CNIL - Programme d’évaluation de solutions exemptées de consentement

La CNIL propose une démarche d’évaluation pour vérifier si une solution de mesure d’audience est effectivement exemptée de recueil du consentement préalable de l’utilisateur au regard de ses lignes directrices et de la loi. Pour plus d’information sur ce programme, consultez cette page.

Nom de la solution : Compass
Version Logicielle : 1.0
Demandeur : Juan Margenat Trias
Fonction du demandeur : COO du Marfeel Solutions, S.L.

En utilisant tout support que vous estimez nécessaire (capture d’écran, explication textuelle, etc.) précisez les moyens dont vous disposez ou dont dispose le responsable de traitement utilisateur de votre solution pour effectuer les configurations suivantes :

1. Désactivation de tout traitement des données pour votre compte, le cas échéant, et ce indépendamment de la finalité poursuivie.

Marfeel est une société espagnole ayant pour vocation la promotion et la commercialisation d’une solution analytique permettant aux éditeurs (Responsables du traitement) d’obtenir les instruments de mesure indispensables au bon déroulement de leurs activités.

Dans ce contexte, en qualité de sous-traitant de traitement, nous fournissons ce service uniquement pour le compte de l’éditeur. Les informations ne seront en aucun cas recueillies à des fins personnelles dans l’exercice de ces fonctions.

Conformément aux dispositions indiquées au paragraphe « Obligations de sous-traitant à l’alinéa A de notre DPA, ce dernier s’abstiendra d’utiliser à des fins personnelles les données à caractère personnel recueillies. Le sous-traitant sera, par ailleurs, tenu d’agir en vertu des instructions documentées de Responsable.

En outre, les finalités du traitement que nous réalisons pour le compte du responsable de traitement sont énumérées de manière claire et précise dans le DPA. Notre DPA est disponible au lien suivant : Marfeel

2. Désactivation de toute création de cohorte d’utilisateurs pour leur présenter des contenus différenciés, que l’appartenance à une telle cohorte soit définie de manière aléatoire ou bien en fonction des informations précédemment collectées.

Faisant l’objet d’un enregistrement auprès du TCF v2 de l’IAB sous le numéro de déclaration 943, la solution de Marfeel Compass s’intègre facilement avec les CMP gérées par les Responsables du traitement. C’est pourquoi l’utilisateur a la possibilité de retirer ou même de refuser de donner son consentement pour la personnalisation du contenu. Aucune information relative au comportement de cet utilisateur (nombre de visites sur le site, fréquence de visite, volume de contenu consulté) ne sera alors enregistrée.

Ce n’est que dans le cas où l’utilisateur consent à la personnalisation par le biais de la CMP que les API permettant de segmenter le contenu seront disponibles. En l’absence de consentement (donc en mode exempté), les API de personnalisation ne seront pas disponibles pour cet utilisateur et aucun contenu personnalisé ne sera montré). Dans ce cas, la décision du contenu à montrer à ces utilisateurs revient à l’éditeur, mais en aucun cas il ne sera personnalisé.

3. Limitation de la collecte d’information de localisation à l’échelle des villes, puis

seudonymisation au dernier octet des adresses IP.

L’emplacement de l’utilisateur n’est connu qu’au niveau du pays, sans possibilité d’obtenir davantage de détails.

Aussi, l’adresse IP est rendue par défaut anonyme jusqu’au dernier octet préalablement au traitement des données.

4. Désactivation de toute fonction d’import de données externes.

Marfeel Compass est une solution qui n’effectue aucune importation de données externes et n’est interconnectée à aucune autre solution. Seules font l’objet d’un traitement les données
recueillies pour la solution dans le cadre des activités menées par le Responsable du traitement.

5. Désactivation des exports de données contenant des identifiants uniques ou des données non agrégées (les export agrégés et anonymes restent possibles).

Chez Marfeel Compass, l’exportation de données au niveau utilisateur n’est pas faisable. C’est pour cette raison que le Responsable du traitement ne dispose d’aucun mécanisme permettant l’exportation de données contenant des identifiants uniques ou des données non agrégées.

