Chapitre 7.4 — Les exemptions
⏱️ TL;DR — Tout ne nécessite pas un consentement. L’article 82 exempte deux familles de traceurs. D’abord ceux strictement nécessaires au service expressément demandé par l’internaute : panier, authentification, équilibrage de charge, sécurité, mémorisation du choix cookies lui-même, préférence de langue. Ensuite la mesure d’audience — mais seulement si elle est configurée selon les critères CNIL : finalité limitée à l’audience du site, pas de recoupement ni de suivi inter-sites, durée limitée, statistiques anonymisées. Hors de ces cases, retour au consentement. Bonne nouvelle pour un dev : des outils orientés vie privée (analytics sans cookie ou self-hosted) permettent de mesurer sans bandeau.
🎯 Objectifs
- Reconnaître un traceur strictement nécessaire (donc exempté).
- Réunir les critères CNIL d’une mesure d’audience exemptée.
- Distinguer une mesure d’audience exemptée d’une mesure soumise à consentement.
- Choisir des outils orientés vie privée pour mesurer sans consentement.
Famille 1 — Les traceurs strictement nécessaires
Sont exemptés de consentement les traceurs strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur. Le mot qui compte est nécessaire : sans ce traceur, le service ne peut pas fonctionner comme la personne l’a demandé. Ce n’est pas « pratique pour nous », c’est « indispensable pour elle ».
| Traceur exempté | Pourquoi il est strictement nécessaire |
|---|---|
| Session / authentification | Sans lui, l’utilisateur est déconnecté à chaque page ; le service « espace connecté » n’existe pas. |
| Panier d’achat | Retient les articles le temps de la commande — cœur du service demandé. |
| Équilibrage de charge (load balancing) | Répartit les requêtes entre serveurs pour que le service réponde ; purement technique. |
| Sécurité (anti-CSRF, anti-fraude) | Protège la session et la transaction que l’utilisateur a initiées. |
| Mémorisation du choix cookies | Nécessaire pour respecter le refus/accord exprimé : sans lui, on redemanderait sans cesse. |
| Préférence de langue / interface exprimée par l’utilisateur | Applique un choix explicite de la personne pour rendre le service. |
⚠️ Piège — Étirer la notion de « nécessaire » pour y glisser du confort ou du marketing. Un cookie qui améliore l’expérience (recommandations, A/B testing marketing, personnalisation comportementale) n’est pas strictement nécessaire : il sert ton objectif, pas le service demandé. Test simple : « Si je le retire, le service que la personne a explicitement demandé cesse-t-il de fonctionner ? » Si non → consentement.
Famille 2 — La mesure d’audience « exemptée »
La CNIL admet une exemption conditionnelle pour la mesure d’audience : compter les visites, analyser la navigation pour améliorer le site. Mais l’exemption ne vaut que si l’outil est configuré pour rester strictement statistique. Les critères CNIL :
- Finalité limitée : uniquement la mesure d’audience du site (statistiques de fréquentation, détection de problèmes de navigation) — pas de publicité, pas de profilage.
- Pas de recoupement : les données ne sont pas croisées avec d’autres traitements ni partagées avec des tiers.
- Pas de suivi inter-sites : le traceur ne piste pas la personne d’un site à l’autre ; il reste cantonné au seul site.
- Durée de conservation limitée : la durée de vie du traceur et la conservation des données sont restreintes à ce qui est nécessaire à la statistique.
- Résultats anonymisés : les statistiques produites ne réidentifient pas les personnes.
Même exemptée, la mesure d’audience reste soumise au RGPD pour les données personnelles éventuelles : la personne doit être informée (mentions) et pouvoir s’opposer. Exemption ne veut pas dire invisibilité.
📚 Le texte — Ces deux exemptions découlent de l’article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy 2002/58/CE) et de la recommandation CNIL 2020, qui détaille les critères de la mesure d’audience exemptée. La CNIL publie aussi la liste des solutions pouvant être configurées en mode exempté.
Mesurer sans consentement : les outils orientés vie privée
Puisque l’exemption tient à la configuration, autant choisir des outils conçus pour rester dans les clous — voire pour se passer totalement de cookie. Deux familles utiles à un dev :
- Analytics sans cookie : la mesure repose sur des signaux non persistants et des statistiques agrégées, sans écrire dans le terminal. S’il n’y a ni lecture ni écriture de traceur, on sort du champ de l’article 82 : pas de bandeau nécessaire pour cette finalité (le RGPD continue de s’appliquer aux données). Exemple grand public : Plausible.
- Analytics self-hosted, configurable en mode exempté : tu héberges l’outil (données chez toi, pas chez un tiers) et tu actives son mode conforme (anonymisation, pas de partage, durée limitée). Exemple : Matomo, dont un mode respectueux de la vie privée vise l’exemption.
Le choix « analytics sans cookie / self-hosted » a un double avantage : moins de friction (pas de bandeau qui plombe le taux de mesure) et moins de risque (moins de données personnelles, pas de transfert à un géant de la pub).
💡 Réflexe — Par défaut, vise la mesure exemptée (ou sans cookie). Tu obtiens des statistiques fiables sur la quasi-totalité des visiteurs — au lieu d’un échantillon biaisé par ceux qui acceptent le bandeau — et tu allèges ta CMP. La mesure d’audience non exemptée ne se justifie que si tu as un vrai besoin de recoupement, et alors elle passe par le consentement comme le reste.
