Hello,
Après de longues recherches, j’ai 2 petites questions RGPD qui restent sans réponses…
1 - Est-ce qu’on a une date limite pour garder nos statistiques anonymisées comme il faut ?
Il y a une option dans Matomo pour “Supprimer régulièrement les anciennes données brutes” et “Supprimer les données des anciens rapports aggrégés” mais je ne vois rien d’indiquer sur la CNIL sur cette durée de conservation. (13 mois c’est pour les données non anonymisées / les cookies traceurs ?)
2 - Il y a cette option “Forcer le suivi sans cookies” qui est disponible à cocher
La CNIL n’en parle pas, dans son guide spécial Matomo non plus. Est-ce que c’est :
Vitale à cocher pour être exempt de consentement, bien de le cocher mais pas obligatoire ou au bon vouloir de chacun-chacune ?
Si on le coche automatiquement on devrait être exempt de consentement non (vu que c’est une demande de consentement pour poser des cookies et là on en poserait pas) ?
Et est-ce que c’est fonctionnalités bloquent aussi les cookies tiers, si j’ai des vidéos Youtube sur mon site par exemple ?
Si quelqu’un a des pistes…
Un grand merci pour votre aide !
Souvent, c’est 25 mois qui sont conservés. Cela permet de ne pas trop encombrer la base de données tout en permettant une analyse sur une année complète en permanence.
Le consentement concerne la collecte de données personnelles, pas spécifiquement le dépôt d’un cookie. (Le parcours de navigation est-elle une donnée personnelle ? je ne crois pas)
Il me semble que dans votre cas, on peut ne pas utiliser de modale de demande de consentement, mais qu’il faut tout de même proposer une page informant les démarches à effectuer pour effacer toute information collectée…
Voir aussi :
Si vous n’avez pas de cookie mais tracez une donnée personnelle (ex : IP non anonymisée), il faut tout de même demander un consentement
Je ne sais pas à quoi “ces” fait référence. Si vous hébergez des cookies tiers à cause de vidéos youtube, il faut demander un consentement
Selon la loi, il n’est pas permis de donner des conseils juridiques sur ce forum. Seuls les avocats sont autorisés à le faire. Les informations suivantes ne sont que des orientations.
Il existe bel et bien encore des malentendus avec le RGDP.
Avec les cookies :
Lorsque le suivi est effectué à l’aide de cookies et que des données à caractère personnel sont enregistrées : Cookie Consent Oui. Consentement au suivi Oui.
Données à caractère personnel : IP complète. Empreinte digitale.
Si le suivi est effectué à l’aide de cookies et qu’aucune donnée à caractère personnel n’est enregistrée : Cookie Consent Oui. Consentement au suivi Non, mais informations de suivi directes.
Sans cookie :
Même dans ce cas, le consentement/l’information de suivi est nécessaire comme mentionné précédemment, sauf le consentement au cookie.
L’évaluation de l’“user-id” Matomo est difficile. Celui-ci est en fait une empreinte digitale, même sans cookies, mais il n’est pas appelé ainsi. Cependant, comme aucun visiteur récurrent n’est reconnu sans cookies (limite de 30 minutes), il peut être considéré comme non personnel.
Temps de stockage
La durée de l’enregistrement n’est pas spécifiée, ou alors seulement avec “plausible”. En effet, tout stockage de données à caractère personnel et de cookies doit avoir une justification directement accessible. C’est donc la justification qui compte. Premièrement, il doit y avoir une justification. Deuxièmement, cette justification doit être plausible.
Il est donc possible de stocker des données de manière intemporelle s’il existe une justification plausible.
J’ai continué à chercher une réponse à mes questions entre temps et j’ai trouvé la réponse à ma première question :
À la page 5 du document “Guide Pratique - Les durées de conservation” par la CNIL :
En effet, une fois anonymisées, les données n’étant plus considérées comme des données à caractère personnel,
la règlementation relative à la protection des données personnelles ne trouve plus à s’appliquer.
Donc pas de date limite légale pour conserver les données anonymisées, mais bien de mettre une limite pour limiter la taille de notre BDD comme le dit @heurteph-ei
Pour la deuxième question, j’ai laissé de côté puisque la CNIL n’en parle pas dans son guide.
!