L'exemption de consentement

Écrit par :  Photo de profil de Lucas Rollin Lucas Rollin

Mis à jour : lundi 22 janvier 2024

 

Qu’est-ce que le consentement ?

Le consentement de la personne est une des 6 bases légales qui autorise un traitement de données à caractère personnel.

Selon le RGPD, le consentement doit respecter 4 critères pour être considéré comme valide :

  1. Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives (exemple : obligation de s’abonner) en cas de refus.

  2. Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité donnée. Les catégories de cookies ou de services correspondent à plusieurs traitements, je préfère l’approche par vendor qui donne plus de clarté.

  3. Éclairé : le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

  4. Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Qu’est-ce que l’exemption de consentement ?

L’exemption de consentement permet de collecter des données sans demander préalablement le consentement de la personne.

Pour être exemptée de consentement, la collecte doit :

  • avoir une finalité strictement limitée à la seule mesure d’audience du site (mesure des performances, détection des problèmes de navigation, optimisation des performances techniques, analyse des contenus consultés)
  • servir à produire des données statistiques anonymes uniquement

La collecte ne peut pas être exemptée de consentement si elle :

  • conduit à un recoupement de données avec d’autres traitements
  • implique la transmission des données à des tiers
  • permet le suivi global de la navigation de la personne à travers plusieurs sites web (par l’intermédiaire des cookies tiers)

En résumé, l’exemption de consentement peut être mise en place pour des données qui sont considérées comme strictement nécessaires.

Quelles sont les données de mesure d’audience qui sont considérées strictement nécessaires par la CNIL ?

  • la mesure de l’audience, page par page
  • les sources de trafic, les pages internes et les liens externes
  • le périphérique, le navigateur et la taille de l’écran
  • le temps de chargement des pages
  • le temps passé par page, le taux de rebond, la profondeur de défilement
  • la zone géographique

Quels outils sont exemptés de consentement par la CNIL ?

La liste complète des outils est disponible sur le site de la CNIL accompagné d’un guide de configuration pour chaque outil afin que la collecte comprennent uniquement les données strictement nécessaires.

Parmi les outils que j’utilise, voici ceux qui peuvent être configurés pour être exempté de consentement :

Quel est l’impact sur vos données ?

Lorsque vous utilisez un outil qui ne peut pas être configuré pour être exempté de consentement, vous devez demander le consentement avant de commencer à collecter des données. Ceci veut donc dire que vous perdez les données des personnes qui n’ont pas donné leur consentement.

Vous devrez donc identifier des tendances uniquement à partir des données issues des personnes qui ont donné leur consentement.

Si vous utilisez une solution hybride, vous aurez accès à des données sur l’ensemble de vos visiteurs. Pour ceux qui n’ont pas donné leur consentement, vous aurez uniquement accès aux données strictement nécessaires. Pour ceux qui ont donné leur consentement, vous aurez des données plus riches.

Aller plus loin