L'exemption de consentement vous permet de ne pas recueillir le consentement des internautes pour collecter vos données de mesure d'audience.
Cela vous permet de regagner de la visibilité sur le trafic non consenti.
Rappel juridique
Selon les principes établis par la directive européenne ePrivacy et les différentes lignes directives des diverses autorités de protection des données en Europe, les conditions pour mise en place de l’exemption de consentement sont les suivantes :
- Les traceurs exemptés de consentement doivent collecter exclusivement des données strictement nécessaire à la fourniture du service demandé par l’utilisateur (voir ci-dessous)
- Ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l'audience sur les plateformes (site, applications, …) et pour le compte exclusif de l'éditeur
- Ces traceurs ne doivent pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web
- Ces traceurs doivent servir uniquement à la production de données statistiques anonymes
- Les données à caractère personnel collectées ne peuvent être recoupées avec d'autres traitements ni transmises à des tiers
Rappel : en complément des actions de configuration et de marquage listées ci-dessus, il est nécessaire de signer l’annexe spécifique à l’exemption de notre Accord de traitement de données à caractère personnel (DPA), afin de pouvoir bénéficier de l’exemption ePrivacy et collecter les données de mesure d’audience sans consentement.
Strictement nécessaire
L'exemption de consentement implique de ne collecter que ce qui est "strictement nécessaire" à la fourniture de votre service demandé par l’utilisateur.
À titre d'exemple, la CNIL juge comme strictement nécessaire à la collecte de données de mesure d'audience les informations suivantes : "mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.".
En tant que responsable de traitement, vous devrez documenter, et justifier en cas de contrôle, la collecte et l’utilisation des données répondant à des besoins "strictement nécessaires" à votre activité.
Configuration
Afin de pouvoir bénéficier de l'exemption de consentement avec la solution Piano Analytics, la configuration suivante doit être réalisée
Demander à Piano d'activer :
-
Le masquage de la propriété ID visiteur (visitor_id) par défaut au sein de votre Data Model.
Ainsi, la propriété ne sera plus accessible dans les interfaces et les données y seront agrégées (les métriques associées sont toujours accessibles). - La suppression des données à caractère personnel au-delà de 25 mois glissants (voir la personnalisation de l'historique des données à caractère personnel)
- L'anonymisation de l'adresse IP (voir l'anonymisation de l'adresse IP)
Note : ces trois activations s’appliqueront à l’ensemble d’une organisation.
Sur les périmètres/plateformes/sites sur lesquels vous souhaitez bénéficier de l’exemption, veillez à :
-
Configurer votre data model afin de masquer les propriétés qui ne doivent pas être exploitées (les métriques associées sont toujours accessibles) :
- FAI : connection_isp
- Visite convertie ? : visit_converted
- Effectuer votre mesure d’audience exclusivement sur le domaine ou l’application vous appartenant : les mesures hors sites comme les impressions de bannières, les vidéos déportées, les ouvertures d’emailing ou les iframes ne sont pas possibles sans consentement préalable. Si vous désirez tracer un utilisateur sur différents périmètres liés à un même éditeur, il vous faudra justifier que cette mesure est strictement nécessaire à votre activité.
- Collecter et utiliser des données au sein de Piano Analytics afin de ne pas permettre de reconnaître un visiteur/un utilisateur : les données collectées doivent exclusivement servir à l'utilisation de statistiques anonymes ou de cohortes n’impliquant pas de données à caractère personnel
- Ne pas utiliser les données importées ou exportées à des fins de recoupements (ex.: import CRM, appels API alimentant des partenaires, API ou export Data Flow pour alimentation CRM)
- Au sein de votre politique de confidentialité (site, app, …), informer vos utilisateurs de la présence de ce traceur exempté et mettre en place un mécanisme d'Opt-Out
Implémentation
Pour mettre en place l'exemption de consentement, vous pouvez utiliser les méthodes de marquages dédiées. Il vous suffit de spécifier le mode "exempt".
Ajouter des informations strictement nécessaires
Par défaut, le mode "Exempt" n'envoie que les propriétés considérées comme "strictement nécessaires" par Piano Analytics. Si vous souhaitez rajouter des propriétés personnalisées, il vous faudra modifier le mode "Exempt" et ajouter les property_key des propriétés en question.
Supprimer des informations non strictement nécessaires
Vous pouvez utiliser les indicateurs de données à caractère personnel pour supprimer les données de certaines propriétés automatiquement en mode "Exempt".