Oui, le consentement des visiteurs doit être obtenu avant d’utiliser des cookies de mesure d’audience, sauf si l’outil de mesure d’audience utilisé répond à certains critères précis.

De façon générale, le consentement de l’internaute doit être obtenu avant de déposer des cookies sur l’appareil de l’internaute ou de lire les cookies présents dans son appareil. Il existe cependant des exceptions, notamment si le cookie « est strictement nécessaire à la fourniture d’un service de communication en ligne »[1].

Certains outils de mesure d’audience sont considérés comme « strictement nécessaire[s] »[2] et peuvent, par conséquent, être utilisés sans obtenir le consentement préalable des visiteurs, à condition que[3] :

  • le cookies utilisé a « une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur » ;
  • le cookie ne puisse pas « permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web » ;
  • les données collectées produisent « des données statistiques anonymes » ;
  • les données finales « ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers ».

Une liste non exhaustive[4] d’outils répondant à ces critères a été publiée par la CNIL, mais d’autres outils, non audités par la Commission, peuvent aussi être utilisés sans le consentement des utilisateurs s’ils sont conformes aux exigences précédentes. L’outil populaire de Google, Google Analytics[5], ne fait, bien sûr, pas partie de cette liste.

Par ailleurs, la CNIL recommande[6] également :

  • d’informer les utilisateurs « par exemple via la politique de confidentialité du site » ;
  • de limiter la durée de vie des cookies à une durée maximale de treize mois, à partir de la date de dépot initial du cookie et de ne pas rallonger cette durée à chaque visite de l’internaute ;
  • de conserver les données issues de ces cookies pendant une durée maximale de 25 mois.

Notes et références

  1. Le consentement des internautes doit être obtenu avant d’utiliser des cookies sauf si l’utilisation de ces cookies « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ou si l’utilisation de ces cookies « est strictement nécessaire à la fourniture d’un service de communication en ligne » (source : loi Informatique et Libertés, article 82). Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. La CNIL considère que les cookies « dont la finalité se limite à la mesure de l’audience du site ou de l’application […] sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis […] à l’obligation légale de recueil préalable du consentement de l’internaute » (source : CNIL, délibération n° 2020-091, 17 septembre 2020, article 5).
  3. Les conditions d’exemption de consentement des outils de mesure d’audience sont issues des lignes directrices de la CNIL (source : CNIL, délibération n° 2020-091, 17 septembre 2020, article 5).
  4. La CNIL a publié une liste non-exhaustive d’outils de mesure d’audience qui ne nécessitent pas le consentement des visiteurs. Voir « Cookies : solutions pour les outils de mesure d’audience ».
  5. Le module Google Analytics ne bénéficie pas d’un exemption de consentement. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser Google Analytics ? ».
  6. Les recommandations et directives de la CNIL sur les outils de mesure d’audience : « Cookies : solutions pour les outils de mesure d’audience ».