# Document de position juridique et technique #### Pour les DPO, les équipes juridiques et les responsables conformité *** ### 1. Objet du présent document Ce document présente le fonctionnement technique du module Commanders Act Realtime Cookie Scanner et fournit aux équipes juridiques et conformité les informations nécessaires pour évaluer sa qualification réglementaire. Il décrit le fonctionnement technique du module ainsi que les métadonnées techniques qu’il observe, puis propose une analyse juridique de son fonctionnement au regard de l’article 5(3) de la directive ePrivacy et explique pourquoi le module n’implique pas de traitement de données à caractère personnel au sens du RGPD. Le document décrit également les mesures techniques de protection mises en œuvre afin de garantir que le module fonctionne exclusivement comme un outil de suivi de conformité. *** ### 2. Fonctionnement technique du module #### 2.1 Nature et objet du module Realtime Cookie Scanner est un module JavaScript exécuté dans le navigateur du visiteur. Son seul objectif est de permettre aux opérateurs de sites web de vérifier que leurs sites sont conformes aux règles applicables régissant le déploiement des cookie et des technologies similaires, en particulier aux exigences découlant du cadre ePrivacy. Concrètement, le module permet aux opérateurs de : * maintenir un inventaire à jour des cookie présents sur leur site web ; * identifier les sources techniques responsables de la création des cookie ; * détecter les cookie qui apparaissent avant le consentement de l’utilisateur ou après un refus ; * suivre l’évolution de l’utilisation des cookie dans le temps ; * soutenir les audits internes de confidentialité et de conformité. #### 2.2 Opérations techniques effectuées Le module effectue les opérations suivantes dans le navigateur : * lecture des **noms des cookie** présents dans le navigateur via `document.cookie`; * lecture des **clés présentes dans `localStorage`**; * lecture des **clés présentes dans `sessionStorage`**; * tentative, dans la mesure du possible, d’identifier les **sources techniques** potentiellement associées aux cookie, lorsque cela est techniquement possible ; * enregistrement des **URL des pages analysées**; * détection de l’ **état du consentement** fourni par la Consent Management Platform (CMP) (par ex. Didomi, OneTrust, Commanders Act CMP). Le scanner **ne modifie pas** les cookie présents dans le navigateur. Son rôle est strictement limité à l’observation. #### 2.3 Données observées et transmises Le module collecte uniquement les métadonnées techniques nécessaires à l’établissement d’un inventaire des cookie. **Données observées et transmises aux serveurs Commanders Act :** * noms des cookie * clés présentes dans `localStorage` et `sessionStorage` * URL des pages analysées * catégories de consentement activées par le CMP **Données ni collectées ni exploitées :** * valeurs des cookie ou tout identifiant associé à un utilisateur individuel * empreintes du navigateur * données comportementales ou analytiques **Note sur l’adresse IP et l’user-agent :** lorsque le module transmet des métadonnées aux serveurs Commanders Act, une requête HTTP est initiée par le navigateur. Dans le cadre du fonctionnement normal du protocole HTTP, ces requêtes contiennent intrinsèquement des informations techniques, notamment l’adresse IP de l’émetteur et la chaîne user-agent. Ces éléments ne sont ni collectés ni utilisés par le module aux fins du service et ne sont pas traités dans le cadre de la fonctionnalité de scan des cookie. #### 2.4 Hébergement et transfert des données Toutes les métadonnées techniques transmises par le module sont envoyées exclusivement aux serveurs Commanders Act hébergés au sein de l’Union européenne. Aucune donnée n’est transférée vers des serveurs situés en dehors de l’UE. #### 2.5 Exécution avant consentement Le module s’exécute au chargement de la page, indépendamment du statut de consentement de l’utilisateur. Il ne s’agit pas d’un choix de conception arbitraire. Afin de détecter les cookie susceptibles d’apparaître avant le consentement de l’utilisateur ou après un refus, le module doit être en mesure d’observer l’environnement du navigateur au moment précis du chargement de la page. Si le module n’était déclenché qu’après la collecte du consentement, certaines situations de déploiement non conforme des cookie ne pourraient pas être détectées. Le module surveille ensuite les changements de statut de consentement via l’API du CMP afin de