# CNIL (Commission Nationale de l'Informatique et des Libertés Créée en 1978, la CNIL est l’autorité française de protection des données (DPA). Elle veille à ce que l’informatique ne porte pas atteinte à l’identité humaine, à la vie privée et aux droits des personnes. La DPA française accompagne notamment les professionnels dans leur mise en conformité et aide les particuliers à connaître et exercer leurs droits. La CNIL contrôle, sanctionne, protège et accompagne les organisations et les particuliers dans leur mise en conformité. * [Conformité au RGPD ainsi qu’aux recommandations de la CNIL et du CEPD](#compliance-to-gdpr-and-to-the-cnil-and-the-edpb-recommendations) * Conformité du SDK Didomi (recommandation CNIL) * Traceurs exemptés de consentement (CNIL) *** ### Conformité au RGPD ainsi qu’aux recommandations de la CNIL et du CEPD Une CMP (Consent Management Platform) est une plateforme permettant de recueillir le consentement des utilisateurs pour les données personnelles. Une CMP enregistre, stocke et restaure le consentement et le transmet à plusieurs fournisseurs lorsque nécessaire. Elle fluidifie l’expérience utilisateur et facilite la collecte du consentement. Néanmoins, Armand Heslot (expert Privacy & Security à la CNIL) a récemment rappelé lors d’une interview pour mind Media que l’utilisation d’une CMP ne signifie pas nécessairement que vous êtes en conformité avec le RGPD, ni que le consentement obtenu est valable. **Quelles sont les différentes conditions à remplir pour être en conformité lorsque vous collectez le consentement des utilisateurs à l’aide d’une CMP ?**\ Tout d’abord, l’autorité de protection des données indique que le libellé utilisé doit être clair, intelligible et rédigé dans un langage simple permettant aux utilisateurs de comprendre clairement à quoi ils consentent. Les finalités du traitement doivent être claires et indiquées sur la première page de la bannière. Les boutons « J’accepte », « Je refuse » et « Je paramètre mes préférences » permettant à l’utilisateur d’accepter ou de refuser globalement peuvent être visibles sur la première page, mais ils doivent apparaître après la liste détaillée des finalités. Sur la deuxième page, vous pouvez demander le consentement pour chaque finalité ; toutefois, attention, les cases de refus ne sont ni acceptées par la CNIL ni par le CEPD. L’autorité française de protection des données est très claire sur le sujet dans la mise en demeure Vectaury : *"*Lorsque toutes les finalités de la collecte sont notifiées avec des cases de refus, on ne peut pas considérer que l’utilisateur consent à quoi que ce soit. En effet, son action est requise pour refuser les traitements en décochant les cases correspondant à chaque finalité." De plus, les noms des responsables de traitement doivent figurer sur la première page de la bannière. Cela permet aux utilisateurs de donner leur consentement en connaissant l’identité des entreprises qui collectent leurs données. Par ailleurs, le texte ne doit pas suggérer que le fait de refuser empêchera l’utilisateur d’accéder au site web ou l’obligera à payer pour y accéder. **Question particulière du traitement des données de géolocalisation** **Lorsque vous collectez des données de géolocalisation, vous devez demander un consentement spécifique à l’utilisateur.** La CNIL rappelle dans sa mise en demeure que le CEPD impose une spécificité du consentement et qu’une acceptation globale de l’utilisateur, sans connaissance des multiples traitements ou finalités, n’est pas suffisante. Les utilisateurs d’applications mobiles ne consentent pas spécifiquement au traitement des données de géolocalisation à des fins de profilage et de ciblage publicitaire." **La collecte du consentement via le défilement ou un clic est-elle valable ?** **La collecte du consentement via le défilement ou un clic n’est plus acceptée par la CNIL comme un acte positif de l’utilisateur.** Le CEPD indique que le défilement n’est pas une action positive et ne peut pas être considéré comme un consentement. **Les cookies analytiques peuvent-ils être considérés comme essentiels ?** Attention, les cookies de mesure d’audience tels que Google Analytics ne sont pas considérés comme essentiels, sauf s’ils respectent certaines conditions fixées par la CNIL : . À ce jour, seules deux solutions sont reconnues par la CNIL comme respectant ces conditions. Il s’agit d’AT Internet (Xiti) et de Matomo. Vous devez demander le consentement de l’utilisateur lorsque vous souhaitez déposer un tel cookie sur son appareil. Rappelez-vous de donner à l’utilisateur la possibilité de revenir sur son statut de consentement ou de modifier ses paramètres en cliquant sur un lien en bas de votre page ou dans votre politique de confidentialité. Les boutons « accepter » et « refuser » doivent avoir la même taille et des couleurs neutres. Les cookies analytiques ne peuvent pas durer plus de 13 mois. Les informations collectées par les cookies peuvent être conservées pendant 25 mois maximum. Vous devez à nouveau demander son consentement après ce délai. Parfois, la durée de vie des cookies Google Analytics est de 24 mois par défaut. Vous devez alors réduire cette durée de vie. Voici un guide : 📰 . **Sujets auxquels vous devez faire attention lors de la configuration d’une CMP** * L’utilisateur doit connaître la finalité du traitement des données, l’identité du responsable de traitement, mais aussi les données collectées pour que le consentement soit valable * Le libellé utilisé pour informer l’utilisateur doit être clair, intelligible et rédigé dans un langage simple permettant aux utilisateurs de comprendre clairement à quoi ils consentent. * Il doit comporter les boutons « J’accepte », « Je refuse » et « Je définis mes préférences » permettant à l’utilisateur d’accepter ou de refuser globalement ; ils peuvent être visibles sur la première page, mais doivent apparaître après la liste détaillée des finalités. ⚠️ **Cela peut varier selon le pays : n’hésitez pas à consulter notre article sur** [**Particularités juridiques sur le consentement dans différents pays**](/fr/plateforme-de-gestion-du-consentement-cmp/cadres-reglementations/reglement-general-sur-la-protection-des-donnees-rgpd.md#legal-peculiarities-on-consent-in-different-countries)**.** * Le texte ne doit pas suggérer que le fait de refuser empêchera l’utilisateur d’accéder au site web ou l’obligera à payer pour y accéder. * Lorsque vous collectez des données de géolocalisation, vous devez demander un consentement spécifique à l’utilisateur * La collecte du consentement via le défilement ou un clic n’est plus acceptée par la CNIL, car il ne s’agit pas d’un acte positif de l’utilisateur. ⚠️ **Cela peut varier selon le pays : n’hésitez pas à consulter notre article sur** [**Particularités juridiques sur le consentement dans différents pays**](/fr/plateforme-de-gestion-du-consentement-cmp/cadres-reglementations/reglement-general-sur-la-protection-des-donnees-rgpd.md#legal-peculiarities-on-consent-in-different-countries)**.** * Rappelez-vous de donner à l’utilisateur la possibilité de revenir sur son statut de consentement ou de modifier ses paramètres en cliquant sur un lien en bas de votre page ou dans votre politique de confidentialité. * La durée de conservation du consentement de l’utilisateur pour les cookies est de 6 mois. Les cookies analytiques ne peuvent pas durer plus de 13 mois. Les informations collectées par les cookies peuvent être conservées pendant 25 mois maximum. Vous devez à nouveau lui demander son consentement après ce délai. Parfois, la durée de vie des cookies Google Analytics est de 24 mois par défaut. Vous devez lui demander son consentement après cette durée. ⚠️ **Cela peut varier selon le pays : n’hésitez pas à consulter notre article sur** [**Particularités juridiques sur le consentement dans différents pays**](/fr/plateforme-de-gestion-du-consentement-cmp/cadres-reglementations/reglement-general-sur-la-protection-des-donnees-rgpd.md#legal-peculiarities-on-consent-in-different-countries)**.** * Google Analytics n’est pas considéré comme un cookie essentiel, sauf s’il respecte certaines conditions : ) ### Conformité du SDK Didomi (recommandation CNIL) En septembre 2024, l’autorité française de protection des données (CNIL) a publié un ensemble de recommandations dédiées aux applications mobiles. Ces lignes directrices soulignent des exigences strictes en matière de **transparence**, **minimisation des autorisations système**, **documentation des opérations de traitement**, et **preuve d’un consentement valable**. Elles s’appliquent à la fois aux **éditeurs d’applications** et **fournisseurs techniques** comme Didomi, agissant en tant que **sous-traitants**. Dans ce cadre réglementaire, **Didomi fournit une documentation proactive et structurée** pour accompagner les efforts de conformité de ses clients et démontrer la responsabilité de ses SDK mobiles sur l’ensemble des plateformes prises en charge (iOS, Android, frameworks hybrides). #### **Pourquoi cette page ?** En tant que sous-traitant, Didomi est responsable de fournir à ses clients — agissant en tant que responsables de traitement — une documentation claire, à jour et complète : * décrivant les **opérations de traitement effectuées via le SDK** dans les applications mobiles ; * précisant la **qualification juridique** de chaque activité de traitement ; * détaillant les **garanties contractuelles** incluses dans l’accord de traitement des données (DPA) signé. > **Message du DPO de Didomi :** > > *« Cette page est également conçue pour aider vos équipes juridiques et vos délégués à la protection des données (DPO) à remplir leurs obligations documentaires (articles 30 et 28 du RGPD), et à identifier précisément les opérations techniques impliquées dans l’utilisation de la CMP Didomi sur mobile », explique Sébastien Gantou.