🔒 Côté personne concernée — Les exemptions sont un équilibre : la personne accepte que le service fonctionne (session, panier, sécurité) et qu’on compte les visites anonymement, sans être pistée ni profilée. C’est exactement ce qu’elle attend : un site qui marche et se mesure sobrement ne la suit pas d’un site à l’autre et ne revend pas son comportement.
🧭 Sur FormaCampus — FormaCampus configure sa mesure d’audience en mode exempté (finalité audience seule, pas de recoupement, pas de suivi inter-sites, durée limitée, stats anonymisées) — ou passe carrément à un analytics sans cookie. Résultat : aucun consentement requis pour compter les visites, donc des chiffres fiables. Restent soumis au consentement : la vidéo YouTube intégrée (traceur tiers) et tout tag publicitaire. Les cookies de session et de choix cookies, eux, sont strictement nécessaires : exemptés d’office.
✏️ Exercices
Exercice 1 — Exempté ou pas ? Pour chacun, dis s’il est exempté de consentement et pourquoi : (a) cookie d’authentification ; (b) cookie de load balancing ; (c) mesure d’audience configurée avec partage des données à une régie publicitaire ; (d) cookie mémorisant le refus exprimé dans le bandeau ; (e) cookie de recommandation de produits fondé sur le comportement.
✅ Solution
(a) Exempté — strictement nécessaire (sans lui, pas d’espace connecté). (b) Exempté — équilibrage de charge, purement technique et nécessaire au fonctionnement. (c) Non exempté — le partage à un tiers (régie) rompt le critère « pas de recoupement / pas de partage » : consentement requis. (d) Exempté — mémoriser le choix cookies est nécessaire pour respecter ce choix. (e) Non exempté — la recommandation comportementale sert le marketing, pas le service strictement demandé : consentement.
Exercice 2 — Rends la mesure exemptée. Ton outil d’analytics est branché en réglages par défaut : suivi inter-sites activé, données partagées avec l’éditeur, conservation longue. Liste les réglages à changer pour viser l’exemption.
✅ Solution
Pour tenir les critères CNIL : (1) limiter la finalité à la seule mesure d’audience du site (couper toute exploitation publicitaire) ; (2) désactiver le suivi inter-sites ; (3) couper le partage des données avec l’éditeur / tout tiers (pas de recoupement) ; (4) réduire la durée de vie du traceur et la conservation des données à ce qui est nécessaire ; (5) s’assurer que les statistiques sont anonymisées. À défaut de pouvoir tout régler, changer d’outil (self-hosted en mode exempté, ou analytics sans cookie). Et informer dans les mentions, même une fois exempté.
Exercice 3 — Sans cookie, sans bandeau ? Un collègue installe un analytics sans cookie et déclare : « Plus besoin de bandeau, ni de rien. » Nuance sa conclusion.
✅ Solution
Sur ePrivacy : exact pour cette finalité — s’il n’y a ni lecture ni écriture de traceur dans le terminal, on sort du champ de l’article 82, donc pas de consentement ni de bandeau pour la mesure. Mais nuance : le RGPD continue de s’appliquer si des données personnelles sont traitées (même une IP) → il faut une base légale, une information dans les mentions et le respect des droits (dont l’opposition). Et le bandeau reste nécessaire pour les autres traceurs du site (vidéo tierce, pub). « Sans cookie » supprime un sujet, pas tous.
🧠 Quiz de révision
1. Quel est le test d’un traceur « strictement nécessaire » ?
« Si je le retire, le service expressément demandé par la personne cesse-t-il de fonctionner ? » Si oui → strictement nécessaire, exempté (session, panier, authentification, équilibrage de charge, sécurité, mémorisation du choix cookies). Si non (confort, marketing) → consentement.
2. Cite trois exemples de traceurs exemptés au titre du « strictement nécessaire ».
Par exemple : authentification / session, panier d’achat, équilibrage de charge, cookie de sécurité (anti-CSRF), mémorisation du choix cookies, préférence de langue exprimée par l’utilisateur.
3. À quelles conditions une mesure d’audience est-elle exemptée ?
Si elle est configurée selon les critères CNIL : finalité limitée à l’audience du seul site, pas de recoupement ni de partage à un tiers, pas de suivi inter-sites, durée limitée, résultats anonymisés. Sinon → consentement.
4. Une mesure d’audience exemptée dispense-t-elle de toute obligation ?
Non. Elle dispense du consentement (ePrivacy), mais le RGPD s’applique toujours aux données personnelles : information dans les mentions et droit d’opposition notamment. Exemption n’est pas invisibilité.
5. Pourquoi préférer un analytics sans cookie ou self-hosted en mode exempté ?
Moins de friction (pas de bandeau pour la mesure, donc des statistiques fiables sur presque tous les visiteurs) et moins de risque (moins de données personnelles, pas de partage à un tiers). Un analytics sans cookie sort même du champ de l’article 82 pour cette finalité.
Chapitre suivant : L’avenir des cookies & atelier — la proposition « Digital Omnibus » qui rapproche les cookies du RGPD, ce qui est en vigueur aujourd’hui vs demain, puis l’atelier : concevoir le bandeau de FormaCampus.