Publicité en cours de chargement...

Délibération CNIL du 4 juillet 2019 : nouvelle réglementation sur le pistage numérique

17 sept. 2019 - 12:10,
Tribune - Charles Blanc-Rolin
DécryptageSécurité
Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.

La CNIL ne se limite pas aux cookies, et voit très large au niveau des traceurs :

  • adresse électronique
  • cookies identifiant (qu’il soit publicitaire ou non)
  • adresse IP
  • identifiant matériel (adresse mac, numéro de série..)
  • le résultat du calcul d’empreinte du navigateur (fingerprinting [3], comme le canvas fingerprinting [4])
  • identifiant généré par un logiciel ou un système d’exploitation

Le texte précise d’ailleurs : « quels que soient les systèmes d'exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés ».

La CNIL distingue bien les deux opérations à savoir, la lecture d’informations stockées dans le terminal et l’inscription d’informations sur ce dernier, mais stipule que conformément au RGPD, tout traitement relatif à un « traceur » (donnée à caractère personnel) nécessite le consentement préalable de l’utilisateur et rappelle que la technique dite du « cookie wall » consistant à bloquer l’accès à un contenu Web ou une application mobile à un utilisateur refusant le pistage en ligne n’est pas conforme au RGPD. Le consentement de l’utilisateur doit doit être recueilli via une action de l’utilisateur avant qu’il puisse utiliser le service, fini les mentions « en consultant ce site, vous acceptez l’utilisation des cookies ».
Les cases pré-cochées ou l'acceptation globale de conditions générales d'utilisation ne pourront être considérées comme l’expression du consentement de l’utilisateur. Nous ne sommes qu’à l’article 2 et nous avons déjà perdu la quasi totalité du Web et applications présentes dans les stores des deux principaux fournisseurs de systèmes mobiles.

D’accord, il y a quand même des exceptions et c’est là que certains risquent de jouer sur les mots…
Trois types de traitements relatifs aux traceurs peuvent être réalisés sans consentement, mais avec information préalable :

1. Les traitements dont la finalité exclusive est de permettre ou faciliter la communication par voie électronique

2. Les traitements strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur

3. Les traitements visant à mesurer l’audience, uniquement s’ils remplissent les 6 conditions suivantes :

  • ils doivent être mis en œuvre par l'éditeur du site ou bien par son sous-traitant
  • la personne doit être informée préalablement à leur mise en œuvre
  • elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée
  • la finalité du dispositif doit être limitée à la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et la modification dynamique d'un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers.
  • L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d'application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web - l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée
  • les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant 13 mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de 25 mois maximum

Il est peut-être temps de faire quelques vérifications de routines sur les services en ligne que vous proposez à vos patients...

[1]

[2]

[3]

[4]  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Comment quantifier un risque

Comment quantifier un risque

31 mars 2026 - 08:06,

Tribune

-
Cédric Cartau

Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.

Illustration Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé

Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé

26 mars 2026 - 19:08,

Actualité

- Rédaction, DSIH

Dans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...

Illustration Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire

Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire

23 mars 2026 - 09:58,

Actualité

- Rédaction, DSIH

En validant l’autorisation donnée au Health Data Hub pour traiter des données de santé hébergées par Microsoft en France, le Conseil d’État consolide le cadre posé par la CNIL dans sa décision du 20 mars 2026, relative à l’autorisation CNIL 2025‑013 (délibération n° 2025‑013 du 13 février 2025, proj...

Illustration Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé

Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé

11 mars 2026 - 09:52,

Communiqué

- Imprivata

Imprivata, fournisseur leader de solutions de gestion des identités et des accès pour le secteur de la santé et les industries critiques, vient de dévoiler Agentic Identity Management, de nouvelles capacités conçues pour sécuriser et gouverner les agents IA dans les environnements de soins de santé ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie