Politique de gestion des cookies

Qu'est-ce qu'un cookie ?

Le « cookie » est un petit fichier informatique, de la catégorie des traceurs, déposé et lu lors de la consultation d'un site ou d’une plateforme web ou mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, tablette, etc.).

Si l’on parle bien souvent de « cookies », il est préférable en fait de parler de la famille des « traceurs », à laquelle les cookies appartiennent, et qui recouvre différents types de petits fichiers installés sur les terminaux des utilisateurs.

On retrouve notamment parmi les traceurs :

• les cookies et variables HTTP ;

• les cookies « flash » ;

• les pixels invisibles ou « web beacon » ;

• le résultat du calcul d'empreinte dans le cas du « fingerprinting » (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage) ;

• les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires tels que l’IDFA ou l’Android ID, l’accès au GPS, etc.),

• tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal – IDFV)

L'utilisation de ces outils est soumise au consentement de tout utilisateur de service de communication en ligne dès lors que les traceurs déposés sur son terminal ne sont pas strictement nécessaires au fonctionnement du service de communication concerné.

Ce principe majeur du droit des utilisateurs de services de communication en ligne a été posé par l’article 5(3) de la directive 2002/58/CE (modifiée en 2009) et transposé en droit français par l’article 82 de la loi Informatique et Libertés.

La notion de « consentement », telle que prévue dans ces dispositions, doit être comprise selon la définition et les conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.

Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices.

Quels sont les traceurs utilisés par Dydu ?

a- Dans le local storage

Tous les éléments du localstorage ont une durée de vie maximum de 6 mois (paramétrable par votre CP/CSM, via la clef application.localStorageKeepTimeInMs) à partir de la dernière interaction avec la chatbox, sauf si l’utilisateur vide son localstorage manuellement.

Presque toutes les clefs commencent par dydu.chatbox, et toutes peuvent posséder un suffixe permettant de lier une clef/valeur à une chatbox (utile dans le cas où plusieurs chatbox se trouvent sur la même page). Par exemple, dydu.chatbox.gdpr.preview est une clef utilisée par la chatbox dont l'identifiant est "preview".

Dernière mise à jour du tableau : 19 mai 2025

** Nécessaire si la chatbox est soumise à authentification SAML ou OIDC.

*** Nécessaire pour le fonctionnement du livechat

b- En session storage

Comment gérer les cookies Dydu ?

Etape 1 : Identifier le responsable de traitement

Conformément à l’article 24 et 28 du RGPD, Dydu intervient en qualité de « sous-traitant pour le compte » de son Client, le responsable de traitement. C’est donc le Client Dydu qui est responsable de traitement dans le cadre du dépôt et de la lecture des cookies du Bot Dydu. Le client devra ainsi toujours être actif dans la démarche de gestion des cookies de son site, qu’il s’agisse des cookies Dydu ou de ceux d’autres services de communication en ligne intégrés à ses outils.

Néanmoins, en sa qualité de sous-traitant, Dydu s’engage à collaborer efficacement avec ses clients, en leur mettant à disposition des recommandations de gestion de cookies et en veillant à ce que les outils qu’elle commercialise soit facilement paramétrables par sa clientèle en vue d’un usage conforme à la législation applicable en matière de cookies.

Etape 2 : Identifier les traceurs générés par la solution Dydu concernée

Cf. Tableau de la Partie 2. ”Quels traceurs sont déposés par la Solution Dydu ? ” dans la partie “a” sont décrits les traceurs déposés dans le localstorage et dans la partie “b” les traceurs déposés dans le session storage.

Etape 3 : Distinguer les cookies avec ou sans consentement

Aux termes de l’article 82 de la Loi « Informatique et Libertés » et selon l’interprétation qui en fait par la CNIL dans ses lignes directrices relatives aux cookies et traceurs du 17 septembre 2020, il existe trois typologies de traceurs :

1. Les traceurs qui sont exemptés de consentement :

Il s'agit des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique. Ces traceurs ne nécessitent pas de consentement mais une information sur leur utilisation est recommandée.

Pour la Solution Chatbot Dydu, il s’agit des traceurs suivants :

Dans le cas d’une connexion OIDC ou SAML, les traceurs suivants sont nécessaires à l’authentification de l’utilisateur :

Dans le cas de l’utilisation du service livechat DYDU, les traceurs suivants sont nécessaires pour le maintien du livechat lors d’une navigation web :

Le Client peut également estimer que le service de communication en ligne fourni par Dydu dans sa globalité (Chatbot, Livechat, Voicebot, etc.) n’est pas essentiel à son site internet ou à sa plateforme. Auquel cas, il devra paramétrer son TMS (Tag management System - Système de gestion de traceurs) de sorte qu’il soumette au consentement des utilisateurs du site le dépôt des cookies Dydu, comme ci-après exposé en « ÉTAPE N°4 ».

