Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

NOR : CNIL2026187X
JORF n°0240 du 2 octobre 2020
Texte n° 85

Version initiale

Article 5


Sur les traceurs exemptés de consentement.
Pour rappel, l'exigence de consentement ne s'applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse des utilisateurs.
Les traceurs ne sortent du champ d'application de l'exigence de consentement que s'ils sont utilisés exclusivement pour une ou plusieurs finalités qui peuvent se rattacher aux exceptions prévues par l'article 82 de la loi « Informatique et Libertés ».
La Commission précise, à cet égard, que l'utilisation d'un même traceur pour plusieurs finalités, dont certaines n'entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices. A titre d'exemple, dans le cas d'un service offert via une plate-forme nécessitant l'authentification des usagers (« univers logué »), l'éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si ces derniers ont effectivement consenti préalablement à cette finalité spécifique.
Traceurs exemptés du recueil du consentement
En l'état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés :


- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l'authentification auprès d'un service, y compris ceux visant à assurer la sécurité du mécanisme d'authentification, par exemple en limitant les tentatives d'accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d'un panier d'achat sur un site marchand ou à facturer à l'utilisateur le ou les produits et/ou services achetés ;
- les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d'un service), lorsqu'une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d'audience, sous les réserves mentionnées ci-après.


Cas spécifique des traceurs de mesure d'audience
La gestion d'un site web ou d'une application requiert presque systématiquement l'utilisation de statistiques de fréquentation et/ou de performance. Ces mesures sont dans de nombreux cas indispensables au bon fonctionnement du site ou de l'application et donc à la fourniture du service. En conséquence, la Commission considère que les traceurs dont la finalité se limite à la mesure de l'audience du site ou de l'application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l'ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d'administration courante d'un site web ou d'une application et ne sont donc pas soumis, en application de l'article 82 de la loi « Informatique et Libertés », à l'obligation légale de recueil préalable du consentement de l'internaute.
Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la Commission souligne que ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l'audience sur le site ou l'application pour le compte exclusif de l'éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. De même, ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d'autres traitements ni transmises à des tiers, ces différentes opérations n'étant pas non plus nécessaires au fonctionnement du service.
Plus généralement, la Commission rappelle que les traitements de mesure d'audience sont des traitements de données à caractère personnel qui sont soumis à l'ensemble des dispositions pertinentes du RGPD.

Retourner en haut de la page