Comment rendre votre site conforme aux lignes directrices de la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) de France est une autorité de protection des données. Sur sa liste des solutions permettant la collecte des données sans consentement vous trouverez Piwik PRO. Une exemption dont vous pouvez profiter avec notre support, si vous dirigez votre organisation depuis la France.

L’objectif de cet article est donc de vous expliquer quelles données vous pouvez collecter sans consentement ainsi que de vous montrer comment configurer votre compte Piwik PRO pour le rendre conforme aux cadres de référence élaborés par la CNIL.

Collecte des données : à faire et à éviter

Voici les règles à respecter pour rester en conformité avec les lignes directrices de la CNIL :

  • Collectez des données uniquement sur vos domaines et applications : Vous ne pouvez collecter des données que sur des sites et applications qui appartiennent à votre organisation.
  • Ne confondez pas les données de différentes sources : Vous ne pouvez pas traiter les données collectées sans consentement avec d’autres données. Désactivez toutes les intégrations susceptibles de confondre ces données.
    Analytics > Intégrations
  • N’utilisez pas de dimensions personnalisées pour collecter des données personnelles.
  • N’exportez pas les données collectées sans consentement.
  • Ne traitez pas les données brutes collectées sans consentement : Vous pouvez, pourtant, filtrer vos données à l’aide de dimensions personnalisées. Créez des dimensions personnalisées (au niveau de la session ou de l’événement) qui distingueront (1) les données collectées sans consentement des (2) données collectées avec consentement. Lorsque vous accédez à vos données via l’API, filtrez le premier lot.
  • Assurez-vous d’indiquer Piwik PRO dans votre politique de confidentialité lorsque vous divulguez des partenaires qui traitent les données en votre nom : vous pouvez utiliser nos modèles de divulgation pour rédiger votre propre version avec votre équipe juridique. De plus, vous devez ajouter une option de désinscription pour donner aux visiteurs la possibilité de se désinscrire complètement du suivi ( Administration > Paramètres > Formulaire de désinscription).
  • Signez la convention de traitement des données : il faut que vous acceptiez les conditions de notre Accord de traitement des données. Si vous avez besoin d’une copie papier du Core DPA, téléchargez, signez et renvoyez une copie contresignée de ce document à legal+dpa@piwik.pro.

Remarque : Pour en savoir plus consultez les articles suivants :

Configurez Piwik PRO, mettez-vous en conformité avec les règles applicables de la CNIL

Lors de la création de votre compte, vous pouvez choisir entre deux méthodes : (1) collecter toutes les données sans afficher de formulaire de consentement ou (2) demander le consentement des visiteurs, et pour ceux qui ne souhaitent pas l’accorder, collecter les données qui sont exemptés de recueil du consentement.

Collecter toutes les données sans afficher de formulaire de consentement

Cette solution vous conviendra à supposer que Piwik PRO est le seul logiciel que vous utilisez pour collecter des données personnelles. Avec cette configuration vous n’aurez plus besoin de montrer de formulaire de consentement à vos visiteurs et vos données entreront dans la catégorie d’exemption CNIL. N’oubliez pas de suivre les à faire et à éviter concernant les données collectées.

Si vous décidez de ne pas demander le consentement des visiteurs et de collecter uniquement les données exemptées, vous devrez mettre en place la configuration suivante :

  1. Désactivez Demander le consentement des visiteurs et désactivez Utiliser les cookies des visiteurs.

    Paramètre : Administration > Sites et applications > Confidentialité > Conformités > Utiliser un hachage de session (activée) > Utiliser les cookies des visiteurs (désactivé)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Demander le consentement des visiteurs (désactivé) > Utiliser l’empreinte numérique de l’appareil (activée) > Utiliser les cookies des visiteurs (désactivé)

    Remarque: Lorsque vous n’utilisez pas de cookies, ces données sont moins précises :

    • Visiteur nouveau ou récurrent : pas de données
    • Attribution de canal : uniquement au dernier clic

    Pour en savoir plus, consultez cette comparaison.

