Evolution de la loi sur les cookies de mesure d'audiences

Bonjour,

J’essaye de comprendre les inquiétudes sur les évolutions des cookies. Je suis loin de comprendre ses inquiétudes en adoptant un point de vue juriste¹.

En 2013, la CNIL écrit des recommandations pour les cookies : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

En 2018, la CNIL déclare ses recommandations obsolètes. Suite au RGPD.

En 2019, la loi « Informatique et Libertés » arrive.

Je ne comprends pas l’impacte de la RGPD sur mon cookie de mesure d’audience.

Si je prend l’article premier et l’article 2 sur le champ d’application matériel :

Article 2 - Champ d’application matériel

Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Ma mesure d’audience fonctionne grâce à un cookie anonymisé (complément aléatoire et relié à aucun autre service) et ma requête HTTP (qui contacte le back pour effectuer la mesure d’audience) va me permettre de connaitre la ville de façon anonyme (tout ceci sans aucun stockage de l’ip).

Cookie anonymisé => Pas une donnée à caractère personnelle.

Par contre, c’est pas très claire, tu parles de « ta requête » ? Et tu parles de donnée. À part le cookie et la position géographique, je ne vois pas de donnée. Le cookie et la position géographique ne sont pas des données à caractère personnel.

Juste pour qu’on soit clair sur les termes. Position géographique, c’est une approximation géographique globale de la position de l’utilisateur, (ex. Ville, Département, Pays). Une adresse ou des coordonnées GPS, ce n’est pas une position géographique mais des coordonnées, ça devient personnel !

CNIL Donnée personnelle

Point de vue juriste: Jurispedia

Par contre, c’est pas très claire, tu parles de « ta requête » ?

j’ai modifié en fonction

Juste pour qu’on soit clair sur les termes. Position géographique, c’est une approximation géographique globale de la position de l’utilisateur, (ex. Ville, Département, Pays). Une adresse ou des coordonnées GPS, ce n’est pas une position géographique mais des coordonnées, ça devient personnel !

D’accord mais il fait mention de : "à une personne physique identifiée ou identifiable." donc vu que je ne peux pas remonter à l’origine ça devient non identifiable ?

Par contre, c’est pas très claire, tu parles de « ta requête » ?

j’ai modifié en fonction

Merci

Arf, toujours pas claire. Des coordonnées GPS sont personnelles car elles permetent d’identifier une personne (donc la personne devient identifiable, la personne qui se trouve à ces coordonnées). On a donc une personne physique identifiable. Par contre, pour une ville, non.

Après, je pense que c’est assez subjectif. Les coordonnées GPS seulent, peuvent constitués une donnée à caractère personnel, même si non liées à une information temporelle ? Je ne suis pas sûr.

Donc si on reste dans le simple cadre du nom de la ville avec un id anonymisé, l’ensemble ne représente pas une donnée personnelle, donc la RGPD n’a rien changé sur les recommandations de la CNIL sur les cookies de mesure d’audience. Ai-je raison ?

Non, c’est un trop gros raccoursi. Car il y a tout le pan relatif à l’encadrement de ces données. Si c’est pas toi qui gère le cookie de mesure d’audience alors tu dois le gérer différement, …

Pourtant l’article 2 met en évidence que le champ d’application est seulement les données personnelles

Avant d’être une donnée anonymisée, c’est une donnée à caractère personnelle.
Si ce n’est pas toi qui t’occupe de l’anonymisation ou si tu partages des données à caractères personnelle alors, c’est encadré par le RGPD !

Mais on la traite/stock une fois anonymisée.