Outils numériques déposés sur un terminal pour collecter des données, soumis au RGPD et à la directive ePrivacy (ex: cookies).
Définition complète
Un traceur est un petit fichier texte ou un script déposé sur l'équipement d'un utilisateur (ordinateur, smartphone, tablette) lors de la visite d'un site web ou de l'utilisation d'une application. Bien que le « cookie » soit le traceur le plus connu, cette catégorie englobe également les pixels invisibles, le fingerprinting ou le stockage local. Leur rôle est de mémoriser des informations pour identifier l'utilisateur, suivre son comportement de navigation ou personnaliser son expérience.
Sur le plan juridique, les traceurs tombent sous le double régime du RGPD et de la directive ePrivacy (transposée en France via la loi Informatique et Libertés). Dès lors qu'un traceur accède à des informations stockées sur le terminal ou en stocke, il est considéré comme un traitement de données à caractère personnel si l'utilisateur peut être identifié, directement ou indirectement. Cela implique le respect des principes de transparence et de limitation des finalités prévus aux articles 5 et 13 du RGPD.
La règle d'or est le consentement : conformément aux lignes directrices de la CNIL, le dépôt de traceurs non strictement nécessaires au fonctionnement du service (comme les cookies publicitaires ou d'analyse d'audience) requiert le consentement libre, spécifique, éclairé et univoque de l'utilisateur. Ce consentement doit être recueilli via un bandeau cookies avant tout dépôt du traceur sur le terminal.
Exemple concret en PME
Une PME installant Google Analytics sur son site vitrine pour mesurer le nombre de visiteurs et l'origine du trafic utilise des traceurs. Pour être en conformité, elle doit mettre en place un bandeau permettant au visiteur d'accepter ou de refuser ces cookies de mesure d'audience avant qu'ils ne soient activés, tout en informant l'utilisateur de la durée de conservation des données collectées.
L'erreur fréquente à éviter
L'erreur classique est de considérer que le simple bandeau d'information (« En continuant votre navigation, vous acceptez les cookies ») suffit. Juridiquement, l'inaction ou le défilement de la page ne constituent pas un consentement valide. Le refus doit être aussi simple à exprimer que l'acceptation (bouton « Tout refuser » au même niveau que « Tout accepter »).