✨Les principales évolutions

1️⃣ Du programme d’évaluation à l’auto-évaluation

Jusqu’à présent, la CNIL menait un programme d’évaluation officiel : les solutions pouvaient être auditées et reconnues comme configurables pour bénéficier de l’exemption.

👉 Désormais, ce dispositif est remplacé par un outil d’auto-évaluation mis à disposition des fournisseurs. Chaque éditeur ou prestataire doit être en mesure de démontrer que sa solution, telle qu’elle est configurée, respecte bien les critères.

2️⃣ Fin de la liste officielle des solutions auditées

La liste publique des solutions évaluées par la CNIL disparaîtra le 1er janvier 2026.

👉 Ce sera désormais à chaque éditeur et fournisseur de prouver sa conformité, que ce soit en avant-vente de l’achat d’une solution ou lors d’un audit de la CNIL.

3️⃣ Conditions d’exemption : continuité mais plus d’exigence

Les grands principes de 2020 sont maintenus :

  • finalité strictement limitée à la mesure d’audience,
  • anonymisation des données,
  • absence de recoupement avec d’autres traitements,
  • pas de suivi inter-sites,
  • conformité au RGPD.

En 2025, ces critères sont précisés et renforcés : l’auto-évaluation impose une documentation détaillée des métriques collectées et des paramètres de configuration.

4️⃣ Durée de vie des traceurs et conservation des données

  • 2020 : recommandations claires → durée de vie limitée des traceurs / cookies (ex. 13 mois), conservation maximale des données collectées de 25 mois, réexamen périodique.
  • 2025 : ces règles restent, mais le point clé est que les éditeurs doivent prouver concrètement que ces durées sont respectées dans leur configuration, et pas seulement affichées en théorie.

5️⃣ Responsabilité renforcée

Avec ce nouveau cadre, la CNIL transfère l’entière responsabilité :

  • aux fournisseurs de solutions analytics,
  • et aux éditeurs de sites qui les implémentent.

👉 À eux de garantir que leurs configurations sont conformes et de pouvoir le démontrer à tout moment.

✅ En résumé : la CNIL ne « valide » plus les solutions. C’est désormais à chaque acteur de prouver et documenter sa conformité. Un changement de posture majeur qui impose plus de rigueur, de transparence et de gouvernance.

⚠️ Ce que cela implique

  • Audit de vos outils actuels : Si vous utilisez un outil listé dans la version 2020, vérifiez sa version, sa configuration, si elle correspond à ce que vous utilisez réellement. Ne partez pas du principe que “listé = exempté automatiquement”.
  • Utiliser l’outil d’auto-évaluation CNIL sans tarder : c’est désormais le mécanisme central pour vérifier si votre solution peut être exemptée du consentement. Conservez les éléments de preuve (configuration, version, métriques activées, durée de vie des cookies, etc.).
  • Transparence avec les prestataires : exigez des guides de configuration, des engagements contractuels pour qu’ils respectent les critères de l’exemption, et demandez la documentation.
  • Mise à jour des politiques internes et de confidentialité : assurez-vous que vos politiques mentionnent les bonnes pratiques (durée de vie, conservation, anonymisation, absence de suivi inter-site ou de recoupement non autorisé).
  • Préparer la suppression de l’ancienne page : la version 2020 sera supprimée au 1er janvier 2026. Il faut donc être pleinement opérationnel sous les critères 2025 bien en amont.

💡 En conclusion

La différence entre 2020 et 2025 n’est pas révolutionnaire sur les principes (finalité, anonymisation, durée, etc.), mais réelle sur la forme et la responsabilité. On passe d’un cadre où la CNIL identifiait des outils “sûrs” vers un régime dans lequel chaque éditeur / fournisseur doit prouver que son usage est conforme. C’est une poussée vers l’auto-responsabilité, la transparence et la démonstration.

L’équipe d’Optimal Ways est prête à vous accompagner sur ces enjeux. Nous travaillons depuis plusieurs années aux côtés des DPO de grands acteurs du retail et de l’e-commerce, avec une expérience reconnue dans la mise en conformité et l’optimisation des solutions analytics.

Planifier un appel découverte

Sources :