Privacy Statnive Live · Parhum Khoshbakht

Fiche CNIL n°16 décryptée : mesure d'audience sans consentement en France

La CNIL autorise l'analyse web sans consentement — mais uniquement sous les conditions de mesure d'audience de la fiche n°16. Voici le test, la date limite du 1er janvier 2026 et comment la réussir.

Ceci est une recherche en matière de protection des données, et non un conseil juridique. Voir la note de bas de page pour la clause de non-responsabilité complète.

TL;DR

  • La CNIL française autorise l’analyse web sans bandeau sous les conditions cumulatives de la fiche n°16 — site unique, ≤3 types d’événements, troncature IP, traceur 13 mois, conservation 25 mois, référent uniquement host, agrégation à la dizaine la plus proche.
  • La date limite du 1er janvier 2026 est désormais passée. Le programme d’évaluation hérité est retiré ; le régime d’auto-évaluation est en vigueur. Les fournisseurs publient des attestations datées ; les opérateurs documentent leur configuration déployée.
  • GA4 échoue à la dérogation — transfert transfrontalier vers les États-Unis, mutualisation entre clients, identifiant persistant, non-éditeur-unique. Le routage via sGTM ne le règle pas.
  • Statnive Live livre l’architecture fiche n°16 par défaut en mode consent-free avec le préréglage de juridiction FR ; l’endpoint d’audit d’événements fait apparaître en un clic la vérification du plafond CNIL à 3 événements.
  • La formulation compte — la posture juridique correcte est « configurable pour qualifier sous la dérogation CNIL de mesure d’audience lorsque déployé conformément à la LIA et à l’auto-évaluation CNIL », jamais « certifié CNIL » ni « exempté CNIL purement et simplement ».

La CNIL a passé plus d’une décennie à construire l’article 82 de la Loi n° 78-17 — la transposition française de l’ePrivacy — pour en faire la dérogation de consentement à la mesure d’audience la plus détaillée de l’UE. Là où le § 25 TDDDG allemand n’offre aucun chemin sans consentement pour l’analyse, où l’APD belge refuse explicitement de reconnaître une dérogation, et où l’ICO britannique n’accorde qu’une « priorité d’application basse » plutôt qu’une dérogation légale, la CNIL publie des orientations destinées aux opérateurs, un outil d’auto-évaluation et une liste précise de conditions qui — si elles sont remplies — permettent à un opérateur d’exécuter l’analyse sans bandeau de cookies en France.

La dérogation est réelle, étroite et fraîchement mise à jour. La directive CNIL actuelle a été révisée le 4 juillet 2025 avec une date limite de conformité au 1er janvier 2026. La liste du programme d’évaluation hérité — la voie de qualification d’outil pré-2026 — est en cours de retrait : « Au 1er Janvier 2026, cette page sera supprimée. La période de soumission à ce programme est terminée. » À partir de cette date, les opérateurs s’appuient sur une auto-évaluation documentée, et non sur une pré-validation de la CNIL.

Ce billet est la lecture par l’opérateur de la fiche n°16. Les conditions point par point, l’auto-évaluation + la date limite, là où GA4 échoue, le plafond à trois événements et comment l’auditer, et comment configurer Statnive Live pour la dérogation fiche n°16.

Fiche n°16, point par point

CNIL Fiche n°16 est la dérogation fondamentale à sept points. Le PDF d’auto-évaluation CNIL de juillet 2025 (outil_d_auto-evaluation_mesure_d_audience.pdf) opérationnalise chaque point en critères testables. Chaque condition cumulative ci-dessous doit être remplie pour que la dérogation s’applique.

Finalités autorisées. Verbatim de l’auto-évaluation : « les mesures des performances ; la détection de problèmes de navigation ; l’optimisation des performances techniques ou de son ergonomie ; l’estimation de la puissance des serveurs nécessaires ; l’analyse des contenus consultés. » Mesure de performance, détection des problèmes de navigation, optimisation technique et ergonomique, estimation de la capacité serveur et analyse de l’engagement avec le contenu. Pas de publicité. Pas de reciblage. Pas de profilage au niveau utilisateur.

