L'exemption de consentement

Mis à jour : lundi 22 janvier 2024

Qu’est-ce que le consentement ?

Le consentement de la personne est une des 6 bases légales qui autorise un traitement de données à caractère personnel.

Selon le RGPD, le consentement doit respecter 4 critères pour être considéré comme valide :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives (exemple : obligation de s’abonner) en cas de refus.
Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité donnée. Les catégories de cookies ou de services correspondent à plusieurs traitements, je préfère l’approche par vendor qui donne plus de clarté.
Éclairé : le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Lorsque vous donnez votre consentement, vous autorisez le site web à collecter et traiter des données à caractère personnel vous concernant.

Qu’est-ce que l’exemption de consentement ?

L’exemption de consentement permet de collecter des données sans demander préalablement le consentement de la personne.

Pour être exemptée de consentement, la collecte doit :

avoir une finalité strictement limitée à la seule mesure d’audience du site (mesure des performances, détection des problèmes de navigation, optimisation des performances techniques, analyse des contenus consultés)
servir à produire des données statistiques anonymes uniquement

La collecte ne peut pas être exemptée de consentement si elle :

conduit à un recoupement de données avec d’autres traitements
implique la transmission des données à des tiers
permet le suivi global de la navigation de la personne à travers plusieurs sites web (par l’intermédiaire des cookies tiers)

En résumé, l’exemption de consentement peut être mise en place pour des données qui sont considérées comme strictement nécessaires.

Quelles sont les données de mesure d’audience qui sont considérées strictement nécessaires par la CNIL ?

la mesure de l’audience, page par page
les sources de trafic, les pages internes et les liens externes
le périphérique, le navigateur et la taille de l’écran
le temps de chargement des pages
le temps passé par page, le taux de rebond, la profondeur de défilement
la zone géographique

Quels outils sont exemptés de consentement par la CNIL ?

La liste complète des outils est disponible sur le site de la CNIL accompagné d’un guide de configuration pour chaque outil afin que la collecte comprennent uniquement les données strictement nécessaires.

Parmi les outils que j’utilise, voici ceux qui peuvent être configurés pour être exempté de consentement :

Matomo Analytics (Guide de configuration)
Piano Analytics (Guide de configuration)

Google Analytics 4 ne peut pas être configuré pour être exempté de consentement. Il n'est donc pas listé sur le site de la CNIL.

Quel est l’impact sur vos données ?

Lorsque vous utilisez un outil qui ne peut pas être configuré pour être exempté de consentement, vous devez demander le consentement avant de commencer à collecter des données. Ceci veut donc dire que vous perdez les données des personnes qui n’ont pas donné leur consentement.

Vous devrez donc identifier des tendances uniquement à partir des données issues des personnes qui ont donné leur consentement.

Si vous utilisez une solution hybride, vous aurez accès à des données sur l’ensemble de vos visiteurs. Pour ceux qui n’ont pas donné leur consentement, vous aurez uniquement accès aux données strictement nécessaires. Pour ceux qui ont donné leur consentement, vous aurez des données plus riches.