    Remarque: Certains déclencheurs de Tag Manager créent des cookies pour fonctionner correctement. Si vous utilisez l’une des conditions suivantes dans les déclencheurs, nous définirons un cookie:

    • Condition de l’événement > Source de trafic
    • Condition de l’événement > Visiteur récurrent
    • Condition de l’événement > Campagne
    • Condition d’événement > Référent externe
    • Multiplicité > Fire tag une fois par session
    • Multiplicité > Lancer la balise plusieurs fois par session, à l’exception de la première
    • Multiplicité > Fire tag une fois par page vue

    Si vous ne souhaitez pas utiliser ces cookies, ne définissez pas ces conditions dans le déclencheur. En savoir plus sur les cookies

  2. Activez Masquer les adresses IP et masquez au moins 1 bit.

    Paramètre : Administration > Sites et applications > Confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée) + Collecte à partir d’adresses IP non masquées (Pays)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Paramètres de confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée)

  3. Activez Collecter des données uniquement à partir de sites connus. Cette option vous permettra de collecter des données uniquement à partir des adresses de site ou d’application désignées.

    Paramètre : Administration > Sites et applications > Collecte de données > Filtres > Collecter des données uniquement à partir de sites connus (activée)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Whitelist page URLs (activée)

  4. Activez Conformez-vous aux directives de la CNIL. Avec cette option activée, le rapport du journal de session (Analytics > Rapports > Journal de session) et le débogueur de suivi (Analytics > Paramètres > Débogueur de suivi) seront masqués. De plus, un message d’avertissement sera affiché lorsqu’un utilisateur essaie de créer des clés API.

    Le rapport du journal de session sera également masqué sur les métasites/applications qui contiennent un site avec ce paramètre activé.

    Paramètre : Administration > Sites et applications > Confidentialité > Conformez-vous aux directives de la CNIL (activée)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Conformez-vous aux directives de la CNIL (activée)

Demander le consentement des visiteurs

Appliquez cette solution, si vous utilisez un autre logiciel pour collecter et traiter les données (ce qui est souvent le cas pour des produits de marketing automation, de tests A/B, de mesure de conversion de publicités, etc.). En effet, vous aurez besoin du consentement utilisateur pour les traiter. 

Si vous décidez d’afficher le formulaire à vos visiteurs, vous aurez l’accès à toutes les données de ceux qui acceptent ou aux données exemptées de ceux qui refusent de vous accorder leur consentement. Voici à quoi devrait ressembler votre configuration :

  1. Appliquez les directives du RGPD pour collecter des données une fois le consentement recueilli. En savoir plus
  2. Activez Demander le consentement aux visiteurs et décidez si vous souhaitez utiliser un hachage de session et/ou des cookies visiteurs pour les visiteurs n’ayant pas donné leur consentement. Les cookies visiteurs vous aident à reconnaître les visiteurs, qu’ils soient nouveaux ou de retour. En savoir plus

    Paramètre : Administration > Sites et applications > Confidentialité > Demander le consentement des visiteurs (activé) > Collecte de données anonymes des visiteurs non consentants (activée) > Utilisation d’un hachage de session (activée) + Utilisation des cookies visiteurs (désactivée) ou Utilisation d’un hachage de session (activée) + Utilisation des cookies visiteurs (activée).

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Demander le consentement des visiteurs (activée) > Collecter des données sans utiliser de cookies (bêta) (activée)

    Remarque: Lorsque vous n’utilisez pas de cookies, ces données sont moins précises :

    • Visiteur nouveau ou récurrent : pas de données
    • Attribution de canal : uniquement au dernier clic

    Pour en savoir plus, consultez cette comparaison.

    Remarque: Certains déclencheurs de Tag Manager créent des cookies pour fonctionner correctement. Si vous utilisez l’une des conditions suivantes dans les déclencheurs, nous définirons un cookie:

    • Condition de l’événement > Source de trafic
    • Condition de l’événement > Visiteur récurrent
    • Condition de l’événement > Campagne
    • Condition d’événement > Référent externe
    • Multiplicité > Fire tag une fois par session
    • Multiplicité > Lancer la balise plusieurs fois par session, à l’exception de la première
    • Multiplicité > Fire tag une fois par page vue

    Assurez-vous que les balises avec ces déclencheurs sont définies avec le bon type de consentement.

    Nous définissons également des cookies essentiels qui stockent la décision de consentement du visiteur. En savoir plus sur les cookies

  3. Activez Masquer les adresses IP et masquez au moins 1 bit.

    Paramètre : Administration > Sites et applications > Confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée) + Collecte à partir d’adresses IP non masquées (Pays)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Paramètres de confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée)

  4. Activez Collecter des données uniquement à partir de sites connus. Cette option vous permettra de collecter des données uniquement à partir des adresses de site ou d’application désignées.

