Pourquoi Wysistat est exempté de consentement nativement ?

En 2021, la CNIL a mis en œuvre une procédure pour les outils de mesure d’audience afin d’être exempté de consentement. Cette procédure faisait suite à l’application dans le droit français du Règlement Général de Protection des données (RGPD ou GDPR en anglais).

Ce dossier impose donc aux outils de mesure d’audience exemptée un certain nombre de règles pour mesurer, stoker et transmettre les données des internautes n’ayant pas accepté explicitement la dépose de cookie. Les outils de WebAnalytics ont alors eu deux solutions :

• Distinguer le consentement : il s’agit de faire une distinction au niveau du stockage des données quand l’internaute a accepté ou non la dépose d’un cookie
• Afficher toujours la même donnée : il s’agit alors de respecter les règles de la CNIL dans les deux cas de figure et de stocker exactement les mêmes données.

Le gros avantage de la deuxième solution, c’est que le marqueur tag peut alors être appelé avant le dépôt du CMP (Consent Manager Platform), l’inconvénient est que les données recueillies sont limitées.

Les metrics autorisées pour une mesure d’audience exemptée

La CNIL considère que certains metrics sont nécessaires à la bonne administration du site, et donc sont acceptés:

• la mesure de l’audience, page par page et agrégée (généralement de manière horaire ou à une moindre fréquence) ;
• la liste des pages à partir desquelles un lien a été suivi pour demander la page courante (parfois nommé « referrer ») que ce soit interne ou externe au site, par page et agrégée de manière journalière ;
• les types de terminal, navigateur et taille d’écran des visiteurs, par page et agrégé de manière journalière ;
• des statistiques de temps de chargement des pages, par page et agrégée de manière horaire ;
• des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégée de manière journalière ;
• des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégée de manière journalière ;
• des statistiques sur la zone géographique d’origine des requêtes, par page et agrégée de manière journalière.

Les conditions techniques pour une mesure d’audience exemptée

• Les données ne doivent être utilisées qu’à des fins de mesure d’audience
• Les données ne peuvent être transmises (même gratuitement) à des tiers (exception faite de l’ACPM dans le cadre uniquement d’une mesure d’audience certifiée)
• Le cookie utilisé doit avoir une validité de 13 mois et dont la date d’expiration ne se remet pas à jour automatiquement par rapport à la date de dernière visite
• Non-stockage (ou pour une durée limitée) de l’adresse IP complète
• Les données sont rattachées qu’à un nom de domaine, les traitements cross-site sont interdits
• Permettre, malgré tout ces éléments, à l’internaute de ne pas être comptabilité et informer l’internaute de ses droits
• Ne pas transmettre par le marqueur (tag event) un identifiant unique permettant l’identification de l’internaute

Wysistat respectait déjà avant quasiment toutes ces règles, de sorte qu’il a été très facile et très rapide à notre équipe de s’adapter et de publier une mise à jour.

A ce jour, Wysistat est donc un outil 100% exempté de consentement, respectueux de vos données et éco-conçu.