Maximum trois types d’événements. Verbatim : « La solution collecte au plus trois type d’évènements : • La simple présence d’une personne sur une page et les informations associée à cette page (nom, type, etc.) • L’utilisation par cette personne d’une fonctionnalité (clic bouton, clic lien) et les information associées (destination, label, etc.) • Les statistiques de temps de chargement, de défilement ou de temps passé sur une page. » — présence sur la page, interaction avec une fonctionnalité (clic sur bouton/lien) et statistiques de temps (chargement, défilement, durée). C’est le plafond. Un événement de conversion ecommerce, un événement de soumission de formulaire ou un événement personnalisé « brochure téléchargée » comptent chacun comme un quatrième type d’événement — et le déploiement n’est plus exempté.

Troncature IP. Verbatim : « L’IP si elle est utilisée, permet la localisation à l’échelle de la ville puis est pseudonymisée en enlevant au moins le dernier octet. » Si l’IP est utilisée, la géolocalisation doit se réduire à l’échelle de la ville et l’IP doit être pseudonymisée en supprimant au moins le dernier octet. Statnive Live effectue cela à l’ingestion et jette l’IP brute avant toute écriture persistante.

Minimisation des en-têtes. Verbatim : « Si des données provenant des champs d’en-tête (« headers ») HTTP sont collectées (version de navigateur, système d’exploitation, matériel, taille d’écran), ces données sont minimisées (version majeure système d’exploitation/navigateur par exemple). » User-Agent réduit à version majeure du navigateur + version majeure de l’OS. « Chrome 126 » — pas « Chrome/126.0.6478.127 Mobile Safari/537.36 ». Statnive Live parse les User-Agents côté serveur à l’ingestion et jette la chaîne brute.

Périmètre site unique. Verbatim : « Aucun identifiant permettant un suivi à travers plusieurs domaines n’est utilisé … Si l’identifiant utilisé est un cookie, celui-ci est déposé en interne (ou « first-party ») afin d’empêcher un suivi global de la navigation. » Pas d’identifiant inter-domaines ; déploiement first-party uniquement. Et : « Le référent (« referrer »), s’il est collecté, se limite au domaine (« host »). » Le referrer se limite au host uniquement. La transformation de référent host-only de Statnive Live s’exécute côté serveur à l’ingestion.

Agrégation. Verbatim : « Agrégation et la présentation à la dizaine la plus proche. A défaut, une analyse est menée pour justifier du caractère anonyme des données (voir l’avis du G29 sur le sujet). » Agrégation à la dizaine la plus proche, ou documenter une analyse d’anonymisation citant l’avis WP29/CEPD sur l’anonymisation.

Interdictions strictes. Verbatim : « Aucun suivi de la navigation d’un utilisateur unique n’est possible … Désactivation de toute fonctionnalités du type rejeu de session (« session replay ») … Toute fonctionnalité visant à croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue. » Pas de suivi du parcours d’un utilisateur unique ; rejeu de session désactivé ; pas de fonctionnalité destinée à recouper, dédupliquer ou mesurer une portée unifiée.

Durée et conservation. Depuis la page principale CNIL : « durée de treize mois » pour les traceurs, « durée maximale de vingt-cinq mois » pour les données collectées, examen périodique requis. Durée de vie du traceur ≤ 13 mois ; conservation des données brutes ≤ 25 mois. Le TTL de 750 jours sur les rollups de Statnive Live (hourly_visitors, daily_pages, daily_sources) fait 24,6 mois — à l’intérieur du plafond avec marge.

Rôle du fournisseur de service. Le fournisseur doit opérer « sous le régime de la sous-traitance » (sous-traitant au sens de l’article 28 du RGPD). Verbatim : « Aucune mise en commun par le prestataire de données brutes de mesure d’audience provenant de plusieurs de ses clients n’est mise en œuvre » … « Aucune réutilisation des données pour le propre compte du prestataire et quelle que soit la finalité (amélioration de son service, lutte contre la fraude, etc.) n’est mise en œuvre. » Aucune mise en commun de données brutes entre les clients du prestataire ; aucune réutilisation côté prestataire pour aucune finalité, y compris l’amélioration du service ou la lutte contre la fraude.

Droit d’opposition. Verbatim : « Opposition disponible sous la forme d’un bouton ou lien cliquable au sein de la politique de confidentialité du site ou application visité. » Un bouton ou lien d’opt-out cliquable dans la politique de confidentialité du site. Statnive Live l’expose via POST /api/privacy/opt-out.

Langue d’attestation recommandée. Verbatim : « D’après notre auto-évaluation, la solution XXX est conforme aux critères établis par la CNIL [mettre un lien vers la page officielle], et peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée. » Les fournisseurs ne doivent pas qualifier leur outil de « certifié CNIL » ni utiliser le logo CNIL.

La transition du 1er janvier 2026 (désormais passée)

Le programme d’évaluation CNIL — le mécanisme pré-2026 par lequel un fournisseur d’analyse pouvait soumettre son outil à la CNIL pour évaluation et figurer sur une liste publique — a été retiré. Verbatim depuis l’orientation de juillet 2025 : « Au 1er Janvier 2026, cette page sera supprimée. La période de soumission à ce programme est terminée. » Le 1er janvier 2026, la page est tombée ; la soumission s’est terminée en 2025. La transition est achevée ; le régime d’auto-évaluation est désormais en vigueur.

Ce qui l’a remplacé : une posture d’auto-évaluation. Le fournisseur exécute l’auto-évaluation CNIL, documente le résultat et publie une attestation en utilisant le schéma de langue recommandé par la CNIL. Il n’y a pas d’imprimatur CNIL à afficher, pas de logo à utiliser, pas de pré-validation formelle. L’opérateur qui déploie l’outil garde la responsabilité primaire de s’assurer que la configuration sur son site remplit les conditions.

Le 16 janvier 2026, la CNIL a publié sa recommandation cookie consolidée (recommandation_cookies_consolidee.pdf), intégrant les délibérations 2020-091 / 2020-092, la mise à jour mesure d’audience du 4 juillet 2025 et le cadre cookie plus large en un seul document. Les conditions substantielles de la fiche n°16 sont inchangées dans la consolidation — les conditions verbatim de cette page restent faisant autorité.

Le 14 avril 2026, la CNIL a publié une recommandation finale sur les pixels de tracking introduisant une étroite dérogation « mesure de délivrabilité » — autorisant les pixels à identifier les abonnés inactifs sans consentement, strictement aux fins de nettoyage de listes email. La dérogation délivrabilité se situe en dehors du champ de la dérogation mesure d’audience de la fiche n°16 et n’affecte pas les conditions de cette page.

En pratique, pour un opérateur déployant l’analyse en France en 2026 :

  • Le fournisseur devrait publier une attestation d’auto-évaluation datée. L’auto-évaluation publiée par Matomo est la référence canonique : « the Matomo Cloud and Matomo On-Premise solutions comply with the criteria established by the CNIL … and may be implemented without requiring user consent if properly configured. »
  • L’opérateur devrait documenter sa propre configuration au regard des conditions de la fiche n°16 et conserver la documentation. La CNIL audite sur la base de la configuration déployée, pas du matériel marketing.
  • Une évaluation des intérêts légitimes selon les lignes directrices 1/2024 du CEPD est requise indépendamment. La dérogation fiche n°16 s’applique au consentement de l’article 5(3) ePrivacy pour l’accès aux équipements terminaux ; la base de l’article 6 RGPD pour le traitement ultérieur des données personnelles est une question distincte, et l’intérêt légitime de l’article 6(1)(f) est la réponse réaliste.

Où GA4 échoue au test

La CNIL a été inhabituellement directe à ce sujet. Depuis la fiche n°16, verbatim : « La plupart des grandes offres de mesure d’audience ne relèvent pas du champ de la dérogation, quelle que soit leur configuration. Pour bénéficier de cette dérogation, veuillez contacter votre fournisseur de solution ou utiliser un logiciel open source comme Matomo que vous pouvez configurer vous-même. »

GA4 échoue spécifiquement à plusieurs conditions de la fiche n°16 :

  • Transfert transfrontalier vers une infrastructure américaine. La mise en demeure du 10 février 2022 a constaté que le transfert GA UE→US était illégal sous le chapitre V du RGPD. Le Data Privacy Framework UE-US de 2023 fournit une couverture intérimaire mais fait l’objet de recours CJUE pendants — appel Latombe du 31 octobre 2025, plus un recours noyb en parallèle.
  • Mutualisation des données entre clients. L’infrastructure analytique de Google mutualise les données entre sa base de clients et les relie à l’écosystème publicitaire de Google. La condition de la fiche n°16 — « Aucune mise en commun par le prestataire de données brutes de mesure d’audience provenant de plusieurs de ses clients » — ne le permet pas.
  • Identifiant client persistant. L’ID client de GA4 est un identifiant persistant lu et écrit dans le stockage du navigateur. L’article 5(3) ePrivacy se déclenche ; la dérogation mesure d’audience ne s’applique pas car l’implémentation lit au-delà de la taxonomie à trois événements de la fiche n°16.
  • Pas un outil « éditeur unique » par conception. La portée cross-property, l’enrichissement démographique et l’intégration avec la plateforme publicitaire pour lesquels GA4 a été construit sont précisément les fonctions que la fiche n°16 exclut.

Le routage de GA4 via un endpoint côté serveur (sGTM) ne corrige pas cela. La CNIL a déclaré qu’un proxy côté serveur est au mieux une atténuation partielle si le même identifiant persistant est utilisé, si les données finissent par circuler vers Google US, ou si Google conserve des droits équivalents au responsable du traitement.

Les alternatives first-party correctement configurées — Matomo (Cloud ou On-Premise) en mode dérogation CNIL, Plausible, Fathom, Simple Analytics et Statnive Live — se situent toutes dans les conditions de la fiche n°16 et qualifient avec l’auto-évaluation de l’opérateur. Le bilan d’application de la CNIL contre l’analyse de vie privée first-party hébergée dans l’UE correctement configurée est, en mai 2026, vide.

Le plafond à trois événements et comment l’auditer

Le plafond de la fiche n°16 de trois types d’événements — présence sur la page, interaction avec une fonctionnalité (clics) et temps — est la condition la plus violée dans les déploiements réels. Les opérateurs ajoutent un événement de conversion ecommerce, un tracker de soumission de formulaire, un événement « brochure téléchargée » ou un événement « vidéo visionnée », et le déploiement cesse silencieusement de qualifier pour la dérogation.

Statnive Live expose un endpoint d’audit de taxonomie d’événements par site spécifiquement pour cela :

GET /api/admin/event-audit?site_id=N

La réponse retourne :

  • event_names — les noms d’événements distincts observés sur le site pendant la fenêtre d’audit
  • distinct_count — la cardinalité
  • cnil_cap — fixé à 3 (le plafond fiche n°16)
  • cap_statusok si distinct_count ≤ 3 ; over sinon
  • window_from / window_to — les timestamps de la fenêtre d’audit

cap_status: ok signifie que le déploiement est, tel que configuré, dans le plafond à trois événements de la fiche n°16 — l’une des conditions plus difficiles à satisfaire dans les déploiements de longue durée où les types d’événements s’accumulent. cap_status: over signifie que le déploiement a dérivé hors de la dérogation et nécessite soit de tailler la taxonomie d’événements, soit d’adopter un bandeau de consentement. L’audit est orienté opérateur ; la réponse est un objet JSON conçu pour être capturé en capture d’écran dans une réponse d’inspection CNIL.

La cadence recommandée est mensuelle. Un site qui livre des fonctionnalités accumulera organiquement des types d’événements ; l’endpoint d’audit est le mécanisme bon marché pour rattraper la dérive.

Configurer Statnive Live pour la fiche n°16

Statnive Live livre une configuration qui satisfait aux conditions de la fiche n°16 dès la sortie de la boîte. Les étapes de l’opérateur :

  1. Sélectionnez la juridiction FR. Le panneau de politique de site de Statnive Live expose un énum de 11 juridictions. La sélection de FR aligne la politique de site avec les attentes françaises. Le validateur de règle stricte n’interdit pas permissive pour FR (seul DE a cette règle stricte), mais par défaut sur consent-free afin que l’architecture fiche n°16 s’applique dès le premier jour.
  2. Confirmez le mode consent-free. Cela désactive cookies, localStorage et fingerprinting dans le tracker ; active la signature visiteur BLAKE3-HMAC à rotation quotidienne côté serveur ; active la transformation référent host-only ; active la troncature IP ; active la minimisation User-Agent. La configuration correspond aux à-faire de la fiche n°16 listés plus haut dans ce billet.
  3. Restreignez la taxonomie d’événements. Exécutez l’endpoint d’audit d’événements mensuellement. Visez le statut cap_status: ok. Si un quatrième type d’événement est requis pour une finalité marketing spécifique, cette finalité sort de la dérogation fiche n°16 et entre dans un workflow en mode consentement.
  4. Publiez l’attestation d’auto-évaluation. Un court paragraphe sur la politique de confidentialité du site : « D’après notre auto-évaluation, la solution Statnive Live, configurée en mode consent-free, est conforme aux critères établis par la CNIL [lien vers https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience], et peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée. » Pas de revendication « certifié CNIL » ; pas de logo CNIL.
  5. Publiez le lien d’opt-out de l’article 21. Statnive Live expose POST /api/privacy/opt-out et sert une page d’opt-out par défaut sur /privacy. La politique de confidentialité du site y renvoie. La persistance de l’opt-out est implémentée comme un cookie strictement nécessaire exprimant le choix de l’utilisateur — ce qui est autorisé selon l’article 5(3) ePrivacy parce qu’il met en œuvre le refus explicite de l’utilisateur.
  6. Documentez l’évaluation des intérêts légitimes. La route /legal/lia de Statnive Live sert un modèle aligné sur les lignes directrices 1/2024 du CEPD — identification de l’intérêt → nécessité → mise en balance. Adaptez le modèle au contexte de traitement spécifique de l’opérateur, conservez la version documentée, mettez à jour annuellement.
  7. Signez l’accord de sous-traitance article 28. Si l’opérateur utilise la version hébergée (SaaS) de Statnive Live, Statnive est un sous-traitant au sens de l’article 28 RGPD. Le DPA est exposé sur /legal/dpa et téléchargeable sans appel commercial. Si l’opérateur s’auto-héberge, Statnive n’est pas un sous-traitant du tout — l’opérateur est le seul responsable du traitement et il n’y a pas de DPA Statnive ↔ opérateur à signer.

Le résultat est une configuration qui satisfait cumulativement aux conditions fiche n°16 et qui est également rétro-compatible avec la proposition Digital Omnibus article 88a, § 3, point c. L’opérateur qui déploie cela aujourd’hui n’a pas à réarchitecturer si et quand le texte de la Commission devient loi.

FAQ — la fiche n°16 couvre-t-elle les événements de conversion ecommerce ?

Non. Un événement de conversion est un quatrième type d’événement au-delà du plafond à trois événements de la fiche n°16. Traiter un achat comme une « interaction avec une fonctionnalité » (c’est-à-dire un clic sur le bouton « passer la commande ») ne sauve pas la dérogation parce que l’opérateur veut aussi la valeur de l’achat, la liste des produits et souvent l’attribution premier-vs-client-récurrent — et chacune de ces choses étend la taxonomie d’événements au-delà de la frontière fiche n°16.