Sur Marfeel Compass, toutes les données utilisateurs sont anonymisées. Le Responsable peut cependant retrouver les données utilisateurs suivantes:

Relatif à l’utilisateur :

  • Pays
  • Type d’appareil (portable, ordinateur de bureau ou tablette)
  • Classification du medium (organic, social, autre, interne ou direct)
  • Source de trafic (indiquée avec le label “bloqué”)

Relatif au contenu :

  • Âge du contenu
  • Date de publication de l’article
  • Auteur
  • Domaine
  • Technologie de la page
  • Titre de la page
  • Section
  • Sujets
  • Catégories

En ce qui concerne la fréquence à laquelle nous agrégeons les données (exemption CNIL ou pas) elle correspond à ce qui est indiqué ci-dessous :

  • Les données en temps réel sont agrégées avec un niveau de groupage de 5 utilisateurs minimum.
  • En ce qui concerne les données historiques présentes dans la partie rapport, l’agrégation se fait à l’heure pour les données de moins de 30 jours et à la journée pour toutes les données plus anciennes.
  • Si le Responsable utilise la vue “7 derniers jours” ou “28 derniers jours”, il utilise alors une fenêtre flottante, c’est-à-dire que les données sont mises à jour et agrégées par tranches de deux heures pour la période choisie (7 ou 28 jours).

L’utilisation d’UTM n’est pas effective dans le cadre de l’exemption CNIL.

6. Limitation du dépôt de traceur à un domaine ou une application mobile, ou bien un ensemble de domaines clairement identifié par l’utilisateur comme lié au même site web.

Le traçage se limite aux publications du client, ce dernier étant l’unique responsable de l’application de ce tracking uniquement aux sites qui lui appartiennent. En ce sens, Compass fonctionne avec un cookie de première partie.

7. Désactivation de la capacité à visualiser la navigation d’un utilisateur unique dans l’outil : accès uniquement à des rapports comportant des statistiques agrégées.

Notre outil Compass ne possède pas de configuration permettant d’observer ou d’avoir accès à la navigation d’un utilisateur donné.

Par conséquent, le Responsable du traitement n’est pas en mesure d’analyser concrètement le chemin de navigation d’un utilisateur.

Le niveau d’agrégation est le même que le niveau indiqué dans la réponse à la question 5.

8. Désactivation de tout marquage permettant de récupérer des informations personnelles (par exemple par le biais de formulaires).

Par défaut, l’outil ne recueille aucune donnée personnelle qui peut être identifiable directement (telle que le nom et/ou l’adresse). Pour autant, le client peut fournir un identifiant d’utilisateur connecté, qui pourrait être utilisé pour suivre les différents dispositifs de l’utilisateur comme un seul et même utilisateur.

Cet identifiant est fourni via JavaScript à l’aide de l’instruction suivante window.marfeel.cmd.push([‘compass’, function(compass) {compass.setSiteUserId(1);}]); Il n’est pris en compte que dans le cas où nous avons le consentement. Il n’est pas possible d’ajouter d’autres informations à cet utilisateur, ni d’extraire des informations individuelles de cet utilisateur, il est seulement utilisé pour unifier les appareils. En essence, cette API permettant d’associer un identifiant est bien désactivée en cas d’absence de consentement.

Si le client utilise le même identifiant dans différents domaines et que le consentement est obtenu dans tous les domaines, les mesures d’engagement seront cross-site.

Compass ne fait pas le rapprochement, l’utilisateur se connecte au site du client, ils passent à avoir le même identifiant et le client nous transmet cet identifiant, l’utilisateur deviendra le même dans Compass uniquement si le consentement est obtenu sur tous les sites.

9. Existence dans l’outil d’une fonctionnalité d’opposition aux cookies de mesure d’audience, utilisable sur tous les navigateurs, qui peut restreindre la collecte de données aux seules données anonymes correspondant à la liste des pages visitées par les utilisateurs sans usage de traceurs permettant d’individualiser les parcours de navigation.

Comme indiqué dans le point 4.2, Marfeel Compass est enregistré auprès du TCF v2 de l’IAB sous le numéro de déclaration 943. La solution respecte donc le choix de l’utilisateur défini via la CMP présente sur le site du Responsable. Aussi, dans la CMP, l’utilisateur peut s’opposer à la collecte de données pour la mesure d ́audience.

Il est important de noter que si l’utilisateur ne donne pas son consentement, Compass n’utilise aucun cookie de mesure d’audience, y compris dans le cadre de l’exemption CNIL. Seules les informations relatives à la page sont conservées (voir 4.5).

Si l’utilisateur souhaite modifier son choix et s’opposer à la collecte de données, il peut le faire depuis la page “Paramétrez vos choix” ou similaire directement sur le site du Responsable.

Dans le cas où la CMP du Responsable ne serait pas conforme au TCF v2, il est possible de la configurer grâce au SDK suivant afin de permettre à Marfeel Compass de respecter le choix de l’utilisateur:

window.marfeel.cmd.push(['compass', function(compass) {
   compass.setCookies(false);
}]);

Le SDK est directement transmis au Responsable avant l’activation de Marfeel Compass et disponible dans notre documentation.