28 Avr L’exemption du Consentement pour la mesure d’audience
Il nous semble important de partager avec vous ce sujet abordé dans le cadre du dernier groupe de travail rassemblant les DPO membres du GESTE
L’utilisation de la solution Google Analytics pose de nombreuses questions concernant les conditions de mise en œuvre de l’exemption au consentement pour la partie analyse d’audience.
La solution est-elle conforme aux délibérations de la CNIL en matière de recours aux cookies et autres traceurs ? Rentre-t-elle dans le cadre des exemptions au consentement ?
La CNIL a défini, dans ses dernières lignes directrices, un certain nombre de conditions pour entrer dans l’exception de mesure d’audience :
– Les cookies doivent être mis en œuvre par l’éditeur du site ou bien par son sous-traitant;
– L’utilisateur doit être informé préalablement à leur mise en œuvre ;
– L’utilisateur doit disposer de la faculté de s’y opposer par l’intermédiaire d’un mécanisme d’opposition facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal depuis lequel la personne s’est opposée ;
– La finalité du dispositif doit être limitée à (i) la mesure d’audience du contenu visualisé afin de permettre l’évaluation des contenus publiés et l’ergonomie du site ou de l’application, (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d’un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers. L’utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
– L’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
– Les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximums.
Seuls deux outils sont reconnus par la CNIL comme pouvant bénéficier de cette exemption : AT Internet et Matomo (Piwik) :
https://www.cnil.fr/fr/mesurer-la-frequentation-de-vos-sites-web-et-de-vos-applications
Si les conditions sont respectées, on bascule donc d’un régime d’opt-in à un régime d’opt-out.
QUID DE GOOGLE ANALYTICS ?
Nous organisons un Webinar première semaine de juin à l’occasion duquel Google répondra à vos questions sur l’exemption du consentement pour la mesure d’audience.