Skip to Content

Chapitre 7.4 — Les exemptions

⏱️ TL;DR — Tout ne nécessite pas un consentement. L’article 82 exempte deux familles de traceurs. D’abord ceux strictement nécessaires au service expressément demandé par l’internaute : panier, authentification, équilibrage de charge, sécurité, mémorisation du choix cookies lui-même, préférence de langue. Ensuite la mesure d’audience — mais seulement si elle est configurée selon les critères CNIL : finalité limitée à l’audience du site, pas de recoupement ni de suivi inter-sites, durée limitée, statistiques anonymisées. Hors de ces cases, retour au consentement. Bonne nouvelle pour un dev : des outils orientés vie privée (analytics sans cookie ou self-hosted) permettent de mesurer sans bandeau.

🎯 Objectifs

  • Reconnaître un traceur strictement nécessaire (donc exempté).
  • Réunir les critères CNIL d’une mesure d’audience exemptée.
  • Distinguer une mesure d’audience exemptée d’une mesure soumise à consentement.
  • Choisir des outils orientés vie privée pour mesurer sans consentement.

Famille 1 — Les traceurs strictement nécessaires

Sont exemptés de consentement les traceurs strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur. Le mot qui compte est nécessaire : sans ce traceur, le service ne peut pas fonctionner comme la personne l’a demandé. Ce n’est pas « pratique pour nous », c’est « indispensable pour elle ».

Traceur exemptéPourquoi il est strictement nécessaire
Session / authentificationSans lui, l’utilisateur est déconnecté à chaque page ; le service « espace connecté » n’existe pas.
Panier d’achatRetient les articles le temps de la commande — cœur du service demandé.
Équilibrage de charge (load balancing)Répartit les requêtes entre serveurs pour que le service réponde ; purement technique.
Sécurité (anti-CSRF, anti-fraude)Protège la session et la transaction que l’utilisateur a initiées.
Mémorisation du choix cookiesNécessaire pour respecter le refus/accord exprimé : sans lui, on redemanderait sans cesse.
Préférence de langue / interface exprimée par l’utilisateurApplique un choix explicite de la personne pour rendre le service.

⚠️ Piège — Étirer la notion de « nécessaire » pour y glisser du confort ou du marketing. Un cookie qui améliore l’expérience (recommandations, A/B testing marketing, personnalisation comportementale) n’est pas strictement nécessaire : il sert ton objectif, pas le service demandé. Test simple : « Si je le retire, le service que la personne a explicitement demandé cesse-t-il de fonctionner ? » Si non → consentement.

Famille 2 — La mesure d’audience « exemptée »

La CNIL admet une exemption conditionnelle pour la mesure d’audience : compter les visites, analyser la navigation pour améliorer le site. Mais l’exemption ne vaut que si l’outil est configuré pour rester strictement statistique. Les critères CNIL :

  • Finalité limitée : uniquement la mesure d’audience du site (statistiques de fréquentation, détection de problèmes de navigation) — pas de publicité, pas de profilage.
  • Pas de recoupement : les données ne sont pas croisées avec d’autres traitements ni partagées avec des tiers.
  • Pas de suivi inter-sites : le traceur ne piste pas la personne d’un site à l’autre ; il reste cantonné au seul site.
  • Durée de conservation limitée : la durée de vie du traceur et la conservation des données sont restreintes à ce qui est nécessaire à la statistique.
  • Résultats anonymisés : les statistiques produites ne réidentifient pas les personnes.

Même exemptée, la mesure d’audience reste soumise au RGPD pour les données personnelles éventuelles : la personne doit être informée (mentions) et pouvoir s’opposer. Exemption ne veut pas dire invisibilité.

📚 Le texte — Ces deux exemptions découlent de l’article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy 2002/58/CE) et de la recommandation CNIL 2020, qui détaille les critères de la mesure d’audience exemptée. La CNIL publie aussi la liste des solutions pouvant être configurées en mode exempté.

Mesurer sans consentement : les outils orientés vie privée

Puisque l’exemption tient à la configuration, autant choisir des outils conçus pour rester dans les clous — voire pour se passer totalement de cookie. Deux familles utiles à un dev :

  • Analytics sans cookie : la mesure repose sur des signaux non persistants et des statistiques agrégées, sans écrire dans le terminal. S’il n’y a ni lecture ni écriture de traceur, on sort du champ de l’article 82 : pas de bandeau nécessaire pour cette finalité (le RGPD continue de s’appliquer aux données). Exemple grand public : Plausible.
  • Analytics self-hosted, configurable en mode exempté : tu héberges l’outil (données chez toi, pas chez un tiers) et tu actives son mode conforme (anonymisation, pas de partage, durée limitée). Exemple : Matomo, dont un mode respectueux de la vie privée vise l’exemption.

Le choix « analytics sans cookie / self-hosted » a un double avantage : moins de friction (pas de bandeau qui plombe le taux de mesure) et moins de risque (moins de données personnelles, pas de transfert à un géant de la pub).

💡 Réflexe — Par défaut, vise la mesure exemptée (ou sans cookie). Tu obtiens des statistiques fiables sur la quasi-totalité des visiteurs — au lieu d’un échantillon biaisé par ceux qui acceptent le bandeau — et tu allèges ta CMP. La mesure d’audience non exemptée ne se justifie que si tu as un vrai besoin de recoupement, et alors elle passe par le consentement comme le reste.

