CNIL : évolution de la réglementation de la mesure d'audience

Lundi 09 novembre 2020
Le 1er octobre 2020, la CNIL a fait évoluer ses lignes directrices et modifie ses recommandations relatives aux cookies. Les outils de mesure d'audience sont les premiers ciblés par ces mesures.

Tout est issu d'une loi : l'article 82 de la loi Informatique et Libertés, correspondance en droit français du Règlement Général sur la Protection des Données (RGPD). Il prévoit notamment l'obligation, sauf exception, de recueillir le consentement des internautes avant toute opération relative aux cookies.

La CNIL (Commission nationale de l'informatique et des libertés), dans ce contexte, est garante du bon respect de ce règlement. Les lignes directives, déjà en place depuis 2018, évoluent désormais. Les grands principes restent les mêmes :

Comment répondre aux règles de la cnil ?

La poursuite de la navigation sur un site internet n'est plus considérée comme une mesure valable du consentement de l'internaute. De plus, les internautes doivent désormais consentir au dépôt des cookies par une action claire : Clic sur le bouton "j'accepte" d'une bannière cookie par exemple. Si cette action n'est pas réalisée, les cookies ne peuvent être déposés.

Il est également nécessaire de proposer aux internautes un système simple et facile d'accès pour retirer leur consentement à tout moment.

Refuser les cookies doit être aussi facile que de les accepter (présence d'un bouton "je refuse" dans le bandeau des cookies).

Certains outils, lorsqu'ils sont correctement configurés, sont exemptés du recueil du consentement. Matomo (ex Piwik), XiTi (AT Internet) sont deux de ces outils. L'intérêt d'un double marquage Google Analytics / outil exempté du consentement permet alors de conserver l'ancienneté de son trafic en étant en adéquation avec la CNIL via un outil de consentement et d'avoir le trafic complet via l'un des deux outils suscités.

Pourquoi sont-ils exemptés ? Parce qu'ils répondent à des règles bien précises émises par la CNIL :

  • Ils respectent la vie privée de l'internaute notamment en masquant les deux derniers bytes de l'adresse IP de l'internaute
  • Les données sont stockées en Europe et l'internaute a un droit d'accès sur celles-ci
  • Le traceur sert uniquement à suivre l'audience

Que se passe-t-il pour vous qui utilisez déjà une solution exemptée du recueil du consentement ? Et bien vous devez tout de même proposer à vos internautes la possibilité de supprimer les cookies déposés sur votre site internet et vous devez les avertir que vous en utilisez.

Quels impacts sur les outils de mesure d'audience ?

La CNIL a précisé dans ce contexte les cookies et outils répondant, après configuration, à une exemption du recueil du consentement. Parmi les cookies exemptés, on retient notamment ceux liés à l'authentification auprès d'un service, ceux destinés à garder en mémoire le contenu d'un panier d'achat. Néanmoins, ces cookies n'apportent pas de données et servent uniquement à l'internaute.

Les outils de mesure d'audience doivent également se plier à ces nouvelles exigences. Google Analytics, utilisé par plus de 80% des sites internet, n'est pas exempté du recueil du consentement dû à plusieurs raisons :

  • Les données ne sont pas stockées en Europe uniquement
  • Les informations relatives à l'internaute ne sont pas masquées (adresse IP, zones géographique, ID, etc...)
  • Le Privacy Shield (acte signé entre l'Europe et les Etats-Unis) ne répond pas entièrement aux besoins du RGPD.

L'intérêt d'un double marquage permet alors d'avoir une solution capable d'enregistrer la totalité du trafic et ce malgré la présence d'une plateforme de gestion du consentement (CMP) de par sa conformité par rapport à la réglementation, et une autre permettant d'avoir des analyses plus complexes (zones géographiques, cohortes, etc...) mais non exemptée.

Attention cependant, dans le cadre d'un double marquage, les outils de mesure d'audience prennent certes le relais sur la solution non exemptée mais, suite à la modification des recommandations de la CNIL, dans le cas où l'internaute clic sur le bouton "tout refuser", les deux solutions seront alors inutilisables.

Quel CMP pour mon site internet ?

Différents CMP sont présents sur le marché, TarteAuCitron par exemple est gratuit et OpenSource, il permet de gérer la quasi totalité des traceurs présents sur les sites internet mais nécessite des développements sur votre site internet. Entièrement personnalisable, un plugin payant existe permettant de simplifier son installation pour les principaux CMS du marché (Wordpress, Drupal, Joomla, etc...).

A l'inverse, les CMP tels que Didomi ou encore Quantcast vous propose différentes prestations vous permettant une mise en place rapide et facilité de la gestion du consentement sur votre site internet.

Pour vous accompagner lors de cette période et pour mettre en adéquation votre site internet avec les recommandations de la CNIL, toutes nos équipes sont mobilisées pour répondre à vos besoins.

Contactez-nous pour en savoir plus

Pour en savoir plus, rendez-vous sur : https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation