Vous êtes ici : Meta for Web Ressources > Légal > YouTube nocookie n'est pas conforme au RGPD

YouTube nocookie n'est pas conforme au RGPD

Vous avez intégré une vidéo YouTube sur votre site web via le domaine youtube-nocookie.com et pensez être en conformité avec le RGPD ?

Eh bien, vous vous trompez !

Le terme nocookie inclus dans l'URL est illusoire. YouTube nocookie place quand même des cookies et autres traceurs sans consentement de l'utilisateur.

Pire encore, YouTube nocookie collecte des données personnelles avant même que le visiteur ne clique sur la vidéo.

Rassurez-vous, vous n'êtes pas la première et la dernière personne à vous être fait berner. En effet, de nombreux articles sur le web préconisent à tort l'utilisation de www.youtube-nocookie.com pour la conformité au RGPD.

Dans cet article, vous allez donc découvrir :

  • Ce qu'est YouTube nocookie et le mode de confidentialité avancé
  • Quelles sont les données que collecte le domaine youtube-nocookie.com sans consentement
  • La seule solution viable pour intégrer une vidéo YouTube en conformité avec le RGPD

Qu'est-ce que YouTube nocookie et le mode de confidentialité avancé ?

YouTube nocookie est le nom communément donné au domaine alternatif de YouTube : youtube-nocookie.com.

Il s'agit du domaine utilisé à la place du domaine youtube.com lorsque vous intégrez une vidéo de YouTube avec le mode de confidentialité avancé activé.

YouTube (et donc Google) présente le mode de confidentialité avancé ainsi :

"Les contenus regardés dans le lecteur intégré lorsque le mode de confidentialité avancé est activé ne sont pas utilisés pour personnaliser l'expérience de navigation sur YouTube, que ce soit dans le lecteur intégré ou lors de toute utilisation ultérieure de YouTube."

YouTube

Par ailleurs, l'information relative à l'activation de ce mode indique aussi : "Lorsque le mode de confidentialité avancé est activé, YouTube n'enregistre aucune information sur les internautes qui consultent votre site Web sans regarder la vidéo."

Information concernant l'activation du mode de confidentialité avancé de YouTube

💡 En lisant entre les lignes, voici ce qu'il faut comprendre : YouTube nocookie empêche le transfert de données personnelles à des tiers (services publicitaires). De ce fait, en diffusant une vidéo YouTube avec le mode de confidentialité avancé activé, il n'y a pas d'affichage d'annonces et de suggestions comportementales. Mais, contrairement au terme nocookie utilisé, YouTube place des cookies sur les appareils des utilisateurs dès la lecture de la vidéo.

Pourquoi YouTube nocookie rend votre site non conforme au RGPD et à la directive ePrivacy ?

Rappel sur le RGPD et la directive ePrivacy

Un site Web doit se conformer au RGPD, qui encadre la gestion des données personnelles, ainsi qu'à la directive ePrivacy, qui impose l'accord de l'utilisateur avant d'enregistrer certains cookies et traceurs sur son appareil.

Le RGPD ne se limite donc pas aux cookies au sens strict du terme, mais également à tous les traceurs déposés dans le navigateur d'un utilisateur.

Cela inclut notamment :

  • les cookies (HTTP, "flash")
  • les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires)
  • les pixels invisibles
  • tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal

Ainsi, pour respecter la loi, vous devez informer les utilisateurs de leur présence, respecter leur choix et faire en sorte qu'aucun cookie et traceur (sauf ceux exemptés) ne soient installés avant leur consentement.

En quoi www.youtube-nocookie.com/embed/ viole-t-il les règles du RGPD et de l'ePrivacy ?

YouTube nocookie viole les règles du RGPD et de l'ePrivacy en ce qu'il dépose des traceurs et des cookies avant le recueil du consentement de l'utilisateur.

Ces traceurs permettent à YouTube d'enregistrer notamment un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues ainsi que ses préférences de lecture.

Il est à noter aussi que Google et YouTube collectent plus ou moins de données selon les conditions de visite de l'utilisateur :

"Si vous consultez une page contenant une vidéo YouTube et que vous êtes connecté à un compte YouTube ou Google, Google peut utiliser des cookies à des fins de sécurité, mémoriser vos préférences et recueillir des informations sur les vidéos que vous regardez à des fins d'analyse et de publicité. Ces cookies peuvent également collecter des données liées à votre compte Google."

Google

YouTube nocookie ne respecte pas le RGPD au chargement de la page : LocalStorage et IndexedDB

💡 Pour tester, visitez une page d'un site comportant une vidéo YouTube intégrée avec le domaine nocookie. Ensuite, analysez les données collectées avec les Chrome DevTools (clic droit de la souris / Inspecter ou F12, puis Appli).

Sous cookies, pour le domaine https://www.youtube-nocookie.com, vous ne verrez aucun cookie d'installé. Là, vous vous dites : "chouette, le domaine nocookie fonctionne et je suis en conformité avec le RGPD ! "

Minute papillon !

YouTube nocookie agit sournoisement. Au chargement de la page et sans consentement de l'utilisateur, il collecte des données personnelles via le stockage local (LocalStorage) :

  • yt-icons-last-purged
  • yt.innertube::nextId
  • yt.innertube::requests
  • ytidb::LAST_RESULT_ENTRY_KEY

💡 Le problème est que les données stockées dans le LocalStorage n'ont pas de date d’expiration. Ces données sont donc persistantes sauf si le visiteur les supprime lui-même.

Après, regardez sous IndexedDB, et vous constaterez que YouTube nocookie initialise aussi une base de données : YtIdbMeta.

YouTube nocookie crée une base de données indexée et stocke des données personnelles dans le LocalStorage

YouTube nocookie ne respecte pas le RGPD à la lecture de la vidéo : LocalStorage, sessionStorage et cookies

Maintenant, cliquez sur la vidéo pour la regarder.

Après le début de la lecture, toujours sans aucun consentement de la part de l'utilisateur, de nouvelles données persistantes s'ajoutent dans le LocalStorage :

  • yt-player-bandwidth
  • yt-player-user-settings
  • yt-remote-connected-devices
  • yt-remote-device-id

Et ce n'est pas tout ! YouTube nocookie utilise en plus des traceurs de session (sessionStorage). Bon, contrairement à ceux dans le LocalStorage, ceux-ci sont supprimés automatiquement lorsque l'utilisateur quitte le navigateur. C'est déjà un moindre mal !

  • yt-remote-cast-available
  • yt-remote-cast-installed
  • yt-remote-fast-check-period
  • yt-remote-session-app
  • yt-remote-session-name
Traceurs de session déposés par YouTube nocookie (sessionStorage)

Et comme si ce n'était pas assez, YouTube nocookie place aussi des cookies ! 😤

Dans la copie d'écran ci-dessous, les cookies placés sont ceux sans être connecté à un compte Google ou YouTube et avec les cookies tiers bloqués. Si le visiteur est connecté à son compte Google ou YouTube, il y en a beaucoup plus.

cookies déposés par Google en utilisant YouTube nocookie

Comment promouvoir une vidéo YouTube via votre site web en conformité avec le RGPD ?

Au risque de vous décevoir, il n'existe aucun moyen d'intégrer une vidéo YouTube nocookie sans charger de cookies et autres traceurs.

Alors, voyons quelles sont les solutions pour promouvoir vos vidéos YouTube sur votre site tout en respectant le RGPD.

Ne pas intégrer la vidéo et mettre un lien vers la vidéo YouTube

La solution radicale consiste à renoncer à intégrer la vidéo et à insérer un lien vers la vidéo YouTube.

Cela peut être un simple lien texte. En ce cas, le visuel est absent et cela risque de réduire le nombre de personnes qui regardent la vidéo.

Vous pouvez aussi télécharger et afficher la miniature de la vidéo en la liant à l'URL de la vidéo YouTube. Là, le visuel reste présent et incite donc plus au clic.

Le gros avantage de cette solution est qu'il n'y a plus aucun contenu YouTube sur votre site, donc plus de collecte de données personnelles !

Mais, l'inconvénient est que les visiteurs quittent votre site pour regarder la vidéo et risquent de ne pas y revenir.

