Ce document présente l'auto-évaluation du SDK Nonli au regard des critères publiés par la CNIL pour les solutions de mesure d'audience pouvant être mises en œuvre sans recueil du consentement, lorsque la solution est correctement configurée.
Cette auto-évaluation concerne uniquement le SDK Nonli utilisé pour mesurer l'audience éditoriale des contenus sur les sites des éditeurs clients. Elle ne couvre pas les autres services analytics éventuellement installés par l'éditeur sur son site, ni les paramètres de marquage d'URL que le client peut configurer pour ses propres outils analytics.
Conformément à la recommandation de la CNIL, Nonli formule l'attestation suivante :
D'après notre auto-évaluation, le SDK Nonli est conforme aux critères établis par la CNIL pour les solutions de mesure d'audience exemptées de consentement, et peut être mis en œuvre sans requérir le consentement des utilisateurs s'il est correctement configuré.
Cette auto-évaluation ne constitue pas une certification, une validation ou une homologation par la CNIL. Elle documente l'analyse réalisée par Nonli, sous réserve de l'analyse que la CNIL pourrait conduire dans le cadre de ses missions.
1. Références#
- Page CNIL : Cookies : solutions pour les outils de mesure d'audience
- Outil CNIL d'auto-évaluation relatif à la mise en œuvre d'une solution de mesure d'audience exemptée de consentement
- Article 82 de la loi Informatique et Libertés
- Accord RGPD Nonli : RGPD - Traitement des données
2. Synthèse#
| Objectif CNIL | Évaluation Nonli | Justification |
|---|---|---|
| Finalité strictement limitée à la mesure d'audience | Conforme | Le SDK mesure des vues et des métriques éditoriales agrégées par contenu, pour le compte exclusif de l'éditeur. |
| Sous-traitance RGPD encadrée | Conforme | Les engagements de traitement, de sécurité, de confidentialité, d'assistance et de sort des données sont documentés dans l'accord RGPD Nonli. |
| Absence de suivi cross-domain | Conforme | Le SDK ne dépose pas de cookie, ne lit pas les cookies du site, ne crée pas d'identifiant visiteur et ne consolide pas les mesures entre clients. |
| Données statistiques anonymes | Conforme | Les résultats exposés sont des compteurs agrégés par contenu, marque ou domaine, sans identifiant utilisateur. |
| Modalité d'opposition | Non applicable | Le SDK ne réalise pas de traitement de données personnelles dans les compteurs d'audience ; les traitements techniques d'infrastructure sont encadrés séparément. |
3. Périmètre des finalités#
Le SDK Nonli est limité à la mesure d'audience éditoriale et aux usages nécessaires à la fourniture de ce service :
- mesure des vues par contenu ;
- mesure de métriques éditoriales agrégées, par exemple les vues vidéo, commentaires, vues paywall ou clics paywall transmis par l'éditeur ;
- détection de problèmes de navigation ou de disponibilité, par exemple les compteurs de contenus en stock ou hors stock ;
- optimisation technique et estimation de volumétrie ;
- analyse des contenus consultés à partir de l'URL canonique du contenu.
Le SDK Nonli ne sert pas à :
- mesurer des campagnes publicitaires ;
- constituer des cohortes d'utilisateurs ;
- personnaliser un parcours individuel ;
- faire du retargeting ;
- produire un reach unifié entre plusieurs domaines ;
- enrichir les données avec un CRM, une DMP, une CDP ou un identifiant tiers.
4. Objectif 1 - Finalité unique de mesure d'audience#
Le SDK Nonli expose uniquement les appels nécessaires à la mesure éditoriale :
| Appel | Rôle | Données traitées |
|---|---|---|
sdk.js | Chargement du tag | Configuration du domaine et de la marque. |
pv.js | Comptage des pages vues | URL canonique, échantillonnage, marque, dates de publication ou modification si disponibles. |
mcs.js | Comptage de métriques éditoriales | Métriques numériques agrégées, par exemple vues vidéo, commentaires, paywall, quantité, montant et devise. |
Le SDK ne propose pas de fonctionnalité de mesure marketing ou publicitaire. Les paramètres collectés sont strictement liés à l'analyse du contenu consulté.
Les paramètres de campagne ou de marquage analytics éventuellement ajoutés aux liens de destination, par exemple utm_*, at_*, mtm_* ou xtor, ne sont pas activés par défaut par Nonli. Lorsqu'ils sont configurés par le client, ils relèvent de son propre plan de marquage et de ses propres outils analytics, et non de la mesure d'audience SDK évaluée ici.
4.1. Minimisation des en-têtes HTTP#
Les en-têtes HTTP ne sont pas collectés pour produire les compteurs d'audience. Le User-Agent transitant dans la requête est utilisé de manière transitoire pour exclure les robots du décompte. Les informations dérivées du User-Agent, comme la version du navigateur, le système d'exploitation ou la plateforme, ne sont pas persistées dans les compteurs.
Aucun en-tête tel que la langue, la résolution écran, l'adresse IP, la plateforme ou un identifiant navigateur n'est stocké dans les données de mesure.
5. Objectif 2 - Sous-traitance RGPD#
Nonli agit pour le compte de l'éditeur client dans le cadre de la fourniture du SDK. Les engagements applicables sont décrits dans l'accord RGPD, notamment :
- confidentialité des données ;
- mesures techniques et organisationnelles ;
- assistance à l'éditeur pour l'exercice des droits ;
- notification des violations de données ;
- règles de sous-traitance ultérieure ;
- sort des données en fin de prestation.
