Mettre en place une solution d'audience exemptée par la CNIL ne suffit pas, encore faut-il respecter quelques règles.

Première publication le 29 novembre 2022

En octobre 2020, la CNIL a publié ses lignes directrices et recommandations vis-à-vis des cookies et traceurs, en application de l’article 82 de la loi "informatique et libertés". Six mois plus tard, elle a proposé une campagne d’évaluation pour proposer à des solutions de mesure d’audience d'être exemptées de recueil du consentement préalable de l’utilisateur, au regard de ces lignes. Plusieurs organismes ont ainsi déposé une candidature pour bénéficier du sésame. Après analyse des dossiers, l'APD Française a publié en septembre 2021 (dernière mise à jour) une liste de solutions analytiques exemptées de consentement sous certaines conditions.

 

Il existe donc, sur de nombreux sites en France, des solutions de mesure d'audience opérantes sans votre consentement. Comme expliqué précédemment, ces solutions sont censées respecter des critères stricts de conformité édictés par la CNIL. De prime abord, la simple mise en place sur un site d'une solution appartenant à la liste évoquée semblerait à priori suffire, et c'est ce que beaucoup de personnes pensent ou pourraient penser. Mais la réalité est beaucoup moins simple.

C'est cette réalité que nous allons tenter de décrire, sous plusieurs aspects.

- L'aspect adminstratif,
- L'aspect "technique",
- L'aspect juridique.

Il apparaît que deux solutions analytiques sont largement utilisées par les sites les plus visités en France : Analytics Suite Delta, d'AT Internet (ou devrions-nous dire Piano, mais nous y reviendrons), et dans une moindre mesure Matomo Analytics, de la société éponyme. Nous nous attarderons sur ces deux solutions, et notamment Analytics Suite Delta, qu'on appelera ASD pour plus de simplicité par la suite. Soyons clairs : il ne s'agit pas de réaliser un comparatif de quelqu'ordre que ce soit, et de défendre "telle solution plutôt que telle autre" mais bien de soulever les difficultés liées aux exemptions accordées.

L'aspect administratif

Ou comment d'emblée devenir circonspect. Car en effet, pour réaliser ses évaluations, la CNIL s'est "contentée" d'analyser les dossiers présentés, sans audit technique de la solution en elle-même. Elle le précise du reste de façon transparente :

source :sur le site de la CNIL ici

 

On comprendra que l'aval donné par la CNIL reste un accord de principe non techniquement vérifié, quels qu'exhaustifs et précis qu'aient été les éléments transmis par les organismes candidats. En revanche, il faut reconnaître que dans les faits, les solutions mises en place, lorsqu'elles sont correctement configurées, répondent effectivement aux normes demandés. Ainsi, pour chaque solution, une configuration spécifique doit être appliquée, et un guide est fourni en ce sens. Il est important de comprendre que la conformité souhaitée repose sur l'application de ce guide de configuration. Ainsi, mettre en place le script ou les balises proposées par les organismes n'est en rien suffisant : pour répondre aux demandes de la CNIL, l'éditeur se doit, dans tous les cas, de configurer correctement sa solution, et c'est ici que l'on peut observer, çà et là, quelques difficultés, via divers aspects techniques.

L'aspect technique

Pour bénéficer de l'exemption, les solutions doivent respecter les principes suivants :

 

- finalité strictement limitée à la seule mesure de l’audience du site,
- données statistiques anonymes uniquement,
- information des utilisateurs de la mise en œuvre des traceurs,
- limitation de la durée de vie des traceurs,
- limitation de durée de conservations des données collectées par les traceurs,
- indépendance des données collectées par site uniquement,
- indépendance des traceurs les uns vis-à-vis des autres..

