Cet article a pour but de vous expliquer quels sont les traceurs qui bénéficient de l'exemption de consentement de la CNIL.
La CNIL permet à un éditeur de ne pas demander le consentement pour certains traceurs.
Il s'agit:
- Des traceurs nécessaires à la fourniture du service expressément demandé par l'utilisateur
- Des traceurs permettant de mesurer l'audience de son site ou son application
- Des traceurs permettant de tester des versions différentes afin d'optimiser ses choix éditoriaux en fonction de leurs performances respectives
La CNIL a donné des exemples de cookies concernés par l'exemption:
En l’état des pratiques portées à la connaissance de la Commission,
- les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix ;
- les traceurs destinés à l’authentification auprès d’un service ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
- les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
- les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.
⚠️ Attention, pour les deux dernières catégories (traceurs de mesure d'audience et traceurs permettant de faire de l'AB testing), la CNIL liste un certain nombre de conditions CUMULATIVES à respecter impérativement si vous souhaitez bénéficier de cette exemption.
Voici la liste des conditions à mettre en oeuvre pour se passer du consentement:
- ils doivent être mis en œuvre par l'éditeur du site ou bien par son sous-traitant ;
- la personne doit être informée préalablement à leur mise en œuvre ;
- elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée ;
- la finalité du dispositif doit être limitée à (i) la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, (ii) la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d'un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers. L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d'application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
- l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
- les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.
A noter également que le cookie pourra être déposé sans consentement uniquement s'il sert exclusivement à ces finalités précises. Si le cookie sert également à d'autres finalités, il ne peut pas être exempté de consentement.