1. Les traceurs nécessitant le recueil du consentement préalable :

Il s’agit, par opposition, de tous les traceurs qui n’entrent pas dans le champ d’exemption susvisé. Ceux-ci peuvent par exemple être liés à l’affichage de la publicité personnalisée, à des fonctionnalités de partage sur les réseaux sociaux. En l'absence de consentement, ces traceurs ne peuvent être déposés et/ou lus sur son terminal.

Pour la solution des chatbots Dydu, aucun traceur n'entre dans ce cas de figure.

1. Le cas particulier des traceurs de mesure d’audience ou de statistique exemptés de consentement :

La CNIL admet que les statistiques de fréquentation et/ou de performance sont « dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service ». Elle exempte donc certains cookies de mesure d’audience (statistiques) de consentement de l’utilisateur dès lors que ces traceurs :

• Ont une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaire, analyse des contenus consultés), pour le compte exclusif de l’éditeur ;

• Servent à produire des données statistiques anonymes uniquement.

Pour la Solution Chatbot Dydu, il s’agit des traceurs suivants :

Conformément aux lignes directrices de la CNIL, les traceurs susvisés servent bien à la production de statistiques purement anonymes, permettant en aucun cas d’identifier ou de rendre identifiable un utilisateur dans le cadre de ce traitement statistique*. Ils sont également limités à la seule mesure d’audience du Chatbot et à l’établissement de statistiques de performance et de fréquentation du Chatbot.

S’agissant du critère d’exclusivité de cette fonctionnalité, Dydu s’engage expressément à ne jamais consulter ni réutiliser pour son propre compte les statistiques issues du dépôt et de la lecture des présents traceurs. Afin d’arrêter formellement cette garantie, Dydu met à disposition du client un engagement écrit spécifique dans la partie “4. L’engagement Dydu” de la présente politique. Cet accord pourra être annexé directement au contrat conclu entre le client et Dydu.

Toutefois, le client peut décider d’aller au-delà des recommandations de Dydu et de la CNIL et décider de soumettre au consentement de l’utilisateur les traceurs statistiques de l’outil Dydu. Auquel cas, il devra opérer une distinction entre traceurs fonctionnels et traceurs statistiques dans le paramétrage de son TMS comme ci-après exposé en « ÉTAPE N°4 ».

--- Précision importante : Dans le cadre de certains projets client, la Solution Dydu peut exceptionnellement fonctionner suite à une authentification de l’utilisateur. Auquel cas, si l’utilisateur authentifié utilise la Solution, ses traceurs ne seront plus nécessairement « anonymes » puisque rattachés à une ID user (en fonction des options retenues par le Client dans le paramétrage de son projet). Afin de maintenir l’outil statistique de la solution dans sa version anonyme, Dydu met à disposition du Client une fonctionnalité d’anonymisation automatique des conversations. Cette anonymisation peut alors être immédiate (recommandée par Dydu) ou à l’échéance retenue (ne pouvant excéder 30 jours), ce double choix restant à la seule discrétion du Client, responsable de traitement.

Etape 4 : Paramétrer le recueil de consentement et le dépôt de traceurs

La solution Dydu nécessite le dépôt de traceur de fonctionnement. Elle ne peut en aucun cas fonctionner sans le dépôt préalable des traceurs suivants :

Les autres traceurs seront stockés lors de l'ouverture de la chatbox :

Dans le cas d’une connexion OIDC ou SAML, les traceurs suivants sont nécessaires à l’authentification de l’utilisateur :

Ces traceurs sont essentiels à la visibilité de la chatbox et au démarrage du chatbot.

A ce moment-là, deux solutions sont proposées au Client :

• Soit il détermine que la solution Dydu est essentielle à son service de communication en ligne (site web, application, intranet, etc.) et il laisse les traceurs se déposer automatiquement lors de la première visite de l’utilisateur (sans consentement préalable, mais avec mise à disposition d’informations, cf. « ETAPE N°5 ») ;

• Soit il détermine que la solution Dydu n’est pas essentielle et décide alors de soumettre de dépôt des traceurs au consentement préalable et éclairé de l’utilisateur. Dans ce cas de figure, le client devra identifier et intégrer les cookies dans son TMS :

  • Tous les autres traceurs étant fonctionnels ou exemptés de consentement préalable, la seule volonté d’utilisation du chatbot par l’utilisateur justifiera le dépôt de ces cookies;

  • Le Client pourra également distinguer dans son TMS les cookies fonctionnels des cookies statistiques, afin de proposer un consentement spécifique à chacune de ces catégories.