comparer la présence des cookie avant et après la décision de l’utilisateur. *** ### 3. Analyse juridique #### 3.1 Champ d’application de l’article 5(3) de la directive ePrivacy L’article 5(3) de la directive ePrivacy exige un consentement préalable pour toute opération impliquant **l’accès à des informations stockées dans l’équipement terminal de l’utilisateur**ou le stockage d’informations dans celui-ci, que ces informations constituent ou non des données à caractère personnel. Le Realtime Cookie Scanner, dans la mesure où il accède aux cookie et aux clés de stockage présents dans le navigateur, entre dans le champ d’application de cette disposition. Cela est reconnu. La question juridique pertinente est donc de savoir si cet accès peut être considéré comme strictement nécessaire à la fourniture du service. Le module n’est pas conçu pour suivre ou identifier les utilisateurs, et son fonctionnement peut être apprécié à la lumière de l’exception de nécessité stricte pour les raisons exposées ci-dessous. #### 3.2 Qualification au titre de l’exception de nécessité stricte La directive ePrivacy prévoit une exception pour les opérations qui sont **strictement nécessaires** soit dans le seul but d’effectuer une transmission sur un réseau de communications électroniques, soit lorsque l’accès est strictement nécessaire afin de fournir un service explicitement demandé par l’utilisateur. La question pertinente est donc de savoir si le fonctionnement de Realtime Cookie Scanner peut entrer dans le second volet de cette exception, à savoir lorsque l’accès à l’équipement terminal est strictement nécessaire à la fourniture d’un service. Cette appréciation peut être examinée sur les fondements suivants : **a) Finalité exclusive de conformité et d’audit technique** Le module n’effectue aucun suivi des utilisateurs, n’exploite pas les données à des fins marketing ou analytiques et ne produit aucun profilage. Son seul objectif est de permettre à l’opérateur du site web de vérifier que son propre site web est conforme aux obligations applicables en matière d’ePrivacy et de RGPD. À cet égard, le module fonctionne comme un outil de surveillance technique destiné à soutenir la vérification interne de conformité par l’opérateur du site web. **b) Nécessité technique de l’observation avant consentement** L’exécution avant consentement est étroitement liée à la fonctionnalité principale du module. Un outil conçu pour détecter les cookie déployés avant le consentement doit pouvoir fonctionner en observant l’environnement du navigateur à ce moment précis. Restreindre le module à une observation après consentement l’empêcherait de détecter précisément les situations de déploiement non conforme des cookie que le module est conçu pour identifier. Cette exigence opérationnelle découle donc directement de l’objet du service plutôt que d’un choix de mise en œuvre discrétionnaire. En pratique, les approches reposant uniquement sur des scans automatisés de type crawler présentent des limites structurelles lorsqu’il s’agit de détecter certaines catégories de déploiements de cookie. Les scans basés sur des crawlers s’appuient généralement sur des scénarios de navigation prédéfinis et ne peuvent pas reproduire toute la diversité des parcours réels de navigation des utilisateurs. Certains cookie n’apparaissent que dans des conditions spécifiques, cookie rares, cookie déclenchés par des parcours utilisateur particuliers, ou cookie déployés conditionnellement selon des paramètres techniques, qui peuvent ne pas toujours être captés par des scénarios de scan automatisés. Étant donné que l’objet du module est précisément d’identifier les situations de déploiement non conforme des cookie, l’observation de conditions de navigation réelles devient nécessaire pour atteindre cet objectif. Les approches basées sur des crawlers ne peuvent pas reproduire de manière fiable l’ensemble des conditions réelles de navigation, ce qui fait de l’observation en temps réel la méthode la plus fiable pour garantir une détection exhaustive des déploiements non conformes de cookie. **c) Absence de traitement de données à caractère personnel** Le module ne collecte pas les valeurs des cookie, les identifiants utilisateur ni les empreintes du navigateur. Les métadonnées observées (noms de cookie, clés de stockage, URL) sont traitées uniquement dans le but d’établir un inventaire technique des cookie déployés sur le site web et ne sont pas utilisées pour identifier des utilisateurs individuels. En conséquence, le module