Consentement obligatoire pour les cookies analytiques
En application du RGPD et de la directive ePrivacy, les cookies analytiques nécessitent le consentement préalable, libre et éclairé des utilisateurs avant d'être déposés sur leur terminal. Cette règle générale s'applique à la plupart des outils de mesure d'audience, notamment Google Analytics, qui n'est pas exempté de consentement selon la CNIL.
Exemptions possibles à l'obligation de consentement
La CNIL autorise l'utilisation de cookies analytiques sans consentement uniquement si ces traceurs respectent cumulativement les conditions suivantes :
- Finalité strictement limitée : ils doivent être utilisés exclusivement pour la mesure d'audience du site ou de l'application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou ergonomiques, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés), et ce pour le compte exclusif de l'éditeur
- Statistiques anonymisées : ils ne peuvent servir qu'à produire des données statistiques anonymes, sans possibilité de recoupement avec d'autres données
- Absence de suivi intersites : ils ne doivent pas permettre le suivi global de la navigation de l'utilisateur sur différents sites ou applications
- Non-transmission à des tiers : les données collectées ne peuvent être transmises à des tiers ni réutilisées à d'autres fins
Cadre juridique et conditions d'exemption
Article 82 de la loi Informatique et Libertés
L'article 82 de la loi Informatique et Libertés transpose en droit français l'article 5.3 de la directive ePrivacy. Il prévoit l'obligation de recueillir le consentement des internautes avant toute opération d'écriture ou de lecture de cookies et autres traceurs, sauf exceptions limitées.
Délibération CNIL 2020-091
La CNIL a précisé dans sa délibération n° 2020-091 du 17 septembre 2020 que les traceurs de mesure d'audience peuvent être exemptés de consentement s'ils sont "strictement nécessaires au fonctionnement et aux opérations d'administration courante d'un site web ou d'une application". Cette exemption ne s'applique que si toutes les conditions strictes énoncées sont respectées.
Durée de conservation et caractéristiques techniques
Pour bénéficier de l'exemption, les cookies analytiques doivent également respecter certaines contraintes techniques :
- Durée de vie des cookies : maximum 13 mois pour les cookies exemptés
- Durée de conservation des données : maximum 25 mois pour les informations collectées
- Anonymisation : le dernier octet de l'adresse IP doit être anonymisé
- Portée limitée : restriction à un seul site ou application
Obligation d'information et de transparence
Il existe des Information obligatoire même en cas d'exemption
Même lorsque les cookies analytiques sont exemptés de consentement, les utilisateurs doivent être informés de manière claire et transparente sur leur utilisation. Cette information peut être fournie via :
- Une politique de confidentialité accessible
- Un bandeau d'information sur le site
- Une mention dans les conditions générales d'utilisation
Quel doit être le contenu de l'information ?
L'information doit préciser :
- La finalité des cookies utilisés
- Les types de données collectées
- La durée de conservation
- Les moyens de s'opposer à leur utilisation
Droit d'opposition et contrôle des utilisateurs
Droit d'opposition aux cookies exemptés
Même exemptés de consentement, les utilisateurs conservent un droit d'opposition aux cookies analytiques. La CNIL considère que les personnes concernées doivent pouvoir exercer ce droit, bien que les modalités pratiques restent à définir au cas par cas.
Différents mécanismes de contrôle pour les utilisateurs
Les utilisateurs peuvent s'opposer aux cookies analytiques par :
- Le paramétrage de leur navigateur
- Des outils de blocage dédiés
- Des options de désactivation fournies par l'éditeur du site
Solutions conformes au RGPD que Inkivari vous recommande
Le programme d'évaluation CNIL
La CNIL a mis en place un programme d'évaluation des solutions de mesure d'audience pour identifier celles pouvant être configurées dans le périmètre de l'exemption. Ce programme évolue vers un outil d'auto-évaluation disponible aux fournisseurs.
Alternatives à Google Analytics
Il existe plusieurs solutions de mesure d'audience conformes, notamment :
- Matomo Analytics (correctement configuré)
- Piano Analytics Suite Delta
- Piwik PRO Analytics
- Wysistat
- Eulerian
Ces solutions peuvent être exemptées de consentement si elles sont configurées selon les critères stricts de la CNIL.