Position juridique et technique

Pour les DPO, équipes juridiques et responsables conformité

1. Objet du présent document

Ce document présente le fonctionnement technique du module Realtime Cookie Scanner de Commanders Act, et fournit aux équipes juridiques et de conformité les informations nécessaires pour apprécier sa qualification réglementaire.

Il décrit le fonctionnement technique du module et les métadonnées techniques qu’il observe, suivi d’une analyse juridique de son fonctionnement au regard de l’article 5(3) de la directive ePrivacy et d’une explication de pourquoi le module n’implique pas le traitement de données à caractère personnel au sens du RGPD.

Le document énonce également les garanties techniques mises en œuvre pour s’assurer que le module fonctionne exclusivement comme un outil de contrôle de conformité.

2. Fonctionnement technique du module

2.1 Nature et finalité du module

Realtime Cookie Scanner est un module JavaScript exécuté dans le navigateur du visiteur. Sa seule finalité est de permettre aux exploitants de sites web de vérifier que leurs sites sont conformes aux règles applicables en matière de déploiement de cookies et technologies similaires, en particulier les exigences découlant du cadre ePrivacy.

Concrètement, le module permet aux exploitants de :

• tenir un inventaire à jour des cookies présents sur leur site web ;

• identifier les sources techniques responsables de la création des cookies ;

• détecter les cookies qui apparaissent avant le consentement de l’utilisateur ou après un refus ;

• surveiller l’évolution de l’utilisation des cookies dans le temps ;

• soutenir les audits internes en matière de privacy et de conformité.

2.2 Opérations techniques effectuées

Le module réalise les opérations suivantes dans le navigateur :

• lecture des noms de cookies présents dans le navigateur via document.cookie;

• lecture des clés présentes dans localStorage;

• lecture des clés présentes dans sessionStorage;

• tentative, sur la base du meilleur effort, d’identifier les sources techniques potentiellement associées aux cookies, lorsque cela est techniquement possible ;

• enregistrement des URLs des pages analysées;

• détection de l’ état de consentement fourni par la Consent Management Platform (CMP) (par ex. Didomi, OneTrust, Commanders Act CMP).

Le scanner ne modifie pas les cookies présents dans le navigateur. Son rôle se limite strictement à l’observation.

2.3 Données observées et transmises

Le module collecte uniquement les métadonnées techniques nécessaires à la constitution d’un inventaire des cookies.

Données observées et transmises aux serveurs de Commanders Act :

• noms de cookies

• clés présentes dans localStorage et sessionStorage

• URLs des pages analysées

• catégories de consentement activées par la CMP

Données ni collectées ni exploitées :

• valeurs des cookies ou tout identifiant associé à un utilisateur individuel

• empreintes du navigateur

• données comportementales ou analytiques

Remarque sur l’adresse IP et le user-agent : lorsque le module transmet des métadonnées aux serveurs de Commanders Act, une requête HTTP est initiée par le navigateur. Dans le cadre du fonctionnement normal du protocole HTTP, ces requêtes contiennent de manière inhérente des informations techniques incluant l’adresse IP de l’émetteur et la chaîne user-agent. Ces éléments ne sont pas collectés ni utilisés par le module pour les besoins du service et ne sont pas traités dans le cadre de la fonctionnalité de scan des cookies.

2.4 Hébergement et transfert des données

Toutes les métadonnées techniques transmises par le module sont envoyées exclusivement aux serveurs de Commanders Act hébergés au sein de l’Union européenne. Aucune donnée n’est transférée vers des serveurs situés hors UE.

2.5 Exécution avant consentement

Le module s’exécute au chargement de la page, indépendamment de l’état du consentement de l’utilisateur.

Il ne s’agit pas d’un choix de conception arbitraire. Afin de détecter des cookies pouvant apparaître avant le consentement de l’utilisateur ou après un refus, le module doit être en mesure d’observer l’environnement du navigateur au moment du chargement de la page. Si le module n’était déclenché qu’après la collecte du consentement, certaines situations de déploiement non conformes des cookies ne pourraient pas être détectées.

Le module surveille ensuite les changements d’état de consentement via l’API de la CMP afin de comparer la présence des cookies avant et après la décision de l’utilisateur.

3. Analyse juridique

3.1 Champ d’application de l’article 5(3) de la directive ePrivacy

L’article 5(3) de la directive ePrivacy exige un consentement préalable pour toute opération impliquant l’accès aux informations stockées dans l’équipement terminal de l’utilisateur, ou le stockage d’informations dans celui-ci, indépendamment du fait que ces informations constituent des données personnelles.

Le Realtime Cookie Scanner, dans la mesure où il accède aux cookies et aux clés de stockage présentes dans le navigateur, relève du champ d’application de cette disposition. Cela est reconnu.

La question juridique pertinente est donc de savoir si cet accès peut être considéré comme strictement nécessaire à la fourniture du service.

Le module n’est pas conçu pour tracer ou identifier des utilisateurs, et son fonctionnement peut être apprécié à la lumière de l’exception de stricte nécessité pour les raisons exposées ci‑dessous.

3.2 Qualification au titre de l’exception de stricte nécessité

La directive ePrivacy prévoit une exemption pour les opérations qui sont strictement nécessaires soit dans le seul but d’effectuer une transmission sur un réseau de communications électroniques, soit lorsque l’accès est strictement nécessaire pour fournir un service expressément demandé par l’utilisateur. La question pertinente est donc de savoir si le fonctionnement du Realtime Cookie Scanner peut relever du second volet de cette exemption, à savoir lorsque l’accès à l’équipement terminal est strictement nécessaire à la fourniture d’un service. Cette appréciation peut être examinée selon les éléments suivants :

a) Finalité exclusive de conformité et d’audit technique

Le module n’effectue aucun tracking utilisateur, n’exploite pas les données à des fins marketing ou analytiques, et ne produit aucun profilage. Sa seule finalité est de permettre à l’exploitant du site web de vérifier que son propre site est conforme aux obligations ePrivacy et RGPD applicables.

