Tous les cookies ne sont pas cuits de la même manière
Qui dit réglementation dit aussi exception à la règle. Par exemple, certains traceurs, tels que ceux nécessaires à la fourniture du service, sont exemptés de consentement. Il s'agit généralement des cookies obligatoires que l'on doit accepter ou qui sont automatiquement acceptés lors de l'accès à un site web. D’autres exceptions s’appliquent dans le cas des “traceurs destinés à garder en mémoire le contenu d’un panier d’achat [...], à l’authentification auprès d’un service [...], à la personnalisation de l’interface (ex. choix de langue), etc...
Outre les traceurs essentiels autorisés, l'utilisation de certaines solutions de mesure d'audience provenant d'outils tels que Piano Analytics (At Internet), Matomo ou CS Digital par exemple font aussi exception à la règle. Ces outils ont été évalués et approuvés par la CNIL afin permettre le suivi de l'audience dans le cadre d'un paramétrage spécifique.
Prenons l'exemple de Matomo. Dans la version 4 de l’outil, il est possible de mettre en place un mode de collecte de données exempté au consentement à condition du respect des 4 règles suivantes :
- les données analytiques sont dépourvues d'informations personnelles,
- elles servent exclusivement à des fins analytiques,
- elles ne sont pas partagées ou reliées à des données provenant d’autres sites web ;
- la politique de confidentialité fournit des informations claires sur la collecte des données.
La configuration nécessaire pour se conformer à ses règles peut être facilement réalisée dans le paramétrage de l’outil analytique de son choix, à condition qu’il fasse partie de la liste des solutions autorisée par la CNIL. La liste de solutions, ainsi que leur guide de mise en place en mode exempté, peuvent être consultée à l’adresse suivante : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience
4 étapes à suivre dans la quête vers la conformité :
Assurer la conformité avec la réglementation de la RGPD implique plusieurs étapes clés :
1- Répertorier le traitement des données : tenir un registre complet de toutes les activités de traitement des données est essentiel afin d’assurer que vous êtes à jour avec la réglementation. Ce registre doit comprendre des informations sur l'objectif du traitement des données, les catégories de données concernées, l'accès aux données, les périodes de conservation des données, les mesures de sécurité et tout transfert international de données.
Pour assurer cet enregistrement il est recommandé de nommer ou faire appel à un DPO (Délégué à la Protection des Données), qui vous accompagnera et conseillera dans les démarches à suivre.
2- Évaluation et minimisation des données : Chaque entrée du registre doit être soigneusement examinée pour s'assurer que les données traitées sont pertinentes et nécessaires à l'objectif visé. Il s'agit par exemple de ne collecter que les données essentielles et de veiller à ce que les données ne soient pas conservées au-delà de la durée requise.
3- Respecter les droits des personnes concernées : Informez les personnes dont vous traitez les données de leurs droits de manière transparente. Il s'agit notamment d'être transparent sur l'objectif de la collecte des données, de préciser la base juridique du traitement et de détailler l'accès aux données, leur conservation ou éventuels transferts hors l’UE et la procédure permettant aux personnes d'exercer leurs droits.
4- Sécurité des données : Mettre en œuvre des mesures techniques et organisationnelles pour protéger les données. En fonction de la sensibilité des données, adoptez des mesures de sécurité spécifiques pour lutter contre les accès non autorisés, les modifications non souhaitées ou la perte de données. Les violations de données constituent un risque réel, et une sécurité appropriée est essentielle afin de prévenir les dommages aux personnes.
En suivant ces étapes, vous serez en conformité avec le RGPD, vous respecterez donc les droits des individus à la vie privée et à la protection des données, et vous éliminerez le risque d’amende.
L'étude a été menée sur 551 sites web d'entreprises exerçant leur activité dans les 7 secteurs suivants : Beauté, Mode & Luxe, Automobile & Mobilité, Retail & E-commerce, Santé & Pharmaceutique, Moyenne, Banque & Assurance, Tourisme & Loisirs.