 

L'interprétation technique recommandée par la CNIL devient donc la suivante (Les items cités ci-après correspondent aux mesures demandées par la CNIL dans son formulaire de candidature à l'exemption de consentement) :

 

- Désactivation de tout traitement des données pour le compte de l'éditeur indépendamment de la finalité poursuivie.
- Désactivation de toute création de cohorte d’utilisateurs pour présenter des contenus différenciés, que l’appartenance à une telle cohorte soit définie de manière aléatoire ou bien en fonction des informations précédemment collectées.
- Limitation de la collecte d’information de localisation à l’échelle des villes, puis pseudonymisation au dernier octet des adresses IP.
- Désactivation de toute fonction d’import de données externes.
- Désactivation des exports de données contenant des identifiants uniques ou des données non agrégées (les export agrégés et anonymes restent possibles).
- Limitation du dépôt de traceur à un domaine ou une application mobile, ou bien un ensemble de domaines clairement identifié par l’utilisateur comme lié au même site web.
- Désactivation de la capacité à visualiser la navigation d’un utilisateur unique dans l’outil : accès uniquement à des rapports comportant des statistiques agrégées.
- Désactivation de tout marquage permettant de récupérer des informations personnelles (par exemple par le biais de formulaires).
- Existence dans l’outil d’une fonctionnalité d’opposition aux cookies de mesure d’audience, utilisable sur tous les navigateurs, qui peut restreindre la collecte de données aux seules données anonymes correspondant à la liste des pages visitées par les utilisateurs sans usage de traceurs permettant d’individualiser les parcours de navigation.

 

Les solutions validées par la CNIL donnent bien évidemment les moyens de répondre à tous ces items, qui, il faut le dire, sont clairement de nature à satisfaire la vie privée des utilisateurs tout en permettant aux éditeurs de mesurer et d'analyser de façon indifférenciée leur audience. On peut honnêtement considérer que, lorsque tous les critères sont staiisfaits, un compromis honnête est posé entre vie privée de l'Internaute et besoins des organismes, et on peut comprendre la démarche de la CNIL, qui souhaite élaborer une mesure constructive pour chacun.

 

Mais la véritable question est : ces critères sont-ils, dans les faits, correctement mis en oeuvre par l'éditeur du site ?

En théorie, l'éditeur ne peut pas faire ce qu'il veut : il est contractuellement lié au fournisseur de solution par ce que l'on appelle un DPA : un "Data Processing Agreement".

 

La question peut donc être reformulée comme suit : ce contrat est-il respecté ?

 

La réponse : pas totalement. Et plus gênant encore : l'utilisateur (que nous sommes, donc) n'a que peu de moyens de vérifier le respect du contrat. On pourrait penser que la CNIL audite à l'aveugle et à bas bruit les solutions mises en place afin de s'assurer de leur conformité, mais on est très sérieusement en droit d'en douter au regard du temps et des moyens dont elle dispose. Et, sur certains points (minimes, mais témoignant d'absence d'audit, hélàs), on peut relever le non respect du DPA.

 

Abordons le troisième item de la liste : l'anonymisation de l'adresse IP. Elle n'est pas vérifiable par l'utilisateur. Dans le cas d'ASD, c'est l'éditeur qui doit faire la démarche de la demander au support ASD, ainsi que l'explique le lien fourni dans le guide de configuration.

source : sur le site support de Piano ici

 

Les premières questions techniques se posent naturellement : At Internet audite-t-elle ses clients sur le respect de son DPA, en particulier sur ce sujet précis ? Peu vraisemblable. Et quand bien même, à quelle étape exacte l'anonymisation se réalise-elle ? On comprend que l'éditeur lui-même n'y aura pas accès, mais qu'en est-il d'AT Internet? Aucune précision n'est donnée sur le sujet. Or cette question est fondamentale, notamment pour le cas spécifique d'ASD rachetée par Piano, entreprise américaine. Nous y reviendrons en fin de chapitre.

 

Pour Matomo, cela est un peu différent : la configuration par défaut anonymise d'entrée les adresses IP. Il n'empêche : c'est à l'éditeur de bien s'en assurer. L'utilisateur a-t-il les moyens de la vérifier ? Non. La CNIL procède-t-elle à des audits aléatoires ? Probablement pas.

