Politique de gestion des cookies
Qu'est-ce qu'un cookie ?
Le « cookie » est un petit fichier informatique, de la catégorie des traceurs, déposé et lu lors de la consultation d'un site ou d’une plateforme web ou mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, tablette, etc.).
Si l’on parle bien souvent de « cookies », il est préférable en fait de parler de la famille des « traceurs », à laquelle les cookies appartiennent, et qui recouvre différents types de petits fichiers installés sur les terminaux des utilisateurs.
On retrouve notamment parmi les traceurs :
les cookies et variables HTTP ;
les cookies « flash » ;
les pixels invisibles ou « web beacon » ;
le résultat du calcul d'empreinte dans le cas du « fingerprinting » (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage) ;
les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires tels que l’IDFA ou l’Android ID, l’accès au GPS, etc.),
tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal – IDFV)
L'utilisation de ces outils est soumise au consentement de tout utilisateur de service de communication en ligne dès lors que les traceurs déposés sur son terminal ne sont pas strictement nécessaires au fonctionnement du service de communication concerné.
Ce principe majeur du droit des utilisateurs de services de communication en ligne a été posé par l’article 5(3) de la directive 2002/58/CE (modifiée en 2009) et transposé en droit français par l’article 82 de la loi Informatique et Libertés.
La notion de « consentement », telle que prévue dans ces dispositions, doit être comprise selon la définition et les conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.
Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices.
Quels sont les traceurs utilisés par Dydu ?
a- Dans le local storage
Tous les éléments du localstorage sont permanents sauf si l’utilisateur vide son localstorage.
ID | Fonction | Finalité | Durée | Essentiel |
---|---|---|---|---|
dydu.botID | Identifiant du bot | Permet de retenir l'identifiant externe du bot. | Permanent | |
dydu.botsByID | Identifiants des différents bots avec lesquels l'utilisateur a conversé, attaché à leur identifiant de conversation | Permet au chatbox de reprendre l'historique / poursuivre une conversation. | Permanent | |
dydu.servers | Liste des serveurs disponibles pour l’API Servlet | Permet à Canaux / Channels de donner une liste de serveurs à la prévisualisation de la CV5. Est stocké par Channels, et n’est utile que pour Channels | Permanent | |
dydu.isChannels | Infos sur où se trouve la chatbox | Permet à Canaux / Channels de dire à la Chatbox (prévisualisation par exemple) si elle se trouve sur Channels ou non. Si oui, la Chatbox lira l’id du bot et la liste des serveurs dans dydu.botId et dydu.servers. Sinon, elle lira l’id du bot et la liste des serveurs depuis son fichier packagé bot.json. | Permanent | |
dydu.context | Contexte du dialogue | Sans contexte, le chatbot identifiera chaque message de l’utilisateur comme une nouvelle conversation. | Permanent | |
dydu.dragon | Position de la chatbox | Retenir la position de la chatbox après déplacement sur la page web où elle est intégrée. | Permanent | |
dydu.fontSize | Pour augmenter ou diminuer la taille de la police | Reprendre au rechargement la taille de caractère utilisé dans la zone de conversation. | Permanent | |
dydu.gdpr | RGDPD | Retenir le choix de consentement RGPD de l’utilisateur | Permanent | |
dydu.locale | Langage du bot | Il est nécessaire au changement de langue du bot. | Permanent | |
dydu.onboarding | Affichage du onboarding | Cette valeur permet de savoir si l’onboarding a deja été visualisé / skippé et donc ne l’affiche plus. Ca aurait pu être une valeur true ou false | Permanent | |
dydu.open | Mode d'ouverture | Retenir le mode d'ouverture de la chatbox (0 : invisible 1 : miniature 2 : ouverte 3 : plein écran) | Permanent | |
dydu.secondary | Panneau latéral | Nécessaire lors du rafraîchissement de page. Conserve son état d’affichage pour le reprendre au chargement de la page | Permanent | |
dydu.space | Espace de consultation | Il est nécessaire au changement d'espace de consultation pendant une conversation. | Permanent | |
dydu_PUSH_global | Lié aux statistiques de visites de la page | Cette valeur stockée permet de calculer certains statistiques liée à la visite de l’utilisateur sur la page et l’affichage du bot | Permanent | |
dydu_PUSH_session | Nombre de pages consultées et le temps écoulé depuis la dernière page consultée. | Nécessaire pour les statistiques | Permanent | |
dydu-oauth-token-access | Authentification (OIDC) ** | Garantir que l'utilisateur est authentifié auprès du fournisseur d’identité. | Permanent | |
dydu-oauth-token-refresh | Authentification (OIDC) ** | Donne droit de régénérer une nouvelle clé d'authentification | Permanent | |
pkce | Authentification (OIDC) ** | Permet de retenir l’URL de redirection, et le state utilisé pour l’authentification sur l’OIDC Provider | Permanent | |
dydu-code-challenge | Authentification (OIDC) ** | Permet de retenir le code_challenge calculé pour la requête d’authentification sur l’OIDC Provider | Persiste tant que la connexion avec l’OIDC Provider reste établie | |
dydu-code-verifier | Authentification (OIDC) ** | Permet de retenir le code_verifier envoyé pour l’échange de code et le rafraîchissement de token, calculé en même temps que le code_challenge | Persiste tant que la connexion avec l’OIDC Provider reste établie | |
dydu.saml.auth | Authentification (SAML) ** | Garantit que l'utilisateur est authentifié auprès du fournisseur d’identité SAML | Permanent | |
dydu_clientId | Identifiant de l’utilisateur (générer aléatoirement) | Il est nécessaire aux statistiques du Client, ainsi qu'à identifier un utilisateur revenant ultérieurement. | Permanent | |
dydu_lastvisitfor_XXXXX | Valeur de la dernière visite de l'utilisateur | Le XXX correspond à l’id du bot, afin que plusieurs boîtes de dialogue puissent co-exister sur le même domaine. Cette donnée est utilisée pour connaître le nombre de visiteurs uniques et pour calculer un ratio d'utilisateurs conversant avec la boîte de dialogue. | Permanent | |
dydu.islivechaton | Livechat*** | Il garantit le bon fonctionnement du livechat lors des changement d’onglet, redirection ou rafraichissement de la page | Permanent | |
dydu.operator | Livechat | Il garantit l'envoi des survey depuis le livechat | Permanent | |
dydu.livechatType | Livechat | il permet d'identifier le type de connexion livechat | Permanent | |
dydu.waintingQueue | Livechat | Il permet de savoir si l'utilisateur est en file d'attente ou pas | Permanent | |
pushruleTrigger_xxx | pushpull | Il garantit le déclenchement de la push rule une seule fois par conversation. | Permanent | |
dydu.css | Surcharge css | Il permet à Channels d’ajouter la surcharge CSS de l'éditeur dans la prévisualisation pour que cela s’affiche en temps réel. | Permanent | |
dydu.main | Couleur principale du thème | Il permet à Channels de modifier en temps réel la couleur principale de la Chatbox pour que cela s’affiche en temps réel dans la prévisualisation. | Permanent |
** Nécessaire si la chatbox est soumise à authentification SAML ou OIDC.
*** Nécessaire pour le fonctionnement du livechat
b- En session storage
ID | Fonction | Finalité | Durée | Essentiel |
---|---|---|---|---|
dydu.welcomeKnowledge | Welcome sentence | Déclenchement de la welcome sentence à l’ouverture la chatbox | Durée d’ouverture de la session |
Comment gérer les cookies Dydu ?
Etape 1 : Identifier le responsable de traitement
Conformément à l’article 24 et 28 du RGPD, Dydu intervient en qualité de « sous-traitant pour le compte » de son Client, le responsable de traitement. C’est donc le Client Dydu qui est responsable de traitement dans le cadre du dépôt et de la lecture des cookies du Bot Dydu. Le client devra ainsi toujours être actif dans la démarche de gestion des cookies de son site, qu’il s’agisse des cookies Dydu ou de ceux d’autres services de communication en ligne intégrés à ses outils.
Néanmoins, en sa qualité de sous-traitant, Dydu s’engage à collaborer efficacement avec ses clients, en leur mettant à disposition des recommandations de gestion de cookies et en veillant à ce que les outils qu’elle commercialise soit facilement paramétrables par sa clientèle en vue d’un usage conforme à la législation applicable en matière de cookies.
Etape 2 : Identifier les traceurs générés par la solution Dydu concernée
Cf. Tableau de la Partie 2. ”Quels traceurs sont déposés par la Solution Dydu ? ” dans la partie “a” sont décrits les traceurs déposés dans le localstorage et dans la partie “b” les traceurs déposés dans le session storage.
Etape 3 : Distinguer les cookies avec ou sans consentement
Aux termes de l’article 82 de la Loi « Informatique et Libertés » et selon l’interprétation qui en fait par la CNIL dans ses lignes directrices relatives aux cookies et traceurs du 17 septembre 2020, il existe trois typologies de traceurs :
Les traceurs qui sont exemptés de consentement :
Il s'agit des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique. Ces traceurs ne nécessitent pas de consentement mais une information sur leur utilisation est recommandée.
Pour la Solution Chatbot Dydu, il s’agit des traceurs suivants :
Nom du traceur | Fonction |
---|---|
dydu.open | Fonctionnel |
dydu.space | Fonctionnel |
dydu.context | Fonctionnel |
dydu.botID | Fonctionnel |
dydu.locale | Fonctionnel |
dydu.botsByID | Fonctionnel |
pushruleTrigger_xxx | Fonctionnel |
Dans le cas d’une connexion OIDC ou SAML, les traceurs suivants sont nécessaires à l’authentification de l’utilisateur :
Nom du traceur | Fonction |
---|---|
dydu-oauth-token-access | Fonctionnel (OIDC) |
dydu-oauth-token-id | Fonctionnel (OIDC) |
dydu-oauth-token-refresh | Fonctionnel (OIDC) |
dydu.saml.auth | Fonctionnel (SAML) |
Dans le cas de l’utilisation du service livechat DYDU, les traceurs suivants sont nécessaires pour le maintien du livechat lors d’une navigation web :
Nom du traceur | Fonction |
---|---|
dydu.islivechaton | Fonctionnel (livechat) |
dydu.operator | Fonctionnel (livechat) |
Le Client peut également estimer que le service de communication en ligne fourni par Dydu dans sa globalité (Chatbot, Livechat, Voicebot, etc.) n’est pas essentiel à son site internet ou à sa plateforme. Auquel cas, il devra paramétrer son TMS (Tag management System - Système de gestion de traceurs) de sorte qu’il soumette au consentement des utilisateurs du site le dépôt des cookies Dydu, comme ci-après exposé en « ÉTAPE N°4 ».
Les traceurs nécessitant le recueil du consentement préalable :
Il s’agit, par opposition, de tous les traceurs qui n’entrent pas dans le champ d’exemption susvisé. Ceux-ci peuvent par exemple être liés à l’affichage de la publicité personnalisée, à des fonctionnalités de partage sur les réseaux sociaux. En l'absence de consentement, ces traceurs ne peuvent être déposés et/ou lus sur son terminal.
Pour la solution des chatbots Dydu, aucun traceur n'entre dans ce cas de figure.
Le cas particulier des traceurs de mesure d’audience ou de statistique exemptés de consentement :
La CNIL admet que les statistiques de fréquentation et/ou de performance sont « dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service ». Elle exempte donc certains cookies de mesure d’audience (statistiques) de consentement de l’utilisateur dès lors que ces traceurs :
Ont une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaire, analyse des contenus consultés), pour le compte exclusif de l’éditeur ;
Servent à produire des données statistiques anonymes uniquement.
Pour la Solution Chatbot Dydu, il s’agit des traceurs suivants :
Nom du traceur | Fonction |
---|---|
DYDU_clientId | Statistique |
DYDU_lastvisitfor_XXXXX | Statistique |
DYDU_PUSH_global | Statistique |
DYDU_PUSH_session | Statistique |
Conformément aux lignes directrices de la CNIL, les traceurs susvisés servent bien à la production de statistiques purement anonymes, permettant en aucun cas d’identifier ou de rendre identifiable un utilisateur dans le cadre de ce traitement statistique*. Ils sont également limités à la seule mesure d’audience du Chatbot et à l’établissement de statistiques de performance et de fréquentation du Chatbot.
S’agissant du critère d’exclusivité de cette fonctionnalité, Dydu s’engage expressément à ne jamais consulter ni réutiliser pour son propre compte les statistiques issues du dépôt et de la lecture des présents traceurs. Afin d’arrêter formellement cette garantie, Dydu met à disposition du client un engagement écrit spécifique dans la partie “4. L’engagement Dydu” de la présente politique. Cet accord pourra être annexé directement au contrat conclu entre le client et Dydu.
Toutefois, le client peut décider d’aller au-delà des recommandations de Dydu et de la CNIL et décider de soumettre au consentement de l’utilisateur les traceurs statistiques de l’outil Dydu. Auquel cas, il devra opérer une distinction entre traceurs fonctionnels et traceurs statistiques dans le paramétrage de son TMS comme ci-après exposé en « ÉTAPE N°4 ».
--- Précision importante : Dans le cadre de certains projets client, la Solution Dydu peut exceptionnellement fonctionner suite à une authentification de l’utilisateur. Auquel cas, si l’utilisateur authentifié utilise la Solution, ses traceurs ne seront plus nécessairement « anonymes » puisque rattachés à une ID user (en fonction des options retenues par le Client dans le paramétrage de son projet). Afin de maintenir l’outil statistique de la solution dans sa version anonyme, Dydu met à disposition du Client une fonctionnalité d’anonymisation automatique des conversations. Cette anonymisation peut alors être immédiate (recommandée par Dydu) ou à l’échéance retenue (ne pouvant excéder 30 jours), ce double choix restant à la seule discrétion du Client, responsable de traitement.
Etape 4 : Paramétrer le recueil de consentement et le dépôt de traceurs
La solution Dydu nécessite le dépôt de traceur de fonctionnement. Elle ne peut en aucun cas fonctionner et être visible de l’utilisateur sans le dépôt préalable des traceurs suivants :
Nom du traceur | Fonction |
---|---|
dydu.isLivechatOn | Livechat off/on |
dydu.context | Contexte du dialogue |
dydu.locale | Langage du bot |
dydu.open | Mode d’ouverture |
dydu.botsById | Suivi conversation |
Dans le cas d’une connexion OIDC ou SAML, les traceurs suivants sont nécessaires à l’authentification de l’utilisateur :
Nom du traceur | Fonction |
---|---|
dydu-oauth-token-access | Fonctionnel (OIDC) |
dydu-oauth-token-id | Fonctionnel (OIDC) |
dydu-oauth-token-refresh | Fonctionnel (OIDC) |
dydu.saml.auth | Fonctionnel (OIDC) |
Ces traceurs sont essentiels à la visibilité de la chatbox et au démarrage du chatbot.
A ce moment-là, deux solutions sont proposées au Client :
Soit il détermine que la solution Dydu est essentielle à son service de communication en ligne (site web, application, intranet, etc.) et il laisse les traceurs se déposer automatiquement lors de la première visite de l’utilisateur (sans consentement préalable, mais avec mise à disposition d’informations, cf. « ETAPE N°5 ») ;
Soit il détermine que la solution Dydu n’est pas essentielle et décide alors de soumettre de dépôt des traceurs au consentement préalable et éclairé de l’utilisateur. Dans ce cas de figure, le client devra identifier et intégrer les cookies dans son TMS :
Tous les autres traceurs étant fonctionnels ou exemptés de consentement préalable, la seule volonté d’utilisation du chatbot par l’utilisateur justifiera le dépôt de ces cookies;
Le Client pourra également distinguer dans son TMS les cookies fonctionnels des cookies statistiques, afin de proposer un consentement spécifique à chacune de ces catégories.
L’ensemble de ces manipulations sont à la charge du client, Dydu ne pouvant exercer qu’un simple rôle de conseil sur ces points précis. Le client est seul responsable de sa politique de gestion des cookies et du paramétrage de son TMS. La gestion des traceurs Dydu de manière isolée n’aurait aucun sens, le client devra toujours centraliser la gestion de ses traceurs au sein d’un outil TMS commun à l’ensemble des services qu’il propose sur son site ou sur sa plateforme.
Néanmoins Dydu s’assure de la bonne visibilité/détection de ses traceurs par les principaux TMS du marché (TARTEAUCITRON, DIDOMI, QUANTCAST, ONETRUST, COOKIEBOT). En cas d’outil TMS développé par le Client lui-même, Dydu pourra accompagner le client dans l’intégration ou la détection de ses traceurs par cet outil.
INFORMATION PRATIQUE
Le Client devra donc s’assurer que son outil TMS respecte bien les lignes directrices de la CNIL suivantes :
Aucun dépôt de traceurs non-essentiels sans consentement préalable de l’utilisateur (la simple poursuite de navigation n’étant pas considérée comme l’expression d’un consentement valable) ;
Le refus doit être aussi facile que l’acceptation (si présence d’un bouton « tout accepter », alors bouton « tout refuser » à côté) ;
Le retrait du consentement doit être possible, facilement et à tout moment ;
Respect du droit d’information de l’utilisateur (finalités, durée, destinataires, etc.) ;
Conservation d’une trace de chaque consentement (une preuve valable en cas de contrôle).
Etape 5 : Informer l'utilisateur du dépôt de traceurs sur son terminal
Qu’importe la solution choisie par le Client, celui-ci devra dans toujours informer ses utilisateurs du dépôt de cookies. Si les cookies sont déposés sans consentement préalable de l’utilisateur (indispensables au fonctionnement de ses services concernés), cette information pourra avoir lieu sur la base de son TMS ou de la politique de confidentialité ou de gestion des cookies.
Le Client devra bien penser à intégrer l’ensemble des traceurs Dydu dans sa politique de gestion des cookies (ou, à défaut, dans sa politique de confidentialité). Cette information de l’utilisateur est essentielle à la mise en conformité du service Dydu.
Si le client désigne les cookies Dydu comme non-essentiels, il devra alors s’assurer d’informer les utilisateurs préalablement à tout dépôt. Cette information devra porter a minima sur les finalités visées par les traceurs, la durée de vie de ceux-ci ainsi que les « destinataires ».
Dydu accompagne le client dans cette information et intègre par défaut une mention d’information/disclaimer sur la page d’accueil de ses chatbots. Cette fonctionnalité est proposée dans la nouvelle version de base de la chatbox Dydu (CV5) et personnalisable par le Client.
--- Attention !
Certains clients sous versions antérieures n’ont toujours pas fait le choix d’intégrer cette mention d’information/disclaimer. Dydu leur rappelle que cette fonctionnalité est vivement recommandée à des fins de transparence dans le cadre des traitements de l’information mis en œuvre par le chatbot. Une nouvelle communication leur sera adressée afin de les inciter à nouveau à adopter cette fonctionnalité.
Voici un exemple de mention d’information/consentement sur la page d’accueil d’un Bot :
Dydu peut également accompagner le Client à la rédaction d’une mention d’information personnalisée.
L'engagement de Dydu
Dydu accorde la plus grande importance à la protection de la vie privée des individus. Depuis plus de 10 ans, elle fait de la sécurité et de la protection des données des priorités, tant au sein de ses équipes que dans le choix de ses partenaires techniques. Elle a donc à cœur de rassurer ses clients au travers de sa politique de gestion des cookies. Dydu s’engage à toujours collaborer avec ses clients pour que leurs outils soient conformes aux normes applicables en la matière et notamment aux nouvelles lignes directrices de la CNIL en date du 17 septembre 2020. Elle s’engage également à toujours faire évoluer ses solutions sur ce point, afin de les adapter aux éventuelles évolutions législatives en la matière (ex : Adoption du règlement E-Privacy). Dydu, au travers de ses équipes et plus particulièrement de son service DPO, met en place une veille permanente sur ces sujets, afin de toujours accompagner au mieux ses clients dans leurs démarches de conformité. Aujourd’hui, Dydu, en sa qualité de prestataire de service, déclare et garantit remplir son devoir de collaboration (au sens de l’article 28 du RGPD) afin de fournir à ses clients un outil répondant aux impératifs des lignes directrices de la CNIL du 17 septembre 2020.
En savoir plus sur les cookies Dydu
Ce document a vocation à apporter un premier niveau de connaissances au Client sur les engagements de Dydu vis-à-vis de la gestion des cookies de ses solutions (Chatbot, Livechat, Voicebot, Callbot, etc.). En cas de problème ou pour tout renseignement complémentaire, veuillez contacter le Délégué à la protection des données de Dydu à l’adresse email suivante : dpo@dydu.ai.
Dernière mise à jour