Le déploiement robuste est le mode-scindé. La mesure d’audience tourne en mode consent-free sous la fiche n°16. L’attribution ecommerce tourne comme un workflow séparé, sous consentement — soit comme ajout en mode-consentement au même déploiement Statnive Live, soit via un chemin analytique totalement séparé sous consentement. Les métriques de mesure d’audience (visiteurs, sessions, pages) restent sans consentement ; les métriques ecommerce (revenu, commandes, valeur à vie) exigent un bandeau.

C’est le même scindage que la CNIL décrit dans la fiche n°16 pour les cookies à finalité publicitaire. La fiche n°16 est étroite à dessein ; un opérateur qui veut l’attribution ecommerce se trouve dans un cadre réglementaire différent.

Ce que cela donne à un opérateur

Le résultat pratique de l’opérateur depuis un déploiement configuré fiche n°16 :

  • Pas de bandeau de cookies requis pour le workflow de mesure d’audience sous les conditions cumulativement remplies. La CNIL a été claire que la dérogation est réelle et que les outils correctement configurés qualifient.
  • Une base documentée à montrer si la CNIL inspecte. L’attestation d’auto-évaluation + LIA + journal d’audit d’événements par site sont le pack de réponse de l’opérateur.
  • Une configuration qui survit à l’échelle UE parce que l’architecture stricte fiche n°16 satisfait aussi les dérogations du Garante italien, de l’AEPD espagnole et de l’AP néerlandaise par construction. La carte pays par pays décrit les deltas.
  • Une pile de mesure qui n’est pas 55,6 % plus petite que la réalité. L’étude bandeau cookies de Plausible est la référence canonique pour la part des visiteurs qui refusent ou ferment un bandeau et tombent hors de l’analyse. Une architecture sans consentement voit ces visiteurs.

Ce qu’elle ne donne pas : attribution ecommerce, publicité comportementale, reciblage, déduplication cross-device, rejeu de session, heatmaps, ou attribution de variantes A/B par identité utilisateur. Chacune nécessite un flux de consentement séparé. La CNIL est explicite que la fiche n°16 est la dérogation mesure d’audience, pas une dérogation analytique-marketing à usage général.

Le compromis est simple : l’opérateur obtient une visibilité débloquée sur les métriques qui guident les décisions produit au quotidien, en échange de ne pas construire de flux d’attribution marketing sur le même chemin de code. Pour la plupart des opérateurs, c’est le bon compromis — et c’est celui que la fiche n°16 a été conçue pour rendre disponible.

À faire et à éviter

À faireÀ éviter
Limiter le tracker à ≤3 types d’événements (présence + interaction + temps) et auditer mensuellement via GET /api/admin/event-audit.Ajouter un quatrième type d’événement pour les conversions ecommerce à l’intérieur du déploiement sans consentement — cela disqualifie la dérogation fiche n°16.
Publier une attestation d’auto-évaluation datée avec la formulation CNIL verbatim (« D’après notre auto-évaluation … peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée »).Revendiquer « certifié CNIL » ou utiliser le logo CNIL. La CNIL a retiré son programme d’évaluation le 1er janvier 2026 — les opérateurs s’auto-évaluent.
Définir la juridiction FR dans Statnive Live, par défaut le mode consent-free et vérifier que le référent host-only + la troncature IP sont actifs à l’ingestion.Exécuter Google Analytics 4 (ou tout GA4 derrière sGTM) et l’appeler compatible fiche n°16. La CNIL a été explicite : GA4 échoue au test.
Exécuter un flux parallèle sous consentement pour l’attribution ecommerce ; garder la couche mesure d’audience sans consentement.Confondre mesure d’audience et attribution ecommerce. La fiche n°16 est la dérogation mesure d’audience, pas une dérogation analytique-marketing à usage général.
Maintenir une évaluation des intérêts légitimes selon les lignes directrices 1/2024 du CEPD couvrant la base de l’article 6 pour le traitement post-fiche-n°16 des données personnelles.Traiter la conformité fiche n°16 comme l’analyse RGPD complète. La dérogation couvre uniquement le consentement de l’article 5(3) ePrivacy ; la base légale de l’article 6 est séparée.