🔒 Côté personne concernée — Les exemptions sont un équilibre : la personne accepte que le service fonctionne (session, panier, sécurité) et qu’on compte les visites anonymement, sans être pistée ni profilée. C’est exactement ce qu’elle attend : un site qui marche et se mesure sobrement ne la suit pas d’un site à l’autre et ne revend pas son comportement.

🧭 Sur FormaCampus — FormaCampus configure sa mesure d’audience en mode exempté (finalité audience seule, pas de recoupement, pas de suivi inter-sites, durée limitée, stats anonymisées) — ou passe carrément à un analytics sans cookie. Résultat : aucun consentement requis pour compter les visites, donc des chiffres fiables. Restent soumis au consentement : la vidéo YouTube intégrée (traceur tiers) et tout tag publicitaire. Les cookies de session et de choix cookies, eux, sont strictement nécessaires : exemptés d’office.

✏️ Exercices

Exercice 1 — Exempté ou pas ? Pour chacun, dis s’il est exempté de consentement et pourquoi : (a) cookie d’authentification ; (b) cookie de load balancing ; (c) mesure d’audience configurée avec partage des données à une régie publicitaire ; (d) cookie mémorisant le refus exprimé dans le bandeau ; (e) cookie de recommandation de produits fondé sur le comportement.

✅ Solution

(a) Exempté — strictement nécessaire (sans lui, pas d’espace connecté). (b) Exempté — équilibrage de charge, purement technique et nécessaire au fonctionnement. (c) Non exempté — le partage à un tiers (régie) rompt le critère « pas de recoupement / pas de partage » : consentement requis. (d) Exempté — mémoriser le choix cookies est nécessaire pour respecter ce choix. (e) Non exempté — la recommandation comportementale sert le marketing, pas le service strictement demandé : consentement.

Exercice 2 — Rends la mesure exemptée. Ton outil d’analytics est branché en réglages par défaut : suivi inter-sites activé, données partagées avec l’éditeur, conservation longue. Liste les réglages à changer pour viser l’exemption.

✅ Solution

Pour tenir les critères CNIL : (1) limiter la finalité à la seule mesure d’audience du site (couper toute exploitation publicitaire) ; (2) désactiver le suivi inter-sites ; (3) couper le partage des données avec l’éditeur / tout tiers (pas de recoupement) ; (4) réduire la durée de vie du traceur et la conservation des données à ce qui est nécessaire ; (5) s’assurer que les statistiques sont anonymisées. À défaut de pouvoir tout régler, changer d’outil (self-hosted en mode exempté, ou analytics sans cookie). Et informer dans les mentions, même une fois exempté.

Exercice 3 — Sans cookie, sans bandeau ? Un collègue installe un analytics sans cookie et déclare : « Plus besoin de bandeau, ni de rien. » Nuance sa conclusion.

✅ Solution

Sur ePrivacy : exact pour cette finalité — s’il n’y a ni lecture ni écriture de traceur dans le terminal, on sort du champ de l’article 82, donc pas de consentement ni de bandeau pour la mesure. Mais nuance : le RGPD continue de s’appliquer si des données personnelles sont traitées (même une IP) → il faut une base légale, une information dans les mentions et le respect des droits (dont l’opposition). Et le bandeau reste nécessaire pour les autres traceurs du site (vidéo tierce, pub). « Sans cookie » supprime un sujet, pas tous.

🧠 Quiz de révision

1. Quel est le test d’un traceur « strictement nécessaire » ?

« Si je le retire, le service expressément demandé par la personne cesse-t-il de fonctionner ? » Si oui → strictement nécessaire, exempté (session, panier, authentification, équilibrage de charge, sécurité, mémorisation du choix cookies). Si non (confort, marketing) → consentement.

2. Cite trois exemples de traceurs exemptés au titre du « strictement nécessaire ».

Par exemple : authentification / session, panier d’achat, équilibrage de charge, cookie de sécurité (anti-CSRF), mémorisation du choix cookies, préférence de langue exprimée par l’utilisateur.

3. À quelles conditions une mesure d’audience est-elle exemptée ?

Si elle est configurée selon les critères CNIL : finalité limitée à l’audience du seul site, pas de recoupement ni de partage à un tiers, pas de suivi inter-sites, durée limitée, résultats anonymisés. Sinon → consentement.

4. Une mesure d’audience exemptée dispense-t-elle de toute obligation ?

Non. Elle dispense du consentement (ePrivacy), mais le RGPD s’applique toujours aux données personnelles : information dans les mentions et droit d’opposition notamment. Exemption n’est pas invisibilité.

5. Pourquoi préférer un analytics sans cookie ou self-hosted en mode exempté ?

Moins de friction (pas de bandeau pour la mesure, donc des statistiques fiables sur presque tous les visiteurs) et moins de risque (moins de données personnelles, pas de partage à un tiers). Un analytics sans cookie sort même du champ de l’article 82 pour cette finalité.


Chapitre suivant : L’avenir des cookies & atelier — la proposition « Digital Omnibus » qui rapproche les cookies du RGPD, ce qui est en vigueur aujourd’hui vs demain, puis l’atelier : concevoir le bandeau de FormaCampus.

Last updated on