La CNIL lance un programme d’évaluation des solutions de mesure d’audience

La CNIL lance un programme d’évaluation des solutions de mesure d’audience
⏱ Lecture 4 min

Par Gérard Haas, Anne Charlotte Andrieux et Elise Hausherr

La CNIL, qui vient d’annoncer qu’un de ses axes de contrôle pour 2021 serait l’utilisation des cookies[1], prend des mesures concrètes afin d’accompagner les organismes dans la mise en conformité de leurs sites et applications.

Afin d’accompagner les responsables de traitement dans leur mise en conformité RGPD sur la gestion des cookies, la CNIL a lancé début mars un programme d’évaluation des solutions mises sur le marché. Ce programme permet aux fournisseurs de solutions de mesure d’audience exemptées de recueil du consentement de soumettre à la CNIL pour analyse leur documentation technique et notamment les éléments de configuration disponibles de leur solution, afin que la CNIL confirme si l’offre proposée remplit bien les caractéristiques d’exemption du consentement.

Ce programme a pour objectif :

  • D’aider les fournisseurs de solutions de mesure d’audience à structurer leur offre conformément à la règlementation,
  • D’orienter les responsables de traitement utilisateurs de ces solutions en leur permettant de choisir une offre conforme parmi une liste proposée par la CNIL.

Cette démarche d’évaluation vient notamment compléter les lignes directrices[2] ainsi que les recommandations[3] relatives à la gestion des cookies et autres traceurs publiées par la CNIL en septembre 2020 et abrogeant les dernières versions datant de 2019.

1. Principes généraux relatifs à la gestion des cookies

Parmi les principes à retenir des lignes directrices de la CNIL sur la gestion des cookies, se trouve notamment la nécessité de recueillir le consentement des internautes avant le dépôt de traceurs sur leur terminal. Les internautes doivent ainsi consentir au dépôt de traceurs par un acte positif clair.

En outre, les internautes doivent être informés de la mise en œuvre de traceurs, et détaillant les finalités des traceurs ainsi que l’identité de tous les acteurs les utilisant.

Enfin, la durée de conservation des traceurs doit être limitée, ainsi il est recommandé de les conserver pendant une durée maximale de 13 mois et les informations collectées par l'intermédiaire de ces traceurs doivent être conservées pour une durée maximale de 25 mois.

Pour en savoir plus, consultez notre Fiche pratique cookies

2. Exemption du recueil de consentement pour certains traceurs

Le dépôt de traceurs sur le terminal d’un utilisateur est soumis au recueil préalable de son consentement, néanmoins en application de l’article 82 de la loi « Informatique et Libertés », certains traceurs peuvent être exemptés de ce recueil du consentement.

Ainsi sont exemptés les traceurs strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ainsi que ceux ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique.

De ce fait, sont notamment concernés les traceurs destinés à la mesure de l’audience du site (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie ou analyse des contenus consultés), l’authentification auprès d’un service, les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, ceux visant à générer des statistiques de fréquentation anonymes, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les internautes. Néanmoins ces traceurs doivent servir à produire des données statistiques anonymes uniquement.

Ces traceurs ne doivent en tout état de cause pas conduire à un recoupement de données avec d’autres traitements et ne pas permettre un suivi de la navigation de l’internaute sur plusieurs sites.

Les solutions de mesure d’audience quant à elles doivent être strictement nécessaires au bon fonctionnement et aux opérations d’administration courante du site web ou de l’application. La CNIL considère ainsi que les mesures suivantes respectent ces conditions :

  • la mesure de l’audience page par page ;
  • la liste des pages à partir desquelles un lien a été suivi pour demander la page courante ;
  • les types de terminal, de navigateur et la taille d’écran des visiteurs ;
  • des statistiques de temps de chargement des pages et de temps passé sur chaque page ;
  • des statistiques sur les actions utilisateurs ou sur la zone géographique d’origine des requêtes.

En pratique, certaines solutions ne remplissent pas les critères nécessaires à l’exemption, notamment lorsque le fournisseur indique réutiliser les données pour son propre compte, pratique courante sur le marché. Néanmoins, dans certains cas, il demeure possible de configurer ces outils pour désactiver la réutilisation des données.

3. Démarche d’évaluation de la CNIL pour les solutions de mesure d’audience

Jusque fin juin 2021, la CNIL a mis en place un programme d’évaluation pour identifier les solutions de mesure d’audience pouvant être configurées afin de respecter le périmètre de l’exemption au recueil du consentement. La liste des solutions conformes sera ensuite publiée sur le site de la CNIL afin d’orienter les responsables de traitement dans le choix de leur solution.

L’évaluation de la CNIL se fonde uniquement sur les documents et informations fournis, et non sur un audit de la solution.

Il est demandé aux fournisseurs de communiquer les moyens dont dispose le responsable de traitement utilisateur de la solution de mesure d’audience pour effectuer une dizaine de configurations telles que : la désactivation de tout traitement des données pour le compte du fournisseur ; la désactivation de la capacité à visualiser la navigation d’un utilisateur unique dans l’outil ou encore la désactivation des exports de données contenant des identifiants uniques ou des données non agrégées.

Les étapes de la procédure sont détaillées ici.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de données. Pour en savoir plus, contactez-nous ici.

[1] CNIL - Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021

[2] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[3] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin