Important
Les conditions de l’exemption CNIL sont fixées au sein de l’article 5 de la délibération CNIL n° 2020-091 du 17 septembre 2020 (lignes directrices) et délibération CNIL n° 2020-92 du 17 septembre 2020 (recommandations) .A date, cela concerne exclusivement la France, même si une proposition d'exemption pour la mesure d'audience est présente dans le draft du règlement ePrivacy en cours d'étude.
Concept général
L'Exemption CNIL désigne la configuration permettant l'utilisation d'un traceur de mesure d'audience sans nécessité d'obtention d'un consentement du visiteur ni information préalable, si la collecte et le traitement de données répond à certaines conditions.
Elle permet donc de s'affranchir des impacts liés au non-dépôt de traceurs (perte de qualité et de volumétrie sur vos données statistiques) et de continuer à obtenir une visibilité dans le but de mesurer vos performances ou de continuer d'analyser les contenus consultés par vos visiteurs.
Définition
L'exemption CNIL implique de ne collecter que ce qui est "strictement nécessaire" à la fourniture de votre service.
Ce scénario n'inclue que le mode visiteur "exempt", pour une exemption simple. Si vous souhaitez inclure d'autres modes visiteurs, tels que le mode "opt-in", vous pouvez consulter le scénario de la Mesure Hybride.
Note
La notion de "strictement nécessaire" est défini dans l’article 5, paragraphe 50, des dernières lignes directrices qui fait référence à l’article 82 de la loi informatique et liberté : "strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur".
A titre d'exemple, la CNIL juge comme strictement nécessaire à la collecte de données de mesure d'audience les informations suivantes : "mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.".
Les autres conditions fixées par la délibération 2020-091 (paragraphe 51) sont les suivantes :
- Ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l'audience sur le site ou l'application pour le compte exclusif de l'éditeur.
- Ces traceurs ne doivent pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web
- Ces traceurs doivent servir uniquement à la production de données statistiques anonymes.
- Les données à caractère personnel collectées ne peuvent être recoupées avec d'autres traitements ni transmises à des tiers.
Enfin, le paragraphe 52 de la même délibération appuie sur le fait que "les traitements de mesure d’audience sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD".
Important
Les lignes directrices du 17 septembre 2020, accompagnées de recommandations pratiques, indiquent qu’un traceur de mesure d’audience peut être exempté du recueil du consentement si la finalité pour laquelle il est utilisé se limite "à ce qui est strictement nécessaire à la fourniture du service".
En ce sens, et en tant que responsable de traitement, vous devrez documenter, et justifier en cas de contrôle, la collecte et l’utilisation des données répondant à des besoins "strictement nécessaires" à votre activité.
Guidelines
Dans le but de vous accompagner à effectuer ces choix, AT Internet vous propose les guidelines ci-après.
Par l’intermédiaire de l’administrateur de votre Organisation, demander à AT Internet via le centre support d'activer pour l'ensemble de votre organisation :
- Le masquage de la propriété ID visiteur par défaut au sein de votre Data Model (propriété non accessible depuis les interfaces)
- La suppression des données à caractère personnel au-delà de 25 mois glissants (voir la personnalisation de l'historique des données à caractère personnel)
- L'anonymisation du dernier octet (suppression des 3 derniers digits) de l'adresse IP (voir l'anonymisation de l'adresse IP)
Ces trois actions seront activées à l'échelle de l'organisation, et concerneront donc tous les périmètres inclus en son sein.
Une attestation vous sera transmise une fois ces actions mises en place par AT Internet.
Dans le but de répondre à vos obligations de responsable de traitement, nous vous invitons également, sur les périmètres que vous souhaitez exempter, à :
- Utiliser les méthodes de marquage adéquat à la gestion de l’Exemption CNIL notamment pour minimiser la collecte d’informations à ce qui est strictement nécessaire (voir en suivant dans l'article)
Note
Voir le rappel de la notion de "strictement nécessaire" dans la définition ci-dessus
- Configurer votre data model pour éventuellement ne pas afficher des propriétés non désirées dans l’Analytics Suite
Note
Dans le cadre de la procédure d’évaluation de la solution par la CNIL, il nous a été indiqué que les propriétés suivantes ne devraient pas être disponibles dans le cadre de l'exemption :
- FAI : connection_isp
- Visite convertie ? : visit_converted
Nous vous invitons donc à masquer ces propriétés au sein de votre Data Model.
- Effectuer votre mesure d’audience exclusivement sur le domaine ou l’application vous appartenant : les mesures hors sites comme les impressions de bannières, les vidéos déportées, les ouvertures d’emailing ou les iframes ne sont pas possibles sans consentement préalable
Note
Si vous désirez tracer un utilisateur sur différents périmètres liés à un même éditeur, il vous faudra justifier que cette mesure est strictement nécessaire à votre activité.
- Collecter et utiliser des données au sein de l’Analytics Suite afin de ne pas permettre de reconnaître un visiteur/un utilisateur : les données collectées doivent exclusivement servir à l'utilisation de statistiques anonymes ou de cohortes n’impliquant pas de données à caractère personnel
Note
Dans le cadre de la certification des audiences, nous vous invitons à consulter le cahier des charges de l'organisme concerné, afin de vérifier que celui-ci soit en adéquation avec les guidelines de l'exemption. Toute transmission de données non anonymes à des organismes tiers ne rentre pas dans le cadre de l’exemption.
