Nous avons de bonnes nouvelles pour ceux qui utilisent Piwik PRO, ou ceux qui l’envisagent, en France. La CNIL, l’autorité française de protection des données, a ajouté Piwik PRO Analytics Suite à la liste des plateformes d’analyse qui peuvent être utilisées pour collecter des données sans consentement, compte tenu d’une certaine configuration et d’un ensemble de restrictions. C’est un gros avantage par rapport à de nombreuses plateformes d’analyse prisées, telles que Google Analytics, qui nécessitent toujours un consentement pour collecter toute donnée en France.
En d’autres termes, tant que vous configurez correctement Piwik PRO et limitez la collecte des données en modifiant quelques paramètres, vous n’avez plus besoin de recueillir le consentement pour traiter ces informations personnelles. Si vous exercez votre activité en France et que vous souhaitez bénéficier de l’exemption, vous devez d’abord vous mettre au courant des lignes directrices CNIL et de la documentation concernant ce programme.
- Exemption CNIL : description
- Lignes directrices CNIL sur l’accord de l’exemption et liste des plateformes éligibles
- Lignes directrices CNIL sur les cookies et autres traceurs
Sur le site Web de la CNIL (le lien pour la version en anglais est inclus dans le document) vous trouverez la documentation requise pour configurer Piwik PRO Analytics Suite selon les directives listées.
En raison de la façon dont il a été conçu, Google Analytics – version 360 incluse – ne pourra probablement jamais bénéficier d’une telle exemption de consentement. Cela est, en effet, un outil construit pour alimenter l’écosystème publicitaire de Google avec certaines données qu’il collecte. Ce qui se fait actuellement à l’aide des cookies : des données personnelles réutilisées pour la publicité ciblée. L’exemption CNIL précise, par contre, qu’aucune donnée personnelle ne peut être ainsi collectée et réutilisée sans consentement.
Et même si Google Analytics abandonnait les cookies en faveur de la méthode FLOC (Federated Learning of Cohorts) proposée par Google, le consentement serait toujours requis, conformément aux directives CNIL. Aussi, afin d’entrer dans le périmètre de l’exemption, il faut que les données soient employées seulement pour vos propres sites Web et applications. Le modèle commercial sur lequel Google Analytics est actuellement établi ne le permettra jamais.
Vous vous demandez pourquoi les plateformes telles que Google Analytics deviennent de plus en plus difficiles à utiliser là où les réglementations modernes en matière de confidentialité des données sont mises en place ? Et bien, car pour qu’une plateforme d’analyse soit respectueuse de la vie privée, elle doit être conçue compte tenu de ces réglementations. Piwik PRO l’est. Mais Google Analytics ne l’est pas. Apprenez toutes les différences entre Google Analytics et Piwik PRO. Consultez aussi notre article Is Google Analytics GDPR-compliant? [EN].
Pour en revenir à l’exemption de consentement elle-même, vous vous demandez peut-être quelles sont les restrictions imposées sur la collecte de données. En voici les deux principales : 1) pas de données personnelles et 2) pas d’exportation ou d’association des données avec d’autres sources. Cependant, pour en connaître tous les détails, veuillez consulter la documentation partagée ci-dessus.
Heureusement, ces limitations laissent encore une marge de manœuvre pour collecter des tas de données utiles : celles sur les campagnes, les référents, les événements, les conversions (anonymes), pour n’en nommer que quelques-unes. Toutes ces données ne seraient disponibles sur Google Analytics qu’après avoir obtenu le consentement.
Pour les usagers qui accordent leur consentement, vous obtiendrez toutes les données que vous auriez normalement : l’exemption de consentement CNIL n’impose aucune limite aux données que vous pouvez collecter une fois que vous avez obtenu le consentement. Veillez simplement à ne pas fusionner les données rassemblées dans le cadre de l’exemption avec les données collectées avec consentement, car cela dépasse la portée acceptée des données recueillies dans le cadre de l’exemption.
De nombreux analystes considèrent que cette approche hybride de collecte des données est une solution prometteuse et durable. Le principe de cette méthode est clair :
- Données limitées accessibles sans consentement : principalement des données anonymes
- Données à des fins convenues obtenues après le consentement : d’habitude un type de données personnelles
Les réglementations sur la confidentialité des données semblent également aller dans cette direction. Le RGPD a laissé la porte ouverte à une telle approche et le dernier projet d’ePrivacy est sur le point de le confirmer.
Ainsi, quoique l’exemption CNIL s’applique seulement à la France, il est fort probable qu’une solution pareille sera bientôt adoptée dans d’autres pays couverts par le RGPD. De plus, étant donné que de plus en plus de réglementations sur la confidentialité des données s’inspirent du RGPD, il ne serait pas non plus surprenant de voir les législateurs du monde entier aller dans cette direction.