    Paramètre : Administration > Sites et applications > Collecte de données > Filtres > Collecter des données uniquement à partir de sites connus (activée)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Whitelist page URLs (activée)

  5. Assurez-vous que la balise Piwik PRO (celle responsable de la collecte des données) est marquée comme Type de consentement : Analytics. Cette option garantit que la balise ne se déclenchera qu’une fois que les visiteurs auront consenti à Analytics.

    Paramètre : Tag Manager > Balises > Piwik PRO > Confidentialité > Type de consentements

  6. Activez Conformez-vous aux directives de la CNIL. Avec cette option activée, le rapport du journal de session (Analytics > Rapports > Journal de session) et le débogueur de suivi (Analytics > Paramètres > Débogueur de suivi) seront masqués. De plus, un message d’avertissement sera affiché lorsqu’un utilisateur essaie de créer des clés API.

    Paramètre : Administration > Sites et applications > Confidentialité > Conformez-vous aux directives de la CNIL (activée)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Conformez-vous aux directives de la CNIL (activée)

Configurez Piwik PRO, mettez-vous en conformité avec les règles applicables de la CNIL (code de suivi uniquement)

Si vous utilisez uniquement un code de suivi sur votre site, mais pas l’ensemble du conteneur Piwik PRO, vous devez effectuer une configuration un peu différente et modifier votre code de suivi. Maintenant, nous allons vous expliquer comment.

Pour respecter les directives de la CNIL lorsque vous utilisez uniquement le code de suivi Piwik PRO, suivez ces étapes :

  1. Activez Conformez-vous aux directives de la CNIL. Avec cette option activée, le rapport du journal de session (Analytics > Rapports > Journal de session) et le débogueur de suivi (Analytics > Paramètres > Débogueur de suivi) seront masqués. De plus, un message d’avertissement sera affiché lorsqu’un utilisateur essaie de créer des clés API.

    Paramètre : Administration > Sites et applications > Confidentialité > Conformez-vous aux directives de la CNIL (activée)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Conformez-vous aux directives de la CNIL (activée)

  2. Activez Collecter des données uniquement à partir de sites connus. Cette option vous permettra de collecter des données uniquement à partir des adresses de site ou d’application désignées.

    Paramètre : Tag Manager > Balises > Piwik PRO > Confidentialité > Type de consentements

    Paramètres dans les versions inférieures à 16.0.0: Administration > Sites Web et applications > Paramètres > Whitelist page URLs (activée)

  3. Activez Masquer les adresses IP et masquez au moins 1 bit.

    Paramètre : Administration > Sites et applications > Confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée) + Collecte à partir d’adresses IP non masquées (Pays)

    Paramètres dans les versions inférieures à 16.0.0: Administration > Paramètres de confidentialité > Masquer les adresses IP (activée) + Niveau 1 (activée)

  4. Utilisez ce code comme code de suivi : 
    <script type="text/javascript">
    var _paq = _paq || [];
    _paq.push(["disableCookies"]);
    _paq.push(["setDomains", "*.example.com"]);
    _paq.push(["trackPageView"]);
    _paq.push(["enableLinkTracking"]);
    (function() {
      var u="https://your-account.piwik.pro/";
      _paq.push(["setTrackerUrl", u+"ppms.php"]);
      _paq.push(["setSiteId", "XXX-XXX-XXX-XXX-XXX"]);
      var d=document, g=d.createElement("script"), s=d.getElementsByTagName("script")[0];
      g.type="text/javascript"; g.async=true; g.defer=true; g.src=u+"ppms.js"; s.parentNode.insertBefore(g,s);
    })();
  </script>

    Paramètre

    .example.com (array<string>)
    Domaines que vous souhaitez suivre. Ils peuvent contenir un caractère générique (“*”) ou un point de début.

    https://your-account.piwik.pro/
    L’adresse que vous utilisez pour vous connecter à Piwik PRO.

    XXX-XXX-XXX-XXX-XXX
    L’ID du site ou de l’application dans Piwik PRO où vous souhaitez envoyer des données. (Où le trouver ?)

Was this article helpful?

Technical support

If you still have any questions, visit our community.
There’s always someone happy to help!

Back to help center