Les données issues du SDK sont cloisonnées par client, marque et domaine. Nonli ne met pas en commun les données brutes entre éditeurs et ne réutilise pas les données des clients pour son propre compte.
Pour toute question ou réclamation, l'éditeur peut contacter [email protected].
5.1. Infrastructure, TLS et CDN#
Les domaines courts utilisés pour le SDK sont servis sur des sous-domaines dédiés. Nonli utilise Cloudflare comme prestataire technique pour la gestion des certificats TLS des domaines personnalisés et, selon la configuration du domaine, pour la distribution CDN du fichier sdk.js.
La génération du certificat TLS repose sur une validation de domaine et transmet à Cloudflare les informations nécessaires à cette opération, notamment le nom d'hôte et les paramètres du certificat. Cette opération ne transmet pas de données de mesure d'audience.
Le fichier sdk.js est une ressource JavaScript publique et cacheable. Les appels de mesure pv.js et mcs.js sont, côté application Nonli, servis avec des en-têtes de cache privés et des en-têtes CDN no-store, et la configuration Cloudflare les exclut du cache CDN partagé. Les protections Cloudflare susceptibles de créer un challenge navigateur ou un cookie de bot management sont exclues des routes SDK sdk.js, pv.js et mcs.js. Elles peuvent rester actives sur les autres flux techniques, notamment pour protéger les domaines courts, sans servir à la mesure d'audience SDK.
6. Objectif 3 - Absence de suivi cross-domain#
Le SDK Nonli est conçu sans cookie et sans identifiant visiteur :
- aucun cookie n'est déposé ;
- aucun cookie du site n'est lu ;
- aucun identifiant cross-domain n'est créé ;
- aucune donnée CRM, DMP, CDP ou publicitaire n'est importée ;
- aucun fingerprinting n'est réalisé ;
- aucune session individuelle n'est reconstruite.
Le SDK est déployé sur un sous-domaine du domaine principal du client. La mesure d'une marque ou d'un domaine n'est jamais consolidée avec celle d'une autre marque ou d'un autre client.
6.1. Adresse IP et journaux#
Le chemin applicatif du SDK ne lit pas l'adresse IP du visiteur pour la mesure d'audience. Il n'effectue pas de géolocalisation, de pseudonymisation IP ou de stockage IP dans les compteurs SDK.
Au niveau du reverse proxy de production Nonli, la journalisation d'accès est désactivée pour les domaines servant le SDK. Des données techniques de transport peuvent toutefois être traitées par les prestataires d'infrastructure, notamment Cloudflare pour le TLS, le routage, la sécurité et le cache, ainsi que par les journaux applicatifs en cas d'exception. Ces traitements techniques ne servent pas à produire les compteurs d'audience et doivent être encadrés par les accords de sous-traitance, les durées de conservation et les mesures de sécurité applicables.
6.2. Référent HTTP#
Le référent HTTP peut être utilisé de manière transitoire pour vérifier que l'appel provient du même sous-domaine que l'URL canonique annoncée. Cette vérification sert à limiter les abus et n'alimente pas les compteurs d'audience.
7. Objectif 4 - Données statistiques anonymes#
Les rapports produits par Nonli à partir du SDK comportent uniquement des statistiques anonymes et agrégées :
- nombre de vues ;
- vues de contenus en stock ou hors stock ;
- métriques numériques éditoriales transmises par l'éditeur ;
- agrégations par contenu, marque ou domaine.
Aucun identifiant utilisateur, identifiant navigateur, cookie, adresse IP ou empreinte technique n'est stocké avec ces compteurs. Les filtres disponibles dans l'interface Nonli ne permettent donc pas d'isoler une personne ou de reconstituer son parcours.
Le SDK Nonli ne propose pas de session replay, d'enregistrement d'écran, de carte de chaleur individuelle ou de suivi comportemental nominatif.
8. Objectif 5 - Droit d'opposition#
La CNIL prévoit qu'une modalité d'opposition doit être mise en œuvre dans la mesure où un traitement de données à caractère personnel au sens du RGPD existe.
Le SDK Nonli ne réalise pas de traitement de données personnelles dans son chemin de mesure d'audience :
- pas de cookie ;
- pas d'utilisation de l'adresse IP pour les compteurs d'audience ;
- pas de fingerprinting ;
- pas d'identifiant visiteur ;
- pas de consolidation cross-domain ;
- compteurs agrégés par contenu et par client.
En conséquence, aucune modalité d'opposition spécifique n'est requise pour la mesure SDK. Un utilisateur qui souhaite malgré tout ne pas être compté peut bloquer le domaine du SDK via son navigateur, son réseau ou un bloqueur de scripts.
9. Configuration opérationnelle#
Pour rester dans le périmètre décrit dans cette auto-évaluation, l'éditeur doit utiliser le SDK Nonli dans sa configuration standard :
- déploiement sur le sous-domaine prévu pour sa marque ;
- absence de modification du tag visant à ajouter des identifiants ou des données personnelles ;
- information des utilisateurs dans sa politique de confidentialité ou sa politique cookies ;
- absence de recoupement avec d'autres traitements pour identifier les visiteurs.
Les modalités d'installation sont décrites dans la FAQ SDK : SDK de Nonli (tag analytics) - Q & A.