L’exemption de consentement pour les traceurs « nécessaires à la fourniture du service demandé par l’utilisateur » trouve son origine dans l’article 5.3 de la directive européenne ePrivacy de 2002.
Cette directive a ensuite été transposée dans les différents droits nationaux des États membres de l’Union Européenne, comme dans la loi informatique et liberté (art. 82) en France, ou dans la loi de protection des données dans les télécommunications et les médias (TTDSG – art. 25) en Allemagne, par exemple.
Au sujet du cas spécifique des traceurs de mesure d’audience, le Comité Européen de Protection des Données (CEPD ou EDPB) publiait dès 2012 des lignes directrices précisant que « les cookies Analytics dit 1st party étant strictement limité à la fourniture de statistiques agrégés, ayant une information claire à leur sujet, et ayant des dispositifs de protection appropriés, ne présentent pas une menace pour la vie privée des utilisateurs et peuvent être exemptés de consentement » (art. 4.3).
L’EDPB a confirmé cette position en 2023 lors :
- du rapport de la « Cookie Banner Taskforce »,
- des “Guidelines on Technical Scope of art. 5(3) of ePrivacy Directive” (page 4).
En France, la CNIL a publié fin 2020 de nouvelles lignes directrices et recommandations, et a confirmé la possibilité et les conditions afin de pouvoir bénéficier de l’exemption de consentement pour l’usage de traceurs de mesure d’audience (art. 5, par. 50, 51 et 52).
En mars 2021 la CNIL lançait un « programme d’évaluation des solutions de mesure d’audience ». La liste des solutions de mesure d’audience validées CNIL, dont fait partie Piano Analytics / AT Internet, est mis à jour et disponible grâce au lien suivant : www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience.
En Allemagne, la DSK (comité des différentes autorités fédérales), a publié fin 2022 des lignes directrices reprenant, dans le paragraphe 14. mesure d’audience, les conditions préalables prévues par ePrivacy pour pouvoir bénéficier de l’exemption de consentement, ainsi que les conclusions du programme d’évaluation des solutions de mesure d’audience de la CNIL (voir ci-dessus).
Ci-après, d’autres exemples (non exhaustifs) de lignes directrices publiées par des autorités de contrôle européennes sur l’exemption de consentement pour la mesure d’audience non intrusive et respectueuse du RGPD :
- Finlande : 3.3 Examples of different cookie types and guidelines for assessing the need for consent
- Grèce : Compliance points for data controllers maintaining online data files websites
- Irlande : Do analytics cookies require consent?
- Italie : 7.2 First-party and third-party analytics cookies
- Lettonie : Use of cookies to obtain statistics
- Luxembourg : 3.1. Les cookies essentiels: pas d’obligation de consentement
- Royaume-Uni : Cookies and similar technologies
Piano Analytics propose donc une configuration de sa solution permettant de pouvoir bénéficier de l’exemption de consentement pour les traceurs de mesure d’audience, selon les critères posés par ePrivacy, l’EDPB et les lignes directrices des diverses autorités de protection européennes.
Note : dans le paragraphe 52 des lignes directrices de 2020, la CNIL rappelle « que les traitements de mesure d’audience sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD ».
Par conséquent, il est recommandé de prévoir un mécanisme d’opposition / opt-out également pour les traceurs exemptés (voir les Droits des utilisateurs ci-dessus). Ce mécanisme peut être à disposition dans un troisième niveau d’information, comme la politique de confidentialité ou la « page cookies » par exemple.
Rappel : en complément des actions de configuration et de marquage listées ci-dessus, il est nécessaire de signer l’annexe spécifique à l’exemption de notre Accord de traitement de données à caractère personnel (DPA), afin de pouvoir bénéficier de l’exemption ePrivacy et collecter les données de mesure d’audience sans consentement.