Piwik et la CNIL : comment se mettre en conformité?

Contrairement à ce que l’on pense, déployer Piwik sur un site internet ne signifie pas automatiquement que vous êtes en règle.

Il faut pour cela respecter plusieurs obligations que vous trouverez ci-dessous.

Les obligations à respecter lorsque l’on utilise Piwik sur un site web

Lorsque vous mettez en place Piwik sur un site web, voici ce que devez faire :

  • Fournir une page d’information claire et complète sur son site, en gros vous devez expliquer aux internautes les données que vous collectez et à quoi sert les solutions utilisées. Cette page d’information peut être votre page de mentions légales, même si une page intitulée confidentialité des données est plus explicite. Exemple : page de confidentialité des données de Ronan Chardonneau.
  • Sur cette page de confidentialité des données ou sur un autre endroit visible de votre site internet, vous devez proposer un moyen pour l’internaute de s’opposer à l’utilisation de cette solution. En gros même si Piwik exempt de recueil de consentement pour le dépôt des cookies, un internaute a le droit de s’opposer à ce que des données soit collectées. Par ailleurs il faut que ces moyens d’opposition puissent marcher pour tous types de terminaux (y compris les smartphones et tablettes). Piwik vous propose une fonctionnalité sous la forme d’un iframe que vous trouverez dans l’espace d’administration –> Vie privée –> tout en bas du site vous trouverez :

 

< iframe style="border: 0; height: 200px; width: 600px;" src="https://piwik.mon-site.fr/index.php?module=CoreAdminHome&action=optOut&language=fr">

  • Les données collectées ne doivent pas être recoupées avec d’autres traitements. Ici la consigne est claire vous ne pouvez pas utiliser n’importe quel plugin de Piwik ou importer n’importe quoi dans Piwik, notamment des bases de données clients.
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes. Cela signifie qu’il vous faudra paramétrer Piwik d’une certaine manière pour permettre aux données collectées de ne pas remonter jusqu’à un individu donné.
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
    L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés. C’est ce que l’on paramètre dans Piwik dans l’espace d’administration :

  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite. C’est également quelque chose que l’on paramètre dans Piwik :

 

_paq.push([function() {
          var self = this;
          function getOriginalVisitorCookieTimeout() {
                     var now = new Date(),
                     nowTs = Math.round(now.getTime() / 1000),
                     visitorInfo = self.getVisitorInfo();
                     var createTs = parseInt(visitorInfo[2]);
                     var cookieTimeout = 33696000; // 13 mois en secondes
                     var originalTimeout = createTs + cookieTimeout - nowTs;
                     return originalTimeout;
          }
          this.setVisitorCookieTimeout( getOriginalVisitorCookieTimeout() );
}]);
Confidentialité des Données Mentions Légales