Stocker la vidéo YouTube sur votre hébergement et l'afficher sur votre site

Une autre solution consiste à héberger la vidéo YouTube vous appartenant sur votre serveur. Vous la téléchargez, puis vous l'affichez grâce à un bloc vidéo Gutenberg, un widget Elementor ou un module Divi.

Ici, le problème est que la vidéo influe sur votre espace de stockage, votre trafic mensuel et votre bande passante. Alors, pensez à vérifier les limitations de votre offre d'hébergement.

Mais l'avantage est que, sans connexion aux serveurs YouTube/Google, vous gardez le contrôle total sur le traitement des données.

💡 Pour limiter les dégâts, optimisez votre vidéo ! Compressez-la avant téléchargement et convertissez-la au format WebM ! Et pour atténuer les problèmes de performances, chargez l'iframe en différé s'il se trouve en dessous de la fenêtre d'affichage.

Intégrer la vidéo YouTube nocookie et bloquer son script jusqu'à l'acceptation du consentement

La dernière solution permet de conserver l'intégration d'une vidéo YouTube nocookie et d'être en conformité avec le RGPD.

Ici, il s'agit d'instaurer le blocage du script de l'iframe de YouTube jusqu'au consentement du visiteur.

Désormais, lorsque l'utilisateur chargera la page sans donner son consentement, il verra une image d'aperçu de la vidéo (ou un espace réservé), avec un message cliquable.

Le message l'informera du blocage de l'accès à la vidéo tant qu'il n'a pas consenti aux cookies utilisés par YouTube.

Voilà comment cela doit fonctionner :

  1. Masquage du message et lancement de la vidéo si le visiteur accepte le dépot des cookies de YouTube
  2. Affichage du message et blocage de la vidéo si le visiteur refuse les cookies de YouTube
  3. Remise en place du message et blocage de la vidéo si le visiteur révoque son consentement,

Il existe plusieurs solutions de conformité RGPD qui permettent de bloquer les iframes avant consentement. Pour certaines, cette fonctionnalité est gratuite. Tandis que pour d'autres, elle n'est disponible qu'avec une version Pro.

Pour WordPress, vous pouvez, par exemple, utiliser le plugin RGPD gratuit Complianz :

Blocage du script de YouTube nocookie dans Complianz

💡 Lisez la documentation de votre gestionnaire RGPD concernant le blocage du script afin que tout fonctionne comme prévu. Et n'oubliez pas de mettre à jour votre politique de confidentialité en incluant l’utilisation des vidéos intégrées et leurs implications.

YouTube nocookie est-il le seul service de Google qui collecte des données sans consentement ?

Pour conclure, vous l'avez compris, la simple utilisation de YouTube nocookie ne rend pas votre site conforme au RGPD. Pour être en règle, il n'existe qu'une seule solution viable. Vous devez combiner le mode de confidentialité avancé avec un "bandeau cookies" et un blocage du script de l'iframe jusqu'au consentement du visiteur.

Après, le mode nocookie de YouTube n'est évidemment pas le seul service de Google qui rend votre site non conforme au RGPD en l'état.

En effet, même si les transferts de données personnelles vers Google sont autorisés depuis le 10 juillet 2023 (Data Privacy Framework), vous devez toujours obtenir le consentement des utilisateurs pour les utiliser.

C'est notamment le cas pour Google reCAPTCHA, Google Fonts et Google Analytics.

La bonne nouvelle est qu'il existe des alternatives conformes au RGPD pour ces services. Voici celles que je préfère :

Et vous, utilisez-vous des alternatives aux outils Google ?

🩷 Partagez !
Christine Siembida 🌺

Christine Siembida 🌺

Hello, moi, c'est Christine 🌺.
Je suis optimisatrice et dépanneuse de sites Web WordPress et aussi rédactrice Web SEO.
Sur ce blog, je vous partage des astuces pour créer, sécuriser et optimiser la performance, l’accessibilité et le SEO de votre site WordPress et également des ressources Web gratuites.

Articles: 94

Soumettre un commentaire 💬

guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires

Vous pourriez aussi aimer...