L’ensemble de ces manipulations sont à la charge du client, Dydu ne pouvant exercer qu’un simple rôle de conseil sur ces points précis. Le client est seul responsable de sa politique de gestion des cookies et du paramétrage de son TMS. La gestion des traceurs Dydu de manière isolée n’aurait aucun sens, le client devra toujours centraliser la gestion de ses traceurs au sein d’un outil TMS commun à l’ensemble des services qu’il propose sur son site ou sur sa plateforme.

Néanmoins Dydu s’assure de la bonne visibilité/détection de ses traceurs par les principaux TMS du marché (TARTEAUCITRON, DIDOMI, QUANTCAST, ONETRUST, COOKIEBOT). En cas d’outil TMS développé par le Client lui-même, Dydu pourra accompagner le client dans l’intégration ou la détection de ses traceurs par cet outil.

INFORMATION PRATIQUE

Le Client devra donc s’assurer que son outil TMS respecte bien les lignes directrices de la CNIL suivantes :

• Aucun dépôt de traceurs non-essentiels sans consentement préalable de l’utilisateur (la simple poursuite de navigation n’étant pas considérée comme l’expression d’un consentement valable) ;

• Le refus doit être aussi facile que l’acceptation (si présence d’un bouton « tout accepter », alors bouton « tout refuser » à côté) ;

• Le retrait du consentement doit être possible, facilement et à tout moment ;

• Respect du droit d’information de l’utilisateur (finalités, durée, destinataires, etc.) ;

• Conservation d’une trace de chaque consentement (une preuve valable en cas de contrôle).

Etape 5 : Informer l'utilisateur du dépôt de traceurs sur son terminal

Qu’importe la solution choisie par le Client, celui-ci devra dans toujours informer ses utilisateurs du dépôt de cookies. Si les cookies sont déposés sans consentement préalable de l’utilisateur (indispensables au fonctionnement de ses services concernés), cette information pourra avoir lieu sur la base de son TMS ou de la politique de confidentialité ou de gestion des cookies.

Le Client devra bien penser à intégrer l’ensemble des traceurs Dydu dans sa politique de gestion des cookies (ou, à défaut, dans sa politique de confidentialité). Cette information de l’utilisateur est essentielle à la mise en conformité du service Dydu.

Si le client désigne les cookies Dydu comme non-essentiels, il devra alors s’assurer d’informer les utilisateurs préalablement à tout dépôt. Cette information devra porter a minima sur les finalités visées par les traceurs, la durée de vie de ceux-ci ainsi que les « destinataires ».

Dydu accompagne le client dans cette information et intègre par défaut une mention d’information/disclaimer sur la page d’accueil de ses chatbots. Cette fonctionnalité est proposée dans la nouvelle version de base de la chatbox Dydu (CV5) et personnalisable par le Client.

--- Attention !

Certains clients sous versions antérieures n’ont toujours pas fait le choix d’intégrer cette mention d’information/disclaimer. Dydu leur rappelle que cette fonctionnalité est vivement recommandée à des fins de transparence dans le cadre des traitements de l’information mis en œuvre par le chatbot. Une nouvelle communication leur sera adressée afin de les inciter à nouveau à adopter cette fonctionnalité.

Voici un exemple de mention d’information/consentement sur la page d’accueil d’un Bot :

Dydu peut également accompagner le Client à la rédaction d’une mention d’information personnalisée.

L'engagement de Dydu

Dydu accorde la plus grande importance à la protection de la vie privée des individus. Depuis plus de 10 ans, elle fait de la sécurité et de la protection des données des priorités, tant au sein de ses équipes que dans le choix de ses partenaires techniques. Elle a donc à cœur de rassurer ses clients au travers de sa politique de gestion des cookies. Dydu s’engage à toujours collaborer avec ses clients pour que leurs outils soient conformes aux normes applicables en la matière et notamment aux nouvelles lignes directrices de la CNIL en date du 17 septembre 2020. Elle s’engage également à toujours faire évoluer ses solutions sur ce point, afin de les adapter aux éventuelles évolutions législatives en la matière (ex : Adoption du règlement E-Privacy). Dydu, au travers de ses équipes et plus particulièrement de son service DPO, met en place une veille permanente sur ces sujets, afin de toujours accompagner au mieux ses clients dans leurs démarches de conformité. Aujourd’hui, Dydu, en sa qualité de prestataire de service, déclare et garantit remplir son devoir de collaboration (au sens de l’article 28 du RGPD) afin de fournir à ses clients un outil répondant aux impératifs des lignes directrices de la CNIL du 17 septembre 2020.

En savoir plus sur les cookies Dydu

Ce document a vocation à apporter un premier niveau de connaissances au Client sur les engagements de Dydu vis-à-vis de la gestion des cookies de ses solutions (Chatbot, Livechat, Voicebot, Callbot, etc.). En cas de problème ou pour tout renseignement complémentaire, veuillez contacter le Délégué à la protection des données de Dydu à l’adresse email suivante : [email protected].