audits de conformité‍
8. Évitez les motifs sombres : Ne laissez pas « Accepter » facilement et enterrez le « Rejet » (les régulateurs surveillent)‍
9. Surveillez et itérez : Suivez vos taux de consentement et améliorez-vous en permanence

Réduire la mention « Bannière non affichée »

Si 45 % de vos utilisateurs ne voient jamais la bannière (comme la nôtre), examinez :

• Logique de géolocalisation (excluez-vous trop de régions ?)
• Renvoyer la logique du visiteur (les cookies persistent-ils correctement ?)
• Erreurs de script (la bannière ne parvient-elle pas à se charger ?)
• Trafic de bots (les bots sont-ils comptabilisés ?)
• Compatibilité des navigateurs (fonctionne-t-il sur tous les navigateurs ?)

Dernière réflexion : le bip de la ceinture de sécurité que vous ne pouvez ignorer

Les bannières de consentement aux cookies sont l'équivalent numérique du bip émis par la ceinture de sécurité de votre voiture: ennuyeux, implacable et impossible à ignorer, mais vous portez quand même la ceinture car l'alternative est pire.

Notre taux de consentement de 2,75 % est douloureux et correspond aux tendances mondiales. Les bannières de consentement aux cookies sont agaçantes. Ils détruisent la collecte de données. Ils rendent la publicité plus difficile.

Mais voici la réalité :

Le risque juridique lié à l'exploitation sans consentement approprié dans les juridictions du RGPD et de la POPIA est une fin commerciale. Une seule amende prévue par le RGPD pourrait entraîner la fermeture d'une petite agence ou d'une petite entreprise. Le régulateur de l'information en Afrique du Sud peut mettre des personnes en prison pour des violations graves.

Google ne coopérera pas sans signaux de consentement. Même si vous êtes prêt à parier sur l'application de la loi, vos outils ne fonctionneront pas correctement. Google est essentiellement devenu l'organe chargé de faire appliquer le RGPD.

Tous les autres sont confrontés à la même perte de données. Vos concurrents qui ont des bannières de consentement enregistrent également des taux d'acceptation de 3 à 10 %. Ceux qui n'ont pas de bannières sont soit réservés aux États-Unis, soit ne sont pas informés, soit prennent des risques juridiques considérables.

Les utilisateurs apprécient réellement la transparence. Oui, les taux de consentement sont faibles. Mais les utilisateurs qui y consentent choisissent de vous faire confiance. Ça vaut quelque chose.

Le paysage de l'analyse Web a changé de façon permanente. Le suivi à 100 % n'est plus possible (légalement). Nous apprenons tous à prendre des décisions commerciales à partir de données incomplètes complétées par des modélisations et des informations qualitatives.

Pour Milk Moon Studio, nous conservons notre bannière de consentement. Nous allons l'optimiser pour améliorer notre taux d'acceptation. Nous allons le géolocaliser afin que les visiteurs américains bénéficient d'une expérience moins restrictive. Et nous allons accepter la perte de données comme le coût d'une activité légale et éthique en 2025.

Pour tous ceux qui créeront des sites Web en 2025 : Si vous servez des visiteurs de l'UE ou de l'Afrique du Sud, vous avez besoin d'une solution de consentement aux cookies. Le risque juridique ne vaut pas le gain de données. Et même si c'était le cas, Google ne vous laisserait de toute façon pas collecter ces données efficacement sans signaux de consentement.

Nos données sont peut-être plus petites, nos tableaux de bord plus vides et nos rapports remplis de mises en garde, mais au moins nous sommes conformes, cohérents et crédibles.

Alors oui, nous garderons notre bannière. Nous l'optimiserons, le modifierons, peut-être même testerons le libellé en A/B, mais nous ne le tirerons pas vers le bas.

Car si 97 % de perte de données font mal, perdre le droit d'exploitation en est bien plus grave.

---

Avertissement : Cet article n'est pas un avis juridique. Nous sommes un studio de conception et de développement Web, pas des avocats. Pour obtenir des conseils juridiques spécifiques sur votre situation, consultez un avocat qualifié spécialisé en droit de la protection des données et de la confidentialité. Les lois changent, leur application évolue et votre situation particulière est importante. Ce billet reflète notre compréhension en octobre 2025 et notre processus de prise de décision pour notre propre entreprise.