n’est pas conçu pour traiter des données à caractère personnel dans le cadre de sa finalité fonctionnelle. **d) Aucune transmission à des tiers publicitaires ou analytiques** Les données observées par le module sont transmises exclusivement aux serveurs Commanders Act, dans le but de fournir le service de suivi de conformité. Elles ne sont pas partagées avec des tiers publicitaires ou analytiques et ne sont pas utilisées à des fins de marketing, de suivi ou de profilage. #### 3.3 Absence de traitement de données à caractère personnel au titre du RGPD Dans la mesure où les métadonnées observées par le module ne permettent pas d’identifier directement ou indirectement un utilisateur, le module n’est pas conçu pour traiter des données à caractère personnel dans le cadre de sa finalité fonctionnelle. En conséquence, l’analyse juridique du module concerne principalement l’application de l’article 5(3) de la directive ePrivacy. À titre subsidiaire, si une autorité de contrôle considérait que certaines métadonnées techniques pourraient constituer des données à caractère personnel dans un contexte spécifique, l’intérêt légitime du responsable du traitement à assurer sa propre conformité réglementaire (article 6(1)(f) RGPD) constituerait une base juridique, sous réserve de la mise en balance des intérêts. #### 3.4 Position des autorités nationales et recommandations documentaires Certaines autorités de contrôle, notamment l’AEPD (Espagne) et les autorités allemandes, ont historiquement adopté une interprétation particulièrement stricte de la notion de "strictement nécessaire" pour les technologies exécutées dans le navigateur avant consentement. L’architecture technique de Realtime Cookie Scanner a été conçue en tenant compte de ces interprétations réglementaires plus strictes. La combinaison d’une finalité exclusivement liée à la conformité, d’une collecte minimale de données, de l’absence de traitement de données à caractère personnel dans la conception fonctionnelle du module et d’un hébergement des données dans l’UE vise à fournir une base solide d’appréciation pour les organisations opérant dans différentes juridictions européennes, y compris celles appliquant des normes réglementaires particulièrement exigeantes. #### 3.5 Appréciation globale Le déploiement d’un outil de suivi de conformité en temps réel peut contribuer à la capacité d’une organisation à identifier et gérer les risques réglementaires potentiels liés au déploiement des cookie. Les approches reposant uniquement sur des scans automatisés de type crawler, ou l’absence de mécanismes de surveillance continue, peuvent dans certaines circonstances ne fournir qu’une vision partielle des cookie effectivement déployés sur un site web. Certaines catégories de cookie, telles que les cookie conditionnels, les cookie déclenchés par des parcours de navigation spécifiques ou les cookie déployés uniquement dans certains contextes techniques, peuvent donc rester plus difficiles à détecter sans observation dans des conditions réelles de navigation. À cet égard, Realtime Cookie Scanner peut contribuer à réduire l’exposition réglementaire d’une organisation en aidant à identifier les situations potentielles de déploiement non conforme de cookie. Sur cette base, le module peut raisonnablement être qualifié d’outil de suivi de conformité, plutôt que de technologie de suivi destinée à analyser ou profiler le comportement des utilisateurs. Les mesures techniques de protection décrites dans le présent document contribuent à étayer cette qualification. *** ### 4. Synthèse des mesures techniques de protection | Critère | Realtime Cookie Scanner | | ------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------- | | Collecte de données à caractère personnel | Non (le module n’est pas conçu pour collecter des données à caractère personnel dans le cadre de sa finalité fonctionnelle) | | Collecte des valeurs de cookie | Non | | Identifiants utilisateur | Non | | Empreinte du navigateur | Non | | Finalité de suivi ou de profilage | Non | | Transfert à des tiers publicitaires | Aucun transfert à des tiers publicitaires ou analytiques | | Adresse IP / user-agent stockés ou exploités | Non (une transmission technique via HTTP peut se produire, mais ces éléments ne sont ni stockés ni utilisés par le module) | | Nécessité technique d’une exécution avant consentement | Oui — liée à la fonction du module consistant à détecter les cookie apparaissant avant consentement | | Finalité exclusive de conformité et d’audit | Oui |