Gestion du consentement – Centre d'aide Piano

Ce que dit le RGPD

L'article 6 du RGPD rappelle les conditions de licéité du traitement, c’est à dire la base légale justifiant les traitements réalisés.

En ce qui concerne le traitement de données analytics, il faut retenir que :

"Le traitement n'est licite que si ... la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;"

L'article 7 précise lui que:

"La personne concernée a le droit de retirer son consentement à tout moment. ... La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement."

Nous vous invitons à prendre également connaissance de l'article 8 pour les spécificités du consentement pour les enfants.

Dans le cas de l'Analytics, en Europe, la licéité du traitement est le consentement.

Ce consentement est étroitement lié à la notion de traceurs, information déposée sur le terminal d’un utilisateur dans le but d’obtenir une information persistante (cookies, FingerPrinting, Local Storage …).

Le consentement conditionne donc le dépôt, ou utilisation, des traceurs.

Important

Le RGPD pose exclusivement les bases de la nécessité et de la validité du consentement.
Les conditions de recueil de consentement dans le cas de l’utilisation de traceurs sont détaillées dans la directive ePrivacy (directive 2009/136/CE), qui a été transposée en droit national dans chacun des états membres.

L'outil Europe Cookie Comparaison Law vous permettra de voir chacune des lois nationales de chaque pays de l'Union Européenne et de les comparer.

La Commission Européenne travaille sur le règlement “ePrivacy”, qui remplacera à terme la directive 2009/136/CE et les transpositions nationales sur les problématiques de données personnelles en lien avec les communications électroniques (incluant donc la partie “traceurs”). Tant que le projet de règlement ePrivacy n'est pas adopté et entré en vigueur, il faut prendre en compte chaque recommandation de chaque autorité nationale pour la gestion des traceurs (cookies, identifiant mobile, etc.).

Vous accéderez à liste des membres du comité européen de la protection des données (CEPD) en cliquant ici. Le CEPD regroupe toutes les autorités européennes de protection de la donnée à caractère personnelle.

En ce qui concerne Piano Analytics

Dans le cadre de l'Analytics, toutes les informations rattachées à un visiteur sont considérées comme des données personnelles (Définition des données personnelles).

La gestion du consentement pour les données Piano Analytics s'effectue via le dépôt ou non de cookie pour la partie "web".

Pour les applications et autres plateformes « natives », elle s'appuie sur la transmission ou non de l'identifiant mobile.

Les valeurs transmises via le cookie ou l'identifiant mobile nous permettent de créer le Visitor ID, présent dans la propriété correspondante disponible dans la solution et permettant de rattacher des données comportementales à un individu.

Dans le cas où aucun cookie, ou identifiant mobile, n'est récupéré, nous utilisons le FingerPrinting. Basé sur le navigateur de l'internaute, celui-ci nous permet de continuer à analyser le comportement de visiteurs différents, avec une reconnaissance dans le temps grâce à l'IP et le User-Agent.

Comme expliqué au sein de l'article "Définitions des données personnelles", le FingerPrinting est considéré comme un traceur, et doit faire l'objet d'une demande de consentement.

Nous vous invitons donc à vous tourner vers notre guide de mise en conformité afin de mettre en place les méthodes permettant le non-dépôt de cookie, réconciliation, mise en opt-out, ou exclusion du trafic non cookisé.

Note

Il existe sur le marché de nombreuses solutions de Consent Management Platform (CMP) qui vous permettent de gérer le recueil du consentement.
Elles peuvent avoir différentes logiques de fonctionnement et être rattachées à Tag Management System (TMS) ou non.

Dans tous les cas nous vous recommandons de bien analyser les modalités d'application, les impacts potentiels sur votre solution d'Analytics ainsi que les possibilités de paramétrages offertes.

Pour toutes les autres données personnelles transmises à Piano Analytics, comme les visiteurs identifiés ou les propriétés par exemple (voir les finalités dites "accessoires" définit dans le DPA), un consentement spécifique pourra être nécessaire.

Actions

Pour les sites web :

proposer un bandeau d'information clair et suffisamment détaillé sur l'utilisation faites des traceurs
laisser la possibilité à vos utilisateurs de retirer leur consentement à tout moment et de façon simple

Pour les applications natives :

proposer, à l'activation de l'application par exemple, un écran d'information clair et suffisamment détaillé sur l'utilisation faite de l'identifiant utilisateur
laisser la possibilité à vos utilisateurs de retirer leur consentement à tout moment et de façon simple

Le contexte juridique en France

Comme expliqué dans la partie “Ce que dit le RGPD”, la directive sur les cookies est transposée en France au sein de la loi “informatique et libertés”.

Faisant suite à la mise en place du RGPD en mai 2018, la CNIL a rendu publique ses nouvelles lignes directrices ainsi que ses nouvelles recommandations pratiques en septembre 2020.

Pour les sites Web

L’utilisation de traceurs ne peut se faire qu'après consentement explicite ou peut être exemptée sous certaines conditions dans le cadre de l’Analytics (article 5 de la délibération du 17 septembre 2020).
Voir ce que dit la loi concernant les "traceurs", par l'intermédiaire de la CNIL.

Les méthodes suivantes présentées dans notre guide de mise en conformité vous permettent de mettre votre solution en conformité :

L'Exemption CNIL
La réconciliation des données après consentement, pour cookies 1st exclusivement
Le non dépôt de cookies avant consentement

Notez que vous devez laisser la possibilité à vos utilisateurs de retirer leur consentement à tout moment et de façon simple grâce à l'un des mécanismes d'Opt-Out à votre disposition.

Pour les applications natives (mobiles, TV, …)

Dans le cadre des applications natives, il est important de rappeler que c'est vous, client, par l'intermédiaire du chef de produit/projet et/ou des développeurs, qui choisissez, au moment de l'implémentation de notre SDK dans votre application, quel identifiant sera utilisé pour le suivi de vos utilisateurs (UUID par défaut).

Pour iOS, vous avez le choix entre 4 éléments : UUID, IDFV, IDFA ou un identifiant personnalisé
Pour Android, vous avez le choix entre 4 éléments : UUID, Android ID, Advertising ID ou un identifiant personnalisé

La CNIL définit les obligations des éditeurs d'applications mobiles.

Soulignons notamment l’obligation de recueillir le consentement pour la collecte des données de géolocalisation.

En fonction du recueil du consentement de votre utilisateur, vous pourrez désactiver le suivi utilisateur grâce à l'un des mécanismes d'Opt-Out pour Application à votre disposition.

Notez que vous devez laisser la possibilité à vos utilisateurs de retirer leur consentement à tout moment et de façon simple.

N'hésitez pas à contacter votre centre support (bouton "Aide" en bas à droite) pour toute précision ou aide complémentaire sur ces configurations de mise en conformité.