Solutions de mesure d’audience exemptées de consentement : la CNIL lance un programme d’évaluation

08 mars 2021

La CNIL propose une démarche d’évaluation pour vérifier si une solution de mesure d’audience est effectivement exemptée de recueil du consentement préalable de l’utilisateur en application de l’article 82 de la loi Informatique et libertés tel qu’interprété par ses lignes directrices du 1e octobre 2020.

mesure d'audience

Quel est l’objectif de l’évaluation ?

L’objectif est d’identifier si les éléments de configuration disponibles peuvent permettre aux fournisseurs concernés de proposer à leurs clients une offre de mesure d’audience exemptée de recueil du consentement. Cette démarche ne préjuge pas de la conformité à la règlementation de solutions de mesure d’audience sans recueil de consentement qui ne seraient pas identifiées à ce stade par la CNIL.  

Pour participer à cette démarche, il est demandé de proposer une solution de mesure d’audience pour les sites web hébergés en France ou dont les utilisateurs en sont résidents.

Comment seront évaluées les solutions ?

Cette évaluation se fonde uniquement sur les documents et informations fournis, et non sur un audit de la solution : la réponse de la CNIL est donc tributaire de l’exactitude de ces informations.

Elle concerne uniquement la version de la solution visée par le dossier : toute évolution susceptible d’impacter le respect des critères nécessitera un renouvellement de la démarche. 

L’ensemble des dossiers déposés sera analysé et il reviendra aux acteurs jugés non conformes de faire évoluer leur solution et de déposer un nouveau dossier. Tout élément porté à l’attention de la CNIL permettant de déterminer qu’une solution précédemment jugée conforme ne respecte pas ceux-ci en pratique aura pour résultat le retrait de la solution de la liste des outils exemptés sur le site de la CNIL et l’impossibilité de s’en prévaloir, et sera susceptible d’engager la responsabilité du fournisseur.

La CNIL rappelle qu’au-delà de la conformité du paramétrage, l’usage de la solution de mesure d’audience doit être strictement nécessaire au bon fonctionnement et aux opérations d’administration courante du site web ou de l’application.

En savoir plus sur les solutions de mesure d’audience.

 

De manière générale, la CNIL considère que les mesures suivantes sont strictement nécessaires pour la bonne administration d’un site :

  • la mesure de l’audience, page par page et agrégée (généralement de manière horaire ou à un moindre fréquence) ;
  • la liste des pages à partir desquelles un lien a été suivi pour demander la page courante (parfois nommé « referrer ») que ce soit interne ou externe au site, par page et agrégée de manière journalière ;
  • les types de terminal, navigateur et taille d’écran des visiteurs, par page et agrégé de manière journalière ;
  • des statistiques de temps de chargement des pages, par page et agrégée de manière horaire ;
  • des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégée de manière journalière ;
  • des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégée de manière journalière ;
  • des statistiques sur la zone géographique d’origine des requêtes, par page et agrégée de manière journalière.

Afin de faciliter la mise en conformité des responsables de traitement, la CNIL recommande aux fournisseurs de solution de mesure d’audience de permettre une configuration simple, permettant à ceux-ci de collecter les données précédemment listées.

Il n’est bien sûr pas exclu que d’autres mesures puissent respecter le critère de stricte nécessité au bon fonctionnement et aux opérations d’administration courante du site web ou de l’application, mais c’est alors au responsable de traitement (avec l’aide du fournisseur de solution si nécessaire) de documenter leur analyse.

Participer au programme d’évaluation

  • Constitution du dossier

Le dossier doit être constitué de deux documents :

  1. le formulaire dûment complété ;
  2. un « guide de configuration » expliquant, dans le détail, à un éditeur potentiel comment configurer chacun des paramètres identifiés dans le formulaire. Ce document doit être fourni au format d’éditeur de texte (c’est-à-dire éditable et compatible avec Word ou LibreOffice), par exemple en OpenDocument (.odt).
  • Dépôt de la candidature

Le dossier de candidature, comprenant les pièces requises, doit être déposé à l’adresse suivante : programme-mesure-audience[at]cnil.fr avant le 30 juin 2021. La CNIL encourage cependant le dépôt de dossier dès que possible pour en faciliter l’étude. 

  • Étapes de la procédure

Après transmission du dossier, un accusé de réception sera envoyé pour confirmer que celui-ci est complet ou inviter le demandeur à adresser d’éventuels documents complémentaires.

Les dossiers ne pourront pas faire l’objet d’une instruction si :

  • la solution ne permet pas un élément de configuration demandé dans le formulaire ;
  • le guide de configuration n’est pas fourni avec les éléments du dossier ;
  • le format d’éditeur de texte (c’est-à-dire éditable et compatible avec Word ou LibreOffice) n’est pas respecté.

Si le dossier est validé :

  • une confirmation sera transmise par courriel ;
  • la solution et le guide de configuration seront listés sur la page dédiée sur le site de la CNIL ;
  • le fournisseur de la solution pourra publier la phrase suivante sur la page de la solution : « _____a participé, pour la solution/réglage de la solution _____, à la démarche d’évaluation « mesure d’audience » proposée par la CNIL et est donc en mesure de proposer une solution exemptée conformément aux lignes directrices « cookies et autres traceurs » de la CNIL ».

Attention : la validation du dossier ne vous autorise pas à utiliser le logo de la CNIL dans votre documentation et/ou contenus commerciaux.

Les mots clés associés à cet article