Le mot de la fin

La CNIL française a construit la dérogation de consentement à la mesure d’audience la plus détaillée, la plus orientée opérateur, de l’UE. Les conditions cumulatives sont étroites, la date limite est le 1er janvier 2026, la posture d’auto-évaluation a remplacé le programme d’évaluation hérité, et la configuration qui qualifie en France qualifie aussi en Italie, en Espagne et aux Pays-Bas par construction. L’Allemagne reste l’exception — voir la plongée profonde § 25 TDDDG — et l’opérateur qui configure pour l’Allemagne est aussi configuré pour la France.

Statnive Live livre l’architecture fiche n°16 par défaut dans son mode consent-free. L’énum à onze juridictions, les quatre modes de consentement, le sel à rotation quotidienne, l’ID cookie haché au repos, le référent host-only, la conservation rollup 25 mois et l’endpoint d’audit d’événements sont tous dans la boîte. L’attestation d’auto-évaluation CNIL, le modèle LIA, les clauses de politique de confidentialité et le DPA article 28 sont servis depuis le binaire sur /legal/*. Le travail de déploiement appartient à l’opérateur ; l’architecture est faite.

Pour le guide plus large, voir le Guide 2026 de l’analyse sans consentement dans l’UE. Pour l’angle d’actualité et l’harmonisation proposée à l’échelle UE, voir le billet Digital Omnibus. Pour savoir pourquoi l’Allemagne est différente, voir le billet TDDDG. Et pour savoir comment la même architecture gère les demandes d’accès et d’effacement, voir le billet DSAR.

Ceci est une recherche en matière de protection des données, et non un conseil juridique. Statnive Live, configuré en mode consent-free pour la juridiction FR, est configurable pour qualifier sous la dérogation CNIL de mesure d’audience lorsque déployé conformément à une évaluation des intérêts légitimes documentée et à l’auto-évaluation CNIL. Ceci n’est pas une certification CNIL. Chaque client Statnive demeure responsable du traitement et est responsable de sa propre configuration et AIPD. Consultez un conseil juridique qualifié en France avant publication.

État des références réglementaires au 13 mai 2026 : CNIL Fiche n°16 ; CNIL « Cookies : solutions pour les outils de mesure d’audience » du 4 juillet 2025 (date limite de conformité du 1er janvier 2026 désormais passée ; programme d’évaluation hérité retiré à cette date ; régime d’auto-évaluation opérationnel depuis) ; Recommandation cookies consolidée CNIL du 16 janvier 2026 (conditions substantielles fiche n°16 inchangées dans la consolidation) ; Recommandation finale CNIL sur les pixels de tracking du 14 avril 2026 (dérogation mesure de délivrabilité ; hors champ fiche n°16) ; PDF d’auto-évaluation CNIL (juillet 2025) ; délibération CNIL SAN-2020-013 (Amazon, 7 décembre 2020) ; décision CNIL Google du 7 décembre 2020 (100 M€) ; décisions CNIL du 6 janvier 2022 (Google 150 M€, Facebook 60 M€) ; mise en demeure CNIL du 10 février 2022 (Google Analytics, chapitre V) ; délibération CNIL SAN-2025-005 du 1er septembre 2025 (150 M€ contre INFINITE STYLES SERVICES CO. LIMITED — Shein) ; délibération CNIL SAN-2025-006 du 1er septembre 2025 (325 M€ au total contre Google LLC et Google Ireland Ltd) ; amende CNIL de 3,5 M€ pour cookie/transmission à réseau social publiée le 22 janvier 2026 (décision du 30 décembre 2025, adoptée en coopération avec 16 homologues européens) ; lignes directrices 2/2023 v2.0 du CEPD du 7 octobre 2024 ; lignes directrices 1/2024 du CEPD du 8 octobre 2024. Priorités d’application CNIL 2026 (annonce de janvier 2026) : recrutement, registre électoral unique (REU), fédérations sportives — les cookies ne sont pas une priorité focus déclarée, bien que l’application se poursuive.

Installer Statnive gratuitement