- Ne pas utiliser les données importées ou exportées à des fins de recoupements (ex.: AT Connect, import CRM, appels API alimentant des partenaires, API ou export Data Flow pour alimentation CRM)
- Configurer la durée de vie de vos traceurs (cookie ou mobile ID) à 13 mois fixes : c'est le cas par défaut pour les traceurs AT Internet
- Vérifier le niveau de géolocalisation strictement nécessaire à l’utilisation de votre service : par défaut AT Internet propose le niveau « ville » au plus fin
- Au sein de votre politique de confidentialité (site, app, …), informer vos utilisateurs de la présence de ce traceur exempté et mettre en place un mécanisme d'Opt-Out
Note
Contactez notre centre support (bouton "Aide" en bas à droite) pour demander l'étude d'activation de l'Exemption CNIL.
Avantages
Avec l'Exemption CNIL vos visiteurs ne sont ni perdus ni dupliqués avant consentement, vous obtenez des données de qualité.
Vous pouvez collecter des informations strictement nécessaires et ne pas perdre une partie significative de votre audience.
Risques
Avec l'Exemption CNIL, vous ne pouvez pas utiliser ou créer d'analyses "utilisateur" (hors cohorte), étant donné que les visiteurs ne peuvent pas avoir de statut "opt-in".
Vous ne pouvez pas non plus réaliser de recoupement de données.
Important
Veillez à impliquer votre DPO et/ou département juridique dans cette démarche d'exemption afin de vérifier et valider la bonne mise en conformité sur ce scénario.
Comportement attendu
Afin de respecter les décisions de vos utilisateurs, vous devez être en mesure de modifier l'état du consentement au cours de la visite.
| Etape | Description | |
|
Arrivée sur le site |
L'identification visiteur est permise et les cookies dédiés peuvent être déposés (idrxvr,atidx,atid ou atuserid). |
|
|
Visiteur décide de se mettre en |
Tous les cookies sont définis avec la valeur "OPT-OUT". |
|
Configuration du marqueur
L'Exemption CNIL s'appuie sur le plugin Privacy de Tag Composer disponible dans la version Javascript 5.24.0.
Il est important de veiller à mettre en place la bonne version du marqueur qui vous garantira de ne collecter que les informations strictement nécessaires.
Note
Ce plugin et ses méthodes ne s'appliqueront que pour une identification visiteur client-side, ils n'affecteront que les cookies first-party.
Marquage
Pour manier le consentement visiteur dans le marquage de l'Exemption CNIL, il vous suffit d'ajouter une ligne au début de votre marquage SmartTag.
Ensuite, passez simplement d'un état à l'autre en fonction du consentement exprimé par le visiteur.
Exempt
var tag = new ATInternet.Tracker.Tag();
tag.privacy.setVisitorMode('cnil', 'exempt'); // Visiteur défini en Exempt
tag.page.set({
name: 'pageName',
});
tag.dispatch();Ici, le marqueur ne collectera que des informations strictement nécessaires, communes à tous types d'activité. La liste de ces paramètres est disponible au sein de la documentation développeur.
Si vous désirez rajouter des paramètres alimentant des propriétés que vous jugez strictement nécessaires à votre activité, vous pourrez les ajouter dans le marqueur ou via Tag Composer.
Toutes les informations seront disponibles au sein de la documentation développeur.
Opt-Out
var tag = new ATInternet.Tracker.Tag();
tag.privacy.setVisitorOptout(); // Visiteur défini en Opt-Out
tag.page.set({
name: 'pageName',
});
tag.dispatch();Il est possible de ne pas envoyer d'information en passant la configuration du Tracker sendHitWhenOptOut à false.
Propriétés
Propriétés de consentement
Les nouvelles méthodes du plugin Privacy ajoutent 2 propriétés à vos hits :
- Mode visiteur : visitor_privacy_mode / &vm pour filtrer les événements basés sur le statut de consentement (exempt/optout)
- Consentement visiteur : visitor_privacy_consent / &vc pour permettre d'identifier le trafic consenti directement quand 'true'
Informations non strictement nécessaires
L'identification "utilisateur" par exemple est seulement disponible quand le mode visiteur est en "opt-in".
Même s'il est mis sur le même marquage de page, seul la méthode "opt-in" autorisera l'ajout des propriétés au hits.
var tag = new ATInternet.Tracker.Tag();
tag.privacy.setVisitorMode('cnil','exempt'); // Visiteur défini en Exempt
tag.page.set({
name: 'pageName',
});
tag.identifiedVisitor.set({
id: 123456 // Non transmis, du fait du mode visiteur défini en Exempt
});
tag.dispatch();Il en va de même pour toutes les informations qui n'ont pas été jugées strictement nécessaires par notre équipe Privacy.
En votre qualité de responsable de traitement, c'est néanmoins à vous de faire le choix. Il vous sera donc possible d'indiquer directement dans le marqueur ou dans Tag Composer les paramètres qui vous souhaitez "autoriser" afin qu'ils puissent alimenter vos analyses en mode exempté.
Explorer
Une fois le marquage implémenté, et les hits contenant ces propriétés, vous pouvez les ajouter à vos analyses Explorer avec le bouton "Combiner avec" au-dessus de chaque tableau. En utilisant l'Exemption CNIL, vous ne devriez voir que des événements comme suit : (mode visiteur : "exempt"; consentement visiteur : false)
Analyse Privacy
Dans Explorer vous pouvez atteindre Audience > Trafic général > Privacy pour retrouver le nombre d'événements considérés comme "opt-out".
Quand le visiteur a un statut "opt-out", ses données sont anonymisées, exclues du trafic général et n'alimentent que cette analyse.
Data Query / Data Flow
Vous pouvez ajouter les propriétés Mode visiteur et Consentement visiteur dans vos jeux de données.
Vous ne pourrez analyser que le mode visiteur défini en "exempt" vu que les événements "opt-out" n'alimentent que l'analyse Privacy.