Collectez-vous également des données hors de France ? Découvrez comment Piwik PRO Analytics Suite peut vous aider à trouver le juste équilibre entre conformité et collecte de données dans le monde entier [EN].
Le champ d’application des lignes directrices de la CNIL
Tout d’abord, les données visées par l’article 82 et les lignes directrices ne doivent pas nécessairement être personnelles. C’est crucial, car cela élargit le champ des informations définies par le RGPD.
Deuxièmement, les règles s’appliquent aux opérations impliquant une technologie qui accède ou stocke des informations sur les appareils des utilisateurs tels que :
- Les téléphones portables
- Les ordinateurs fixes ou portables
- Les tablettes
- Les consoles de jeux vidéo
- Les téléviseurs intelligents
- Les véhicules connectés
- Les assistants vocaux
ou tout autre objet connecté à un réseau de télécommunication ouvert au public.
Troisièmement, le champ d’application couvre non seulement les cookies HTTP typiques, mais aussi d’autres mécanismes de suivi en ligne tels que :
- Les objets locaux partagés également connus sous le nom de « cookies Flash »
- Le stockage local intégré dans le HTML
- Les empreintes digitales des appareils
- Les identifiants du système d’exploitation
- Les identifiants des appareils
Et selon les lignes directrices, le « suivi » désigne la collecte de données sur les dispositifs mentionnés ci-dessus.
Comment obtenir un consentement valable
Le consentement proprement dit est « toute indication librement donnée, spécifique, informée et non ambiguë de la volonté de la personne concernée », tout comme stipulé par le RGPD. Le consentement implicite n’est donc pas valable pour la collecte de données personnelles.
En tant que propriétaire d’un site web, vous ne pouvez pas utiliser des cases précochées pour obtenir l’accord pour collecter ou stocker les données personnelles. Vous ne pouvez pas considérer comme un « comportement actif » le fait que les visiteurs continuent à utiliser votre site ou votre application. Cela vaut aussi bien pour la navigation, le défilement ou le balayage d’une page ou d’une application mobile.
De même, il est inadmissible de considérer les paramètres du navigateur comme l’expression de l’approbation de l’utilisateur. Ces paramètres permettent à l’utilisateur de contrôler uniquement les cookies HTTP : ils ne peuvent pas bloquer le suivi, les cookies Flash ou les empreintes digitales des appareils. Si vous mettez en œuvre l’une de ces technologies, vous devez être prêt à tout moment à démontrer que vous avez obtenu le consentement au préalable.
Quelques points supplémentaires à retenir sur le consentement :
- Un opt-in global pour les cookies, c’est-à-dire lorsque les personnes acceptent les cookies pour toutes les finalités en même temps, n’est valable que comme étape supplémentaire accompagnant la possibilité de consentir spécifiquement et séparément à chaque finalité. De même, les propriétaires de sites ne peuvent pas regrouper le consentement avec des conditions générales.
- Les propriétaires de sites web ne peuvent pas créer des « cookie walls ». Le fait de bloquer l’accès aux visiteurs lorsqu’ils ne donnent pas leur consentement viole le principe de la permission librement accordée.
Des acteurs et des responsabilités différents
Un seul acteur. Lorsque vous êtes la seule entité qui gère les activités de suivi, c’est-à-dire qu’en tant que propriétaire du site, vous déposez des cookies sur votre site web, vous êtes le seul responsable de l’obtention du consentement en tant que contrôleur des données.
Plusieurs acteurs. Lorsque plusieurs acteurs gèrent ensemble les cookies, un éditeur et une agence de publicité, des fournisseurs d’analyses ou des réseaux sociaux, ils agissent en tant que contrôleurs, contrôleurs conjoints ou processeurs. Ils doivent définir leurs obligations de conformité respectives conformément aux articles 26 et 28 du RGPD.
Tiers. Lorsque des tiers utilisent des mécanismes de suivi, ils en sont pleinement et indépendamment responsables, ce qui signifie qu’ils doivent obtenir l’autorisation des utilisateurs. Toutefois, ils ne doivent pas nécessairement l’obtenir eux-mêmes : ils peuvent obliger contractuellement un éditeur à le faire en leur nom. Le cas de Google affirmant que la responsabilité d’obtenir le consentement pour le remarketing Google Ads incombe à l’éditeur, et qu’il n’est donc pas responsable de son obtention, serait contraire aux principes de la CNIL.
Un sous-traitant. Un acteur qui travaille pour le compte d’un responsable de traitement et qui ne peut pas utiliser les données à d’autres fins, comme l’extension d’audience, la modélisation des sosies ou tout autre profilage d’un utilisateur. Lorsque ces deux acteurs établissent leur coopération, ils doivent préparer une documentation juridique qui détaille les obligations de chaque partie.
Une mesure d’audience performante et conforme
Si vous voulez voir votre configuration idéale du Piwik PRO Analytics Suite en action, n’hésitez pas à nous contacter.
