POLITIQUE EN MATIÈRE DE COOKIES ET TECHNOLOGIES SIMILAIRES DE TRAÇAGE MeilleurJour
ARTICLE 1. PRÉAMBULE
La présente Politique en matière de Cookies et Technologies Similaires de Traçage (ci-après la « Politique Cookies ») est établie par la société exploitant la plateforme numérique MeilleurJour (ci- après « MeilleurJour », « nous », « notre » ou « nos »). Elle s'applique à l'ensemble des services numériques accessibles via le site internet www.meilleurjour.fr et tout sous-domaine associé (ci-après la « Plateforme »).
MeilleurJour est une plateforme numérique innovante permettant aux utilisateurs d'obtenir des analyses statistiques approfondies afin de les accompagner dans le choix d'une date optimale pour l'organisation d'un événement. La Plateforme génère des rapports personnalisés fondés sur des données statistiques, comportementales et algorithmiques. Les utilisateurs peuvent notamment consulter le site, créer un compte personnel, acquérir et télécharger des rapports, utiliser des outils interactifs d'analyse et interagir avec le service support.
La présente