Cookies : solutions pour les outils de mesure d'audience

15 septembre 2023

La gestion d’un site web ou d’une application mobile requiert généralement l’utilisation de statistiques de fréquentation ou de performance, souvent indispensables à la fourniture du service. Les cookies déposés dans cet objectif peuvent être exemptés de consentement sous certaines conditions.

Dans quels cas les cookies sont-ils exemptés de consentement ?

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :

  • avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur. 
  • servir à produire des données statistiques anonymes uniquement.

À l’inverse, pour être exemptés de consentement, ces traceurs ne doivent pas :

  • conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers ;
  • permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.

Les recommandations de la CNIL

Afin de mettre en place des solutions respectueuses des droits des personnes, la CNIL recommande également que :

  • les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
  • la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;
  • les informations collectées par l'intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;
  • les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un réexamen périodique afin d’être limitées au strict nécessaire.

Un sous-traitant peut fournir un service de mesure d’audience comparatif à de multiples éditeurs si :

  • les données sont collectées, traitées et stockées de manière indépendante pour chaque éditeur ; et que
  • les traceurs sont totalement indépendants les uns des autres et de tout autre traceur

En pratique

  • Certaines offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption, notamment lorsque leurs fournisseurs indiquent réutiliser les données pour leur propre compte, comme le proposent plusieurs offres de mesure d’audience disponibles sur le marché. Dans certains cas, il est possible de configurer ces outils pour désactiver la réutilisation des données.
  • Vérifiez auprès du fournisseur de votre outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées.
  • Soyez également attentifs aux éventuels transferts de données hors de l’Union européenne qui pourraient être réalisés par votre fournisseur de solution.

Comment faire évaluer une solution de mesure d’audience ?

La CNIL lance un programme pour identifier les solutions pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil du consentement. Si vous proposez une solution de mesure d’audience et que vous souhaitez soumettre votre dossier, rendez-vous sur la page dédiée. Les dossiers sont traités de manière séquentielle, et dans l’ordre de réception.

Attention : la liste ci-dessous recense uniquement les solutions examinées lors du programme d'évaluation de la CNIL, qui est désormais terminé.

 

À ce jour, et sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiées comme pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil de consentement les solutions suivantes :

De manière générale, la CNIL considère que les mesures suivantes sont strictement nécessaires pour la bonne administration d’un site :

  • la mesure de l’audience, page par page ;
  • la liste des pages à partir desquelles un lien a été suivi pour demander la page courante (parfois nommé « referrer ») que ce soit interne ou externe au site, par page et agrégée de manière journalière ;
  • les type de terminal, navigateur et taille d’écran des visiteurs, par page et agrégé de manière journalière ;
  • des statistiques de temps de chargement des pages, par page et agrégée de manière horaire ;
  • des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégée de manière journalière ;
  • des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégée de manière journalière ; 
  • des statistiques sur la zone géographique d’origine des requêtes, par page et agrégée de manière journalière.

Afin de faciliter la mise en conformité des responsables de traitement, la CNIL recommande aux fournisseurs de solution de mesure d’audience de permettre une configuration simple permettant à ceux-ci de collecter les données précédemment listées.

Note :

Le guide de configuration doit permettre au responsable de traitement mettant en œuvre l’outil d’avoir la parfaite garantie qu’il a paramétré l’outil de manière à ce que son usage puisse être totalement exempté de consentement. À cette fin et pour que la CNIL puisse correctement traiter le dossier soumis, il est indispensable que le demandeur fournisse une liste des paramètres, métriques activables et options à choisir afin d’avoir la certitude de rentrer dans le cadre d’une mesure d’audience exemptée. Cette liste doit être exhaustive, précise et indépendante du contexte du responsable de traitement. En l’absence de tels éléments directifs de configuration, la CNIL devra refuser le dossier.

 

Il n’est bien sûr pas exclu que d’autres mesures puissent respecter le critère de stricte nécessité au bon fonctionnement et aux opérations d’administration courante du site web ou de l’application, mais c’est alors au responsable de traitement (avec l’aide du fournisseur de solution si nécessaire) de documenter leur analyse.