À cet égard, le module fonctionne comme un outil de surveillance technique destiné à soutenir la vérification interne de conformité par l’exploitant du site.

b) Nécessité technique de l’observation pré-consentement

L’exécution avant consentement est étroitement liée à la fonctionnalité centrale du module. Un outil conçu pour détecter les cookies déployés avant le consentement doit pouvoir opérer en observant l’environnement du navigateur à ce moment précis. Limiter le module à une observation post-consentement l’empêcherait de détecter précisément les situations de déploiement non conforme des cookies que le module vise à identifier. Cette exigence opérationnelle découle donc directement de l’objectif du service plutôt que d’un choix discrétionnaire d’implémentation.

En pratique, les approches reposant uniquement sur des scans automatisés par crawler présentent des limites structurelles lorsqu’il s’agit de détecter certaines catégories de déploiement de cookies.

Les scans basés sur des crawlers s’appuient généralement sur des scénarios de navigation prédéfinis et ne peuvent pas reproduire la pleine diversité des parcours de navigation réels des utilisateurs.

Certains cookies n’apparaissent que dans des conditions spécifiques — cookies rares, cookies déclenchés par des parcours utilisateur particuliers, ou cookies déployés de manière conditionnelle selon des paramètres techniques — qui ne sont pas toujours captés par des scénarios de scan automatisés.

Parce que l’objectif du module est précisément d’identifier des situations de déploiement non conforme des cookies, l’observation des conditions de navigation réelles devient nécessaire pour atteindre cet objectif.

Les approches basées sur des crawlers ne peuvent pas reproduire de manière fiable l’ensemble des conditions de navigation réelles, faisant de l’observation en temps réel la méthode la plus fiable pour assurer une détection complète des déploiements de cookies non conformes.

c) Absence de traitement de données personnelles

Le module ne collecte pas les valeurs des cookies, les identifiants utilisateur, ni les empreintes du navigateur. Les métadonnées observées (noms de cookies, clés de stockage, URLs) sont traitées uniquement dans le but d’établir un inventaire technique des cookies déployés sur le site web et ne sont pas utilisées pour identifier des utilisateurs individuels. En conséquence, le module n’est pas conçu pour traiter des données personnelles dans le cadre de sa finalité fonctionnelle.

d) Aucun transfert vers des tiers publicitaires ou analytiques

Les données observées par le module sont transmises exclusivement aux serveurs de Commanders Act, dans le but de fournir le service de contrôle de conformité. Elles ne sont pas partagées avec des tiers publicitaires ou analytiques et ne sont pas utilisées à des fins marketing, de tracking ou de profilage.

3.3 Absence de traitement de données personnelles au sens du RGPD

Dans la mesure où les métadonnées observées par le module n’autorisent pas l’identification directe ou indirecte d’un utilisateur, le module n’est pas conçu pour traiter des données personnelles dans le cadre de sa finalité fonctionnelle.

En conséquence, l’analyse juridique du module concerne principalement l’application de l’article 5(3) de la directive ePrivacy.

À titre subsidiaire, dans l’hypothèse où une autorité de contrôle considérerait que certaines métadonnées techniques pourraient constituer des données personnelles dans un contexte spécifique, l’intérêt légitime du responsable de traitement à assurer sa propre conformité réglementaire (article 6(1)(f) du RGPD) constituerait une base légale, sous réserve de la réalisation du test d’équilibre.

3.4 Position des autorités nationales et recommandations documentaires

Certaines autorités de contrôle, notamment l’AEPD (Espagne) et des autorités allemandes, ont historiquement adopté une interprétation particulièrement stricte du concept de « strictement nécessaire » pour les technologies exécutées dans le navigateur avant consentement.

L’architecture technique du Realtime Cookie Scanner a été conçue en tenant compte de ces interprétations réglementaires plus strictes. La combinaison d’une finalité exclusivement dédiée à la conformité, d’une collecte minimale de données, de l’absence de traitement de données personnelles dans la conception fonctionnelle du module, et d’un hébergement des données au sein de l’UE vise à fournir une base robuste pour l’appréciation par des organisations opérant dans différentes juridictions européennes, y compris celles appliquant des normes réglementaires particulièrement exigeantes.

3.5 Appréciation globale

Le déploiement d’un outil de surveillance de la conformité en temps réel peut contribuer à la capacité d’une organisation à identifier et gérer les risques réglementaires potentiels liés au déploiement des cookies.

Les approches reposant uniquement sur des scans automatisés par crawler, ou l’absence de mécanismes de surveillance continue, peuvent dans certaines circonstances ne fournir qu’une vue partielle des cookies effectivement déployés sur un site web.

Certaines catégories de cookies, telles que les cookies conditionnels, les cookies déclenchés par des parcours de navigation spécifiques, ou les cookies déployés uniquement dans des contextes techniques particuliers, peuvent donc rester plus difficiles à détecter sans observation en conditions de navigation réelles.

À cet égard, le Realtime Cookie Scanner peut contribuer à réduire l’exposition réglementaire d’une organisation en aidant à identifier d’éventuelles situations de déploiement non conforme des cookies.

Sur cette base, le module peut raisonnablement être qualifié d’outil de contrôle de conformité, plutôt que de technologie de tracking conçue pour analyser ou profiler le comportement des utilisateurs.

Les garanties techniques décrites dans ce document contribuent à soutenir cette qualification.

4. Résumé des garanties techniques