 

Seule garantie viable à laquelle l'utilisateur est totalement contraint de faire confiance : le respect du DPA. Cependant, sur un point particulier pour ce qui concerne ASD, ce respect du contrat, il nous est possible de le vérifier : il s'agit du dernier item technique demandé par la CNIL : l' "existence dans l’outil d’une fonctionnalité d’opposition aux cookies de mesure d’audience, utilisable sur tous les navigateurs". Ce point est appelé 'opt-out". Car attention : le fait de cliquer sur "tout refuser" dans la bannière de consentement aux cookies n'empêche en rien la poursuite de l'utilisation de la solution exemptée dans le cas d'ASD. Cet opt out que nous venons d'évoquer, l'utilisateur se doit de l'exprimer de façon spécifique.

 

Nous avons donc vérifié la présence d'un opt out sur le même panel que que celui étudié dans notre article sur Google Analytics, qui représente grossièrement les sites les plus visités / utilisés en France.

 

Les détails techniques de vérification sont annexés en toute fin d'article pour de ne pas gêner la lecture et le fil global. Toutefois, pour ceux que cela intéresse, il vous est possible de s'y plonger dès à présent ici. Voici donc ci-dessous un tableau récapitulant les sites qui utilisent ASD d'AT Internet et qui respectent ce point, ainsi que ceux qui ne le respectent pas :

Vous pouvez télécharger ce tableauici

 

Sur l'ensemble, on constate l'absence de mise en place d'opt out pour presque deux tiers d'entre eux, item pourtant contractualisé. Difficile dans ces conditions de faire confiance à l'éditeur... Ceci d'autant plus que si l'utilisateur accepte les cookies, la solution ASD se comporte alors comme un outil analytique "standard", car, comme on peut s'en douter, il existe bien évidemment une option "opt in", qui elle, en revanche, est étrangement toujours parfaitement configurée par l'éditeur, à une exception près sur notre panel. Et cet "opt-in" se réalise, lui, dès que l'utilisateur clique sur "tout accepter" dans la banière de consentement. Il n'est, dans cet exemple précis, clairement pas "aussi simple de refuser que d'accepter le dépôt de traceurs", principe pourtant posé comme fondamental dans les lignes directrices de la CNIL citées en début d'article.
Il convient cependant de relativiser le propos, car l'observation faite ci-dessus s'attache plus au respect d'une conformité stricte que sur de sérieux préjudices en termes de données qu'on ne peut considérer comme personnelles au regard de leur anonymisation et de leur absence de traitement individualisé. Mais si ces aspects techniques peuvent légitimement être considérés comme accessoires, d'autres le sont moins.

 

L'aspect juridique

Schrems II as usual

En Mars 2021, la société américaine Piano a racheté le français AT Internet. On renvoie le lecteur à la toute première partie de notre article sur l'utilisation de Google analytics pour en comprendre la problématique.

Mais étrangement, l'examen du calendrier d'exemption pourrait poser question. On en résume les dates principales :

- 16 juillet 2020 : arrêt Schrems II
- Mars 2021 : acquisition d'AT Internet par Piano
- 30 mars 2021 : dépôt du dossier ATI à la CNIL
- 28 Septembre 2021 : validation et publication de la liste des solutions exemptées, dont celle d'AT Internet.

La CNIL a donc validé l'exemption d'ASD (et donc implicitement son utilisation) plusieurs mois APRES Schrems II, ce qui pourrait paraître troublant. Pourquoi ? Tout simplement parce qu'elle n'a pas pris en compte les problèmes de transferts internationnaux à l'occasion de l'examen des dossiers, ainsi qu'elle le précise.

source : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

 

Le doute sur la validité juridique d'ASD sur des sites français et / ou européens est donc aujourd'hui plus que permis. En effet, force est de constater qu'AT Internet et Piano fusionnent leurs solutions. Vous souhaitez lire les guidelines d'exemption d'ASD, solution d'AT Internet ? Rendez-vous sur le site de Piano ! Le script chargé autrefois par le "Content Delivery Network" d'ATI s'appelait "smarttag.js" (il reste encore très utilisé aujourd'hui). Un éditeur qui souhaite aujourd'hui installer ASD va trouver dans le CDN d'ATI un script nommé... piano-analytics.js, hébergé chez AWS (et qui du reste, il faut le reconnaître, est plus conforme d'un point de vue RGPD, car piano propose, lui, l'opt out dès la bannière de consentement aux cookies). Certes, dans un contexte d'exemption, on a affaire à des données non exportées, agrégées, non granularisables et anonymisées (et encore, dernier octet uniquement pour ASD). Mais ne peut-on raisonnablement considérer que la version exemptée demeure un cheval de Troie qui permet, une fois que l'utilisateur clique sur "tout accepter", un tout autre traitement des données personnelles, pouvant potentiellement tomber cette fois-ci sous le coup de FISA, EO 12333 et Cloud Act ? Cette vision ne nous semble pas si extravagante.

En conclusion

Utiliser une solution de mesure d'audience exemptée par la CNIL ne constitue qu'en peu de chose une véritable sécurité en termes de protection des données personnelles. Bien que les fournisseurs de solution présentent, il faut le dire, des mesures techniques adéquates, la réalité de la conformité ne dépend pas seulement de la volonté du fournisseur mais surtout de celle de l'éditeur. L'utilisateur ne peut avoir, en l'état actuel des choses, de réelle garantie sur une configuration correcte de la solution.
Les mesures d'exemption sont très certainement nées d'une volonté louable de recherche de compromis entre besoin des éditeurs et respect des utilisateurs. Mais en définitive, ces solutions contiennent en leur coeur un potentiel tout aussi intrusif que d'autres, non exemptées. Des audits stricts et continus pourraient être de nature à pallier ces difficultés, mais leur mise en place demanderait bien des ressources dont nous ne disposons pas. Aussi partiale que puisse être cette vision, ce principe d'exemption de consentement ne semble guère servir l'Internaute, et sa suppression paraît souhaitable à moyen terme.

Dignilog.

 

Annexe sur At Internet

Analytics Suite Delta (ASD), dépose au chargement de la première page deux cookies. Le premier, nommé "atauthority", contient deux variables : une variable "autorité" et un mode. Ces variables sont les suivantes : "CNIL", et "exempt". Ce mode permet de respecter les critères de conformité (limitation de collecte, de durée de conservation, d'import et export de données, etc.). Le second est un identifiant unique nommé "atuserid". il est important de relever que, quel que soit le choix de l'utilisateur et le site visité, le second cookie ne prend jamais la même valeur ( ce qui est plutôt rassurant en termes de suivi de navigation).

Si l'utilisateur décide de refuser les cookies, le mode "exempt" est CONSERVE.

Si l'utilisateur accepte les cookies, le cookie "atauthority" prend d'emblée la valeur "opt in", et la solution se comporte alors comme une solution analytique standard. Pour que l'utilisateur puisse se déclarer en opt out, il doit se rendre sur la page de politique de confidentialité ou d'information sur les cookies, où un opt out spécifique doit contractuellement apparaître.

Seulement un tiers des sites le pratiquent, vous pouvez trouver sur le tableau édité plus haut, le nom de la page sur lequel l'opt out est possible et effectif. On comprendra qu'il faut, à tout le moins, une volonté de fer pour qu'un utilisateur obtienne un opt out effectif pour analytics Suite Delta !

Pour ce qui concerne la solution Matomo, celle-ci est en revanche configurée par défaut en respectant l'ensemble des items demandés par la CNIL. Ceci étant dit attention : Matomo est en capacité de réaliser une mesure analytique approfondie et individuelle en cas d'acceptation des cookies par l'utilisateur (suivi de navigation, heatmaps, mesure de performance de campagnes, etc.), tout autant que d'autres solutions non exemptées.

©Dignilog 2023, tous droits réservés
A propos Politique de confidentialité
Contact : contact@dignilog.com
twitter : @Dignilog1 mastodon : @Dignilog@pouet.chapril.org
 

Pascal VAUTRIN

Lien :?