Exemption CNIL

Wysistat est un outil de mesure d’audience exempté de consentement par la CNIL. Concrètement, cela veut dire que vous n’êtes pas obligé de demander à l’internaute son accord afin d’être comptabilisé. En effet, la CNIL en transcrivant le RGPD a considéré que la mesure d’audience (et uniquement dans ce cadre d’utilisation) était strictement nécessaire à la bonne administration du site.

Durée de conservation des données

La durée de conservation des données est très importante :
Cookie : 13 mois, non renouvelable
Données brutes : 3 mois de sauvegarde
Données analysées : la durée du contrat + 1 mois

Utilisation des données

Wysistat ne fait que de la mesure d’audience (pas de revente de données, pas de publicités) et ne donne à ses clients que les données analysées (pas les données brutes) sur le jour.

Données collectées

Wysistat ne restitue pas de données personnelles. L’adresse IP est anonymisée, la situation géographique est limitée au département et aucune autre donnée personnelle n’est analysée. Nous n’utilisons pas non plus de fingerprinting.

Transparence pour l’internaute

L’internaute peut, à tout moment, décider de ne plus être comptabilisé par Wysistat. Il est informé précisément des données qui sont collectées, de leur usage et de leur durée de conservation. Ces données ne sont pas transmisses à des tiers.

Dans quel cas un outil de mesure d’audience est exempté de consentement ?

La CNIL a ouvert une procédure d’exemption du recueil du consentement pour les outils de mesure d’audience. Certains outils ont alors déposé un dossier, justifié un certain nombre de paramètres techniques, été audités et ont été exemptés. Ces outils sont listés ici (attention, il n’y a pas que des outils de mesure d’audience, des outils de gestion marketing se sont glissés dans cette brèche).

Pour être exempté, quels éléments techniques un outil doit respecter ?

– Proposer un outil qui ne fasse que de la mesure d’audience pour son client (pas de panel ni de transmission de données à des tiers)

– Ne jamais transmettre une donnée brute à son propre client : en effet, la CNIL impose que les données soient « agrégées », c’est-à-dire qu’elle soit cumulée. Par exemple, un outil exempté n’a pas le droit de fournir l’IP (même anonymisé), l’URL consulté et la provenance. C’est pourtant ce que fait Matomo, qui n’est pas nativement exempté de consentement (il faut un paramétrage spécifique pour qu’il le soit)

– Ne pas conserver les données BRUT au-delà de 6 mois.

– Poser un cookie dont la date de validité est de maximum 13 mois et dont renouvellement automatique de la date de validité (ce dernier point n’est respecté par quasiment aucun outil de mesure d’audience et surtout pas Google Analytics).

– Que le site informe sur l’outil de mesure d’audience utilisé et qu’il permette à l’internaute de ne pas être comptabilisé.

Wysistat est-il exempté de consentement ?

Non seulement Wysistat est exempté de consentement, mais il l’est à 100%, nativement, sans paramétrage spécifique (ni du client, ni du compte).Concrètement, cela veut dire que si vous utilisez Wysistat et que c’est le seul outil qui dépose un cookie, alors vous pouvez vous passer du consentement de l’internaute.

Si vous utilisez Google Analytics, non seulement vous avez l’obligation de demander le consentement de l’internaute, mais s’il refuse Google Analytics n’a pas le droit de compter la visite, ni de déposer un cookie. Le consent Mode V2 n’y change rien (voir une description du consent mode v2).

C’est quoi l’exemption de consentement ?

L’exemption de consentement est une règle définie par la Commission Nationale de l’Informatique et des Libertés (CNIL) qui permet, sous certaines conditions, de mesurer l’audience d’un site web sans avoir à obtenir le consentement préalable des visiteurs pour le dépôt de cookies ou autres traceurs.
Cette exemption est particulièrement intéressante pour les outils de mesure d’audience respectueux de la vie privée, car elle permet de collecter des données essentielles sans impacter l’expérience utilisateur ni la conformité au Règlement Général sur la Protection des Données (RGPD).