* #### **Conformité : les mesures clés de Didomi** Didomi aligne ses pratiques sur les attentes de la CNIL grâce à des garanties techniques et organisationnelles robustes : * Qualification juridique complète des opérations de traitement du SDK, détaillée dans le ROPA * Un inventaire complet des opérations de lecture/écriture du SDK (ROPO), comme l’exige le cadre ePrivacy * Aucune utilisation des autorisations au niveau du système d’exploitation mobile par le SDK * Conception modulaire des fonctionnalités (collecte du consentement, preuve, export, analyses, etc.) * Aucun traitement de données personnelles sensibles * Transparence totale sur les transferts internationaux de données et les garanties associées * Architecture de sécurité documentée (TLS, chiffrement, protection des terminaux) * Mises à jour régulières de la documentation du SDK et notifications proactives aux clients * Accès à tout moment à l’historique des preuves de consentement * Procédures en place pour la gestion des incidents et les notifications de violation de données * Registres publics maintenus en continu et accessibles #### **Transparence : documents disponibles** Pour vous aider à évaluer et documenter votre utilisation du SDK Didomi, nous mettons à disposition deux registres accessibles publiquement : [Registre des activités de traitement des données personnelles (ROPA)](https://business.didomi.io/hubfs/2025-02-14%20-%20ROPA%20RGPD%20-%20SDK%20\(EN\).pdf) [Registre des opérations de traitement des données du SDK (ROPO)](https://business.didomi.io/hubfs/2025-02-14%20-%20ROPO%20eprivacy%20-%20SDK%20\(EN\).pdf) Les deux documents sont structurés conformément aux attentes de la CNIL et mis à jour à chaque changement significatif. ### Traceurs exemptés de consentement (CNIL) L’autorité française de protection des données (CNIL) permet à un éditeur de ne pas demander le consentement pour certains traceurs. Ces traceurs ne nécessitant pas de consentement sont : * Les traceurs nécessaires à la fourniture d’un service explicitement demandé par l’utilisateur * Les traceurs mesurant l’audience sur le site/l’application * Les traceurs testant différentes versions afin d’optimiser les besoins de l’éditeur en fonction de ses choix éditoriaux selon leurs performances L’autorité française de protection des données a donné des exemples de cookies concernés par l’exemption de consentement. Concernant les pratiques dont la Commission est informée, nous avons : * des traceurs conservant le choix exprimé par l’utilisateur concernant le dépôt de traceurs ou sa volonté de ne pas exprimer de choix ; * des traceurs destinés à l’authentification à un service ; * des traceurs destinés à mémoriser le contenu d’un panier d’achat sur un site commercial ; * des traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou la présentation d’un service), lorsque cette personnalisation constitue une partie intrinsèque attendue par l’utilisateur du service ; * des traceurs permettant l’équilibrage du volume des équipements contribuant à un service de communication ; * des traceurs permettant aux sites de services payants de limiter leur accès gratuit au contenu sur une période/quantité de contenu prédéfinie. * des traceurs mesurant l’audience, dans le cas spécifique de l’article 5 des lignes directrices sur les cookies et autres traceurs. **⚠️ Attention, pour ces deux dernières catégories (traceurs d’audience et traceurs de test A/B), l’autorité française de protection des données a listé certaines conditions CUMULATIVES à respecter impérativement pour bénéficier de cette exemption.** Voici la liste des conditions à remplir pour être dispensé du consentement : * ils doivent être mis en œuvre par l’éditeur du site ou son sous-traitant ; * la personne doit être informée de leur mise en œuvre au préalable ; * la personne doit avoir la possibilité de s’y opposer via un mécanisme d’opposition pouvant être utilisé facilement sur tous les terminaux, systèmes d’exploitation, applications et navigateurs web. Aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal à partir duquel elle s’est opposée ; * la finalité du dispositif doit être limitée à (i) la mesure de l’audience des contenus consultés afin de permettre l’évaluation des contenus publiés et de l’ergonomie sur le site/l’application ; (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela soit nécessaire pour cibler une personne unique ; (iii) la modification dynamique et globale d’un site web. Les données personnelles collectées ne doivent pas non plus être recoupées et croisées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites web, par exemple), ni transmises à un tiers. L’utilisation de ces traceurs doit également être strictement limitée à la production de statistiques anonymes. Son périmètre doit se limiter à un seul éditeur ou une seule application mobile, et il ne doit pas permettre le suivi de la navigation d’un utilisateur via différentes applications ou sur différents sites web ; * L’utilisation de l’adresse IP pour géolocaliser l’utilisateur ne doit fournir aucune autre information que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ; * Les traceurs utilisés pour ces traitements ne doivent pas avoir une durée supérieure à 13 mois et celle-ci ne doit pas être prolongée automatiquement lors de nouvelles visites. Les informations collectées via les traceurs doivent être conservées pendant une durée de vingt-cinq mois. Le cookie peut être déposé sans consentement uniquement s’il ne sert qu’à des finalités précises. S’il implique aussi d’autres finalités, il ne peut pas être exempté de consentement. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.didomi.io/fr/plateforme-de-gestion-du-consentement-cmp/cadres-reglementations/reglement-general-sur-la-protection-des-donnees-rgpd/cnil-commission-nationale-de-linformatique-et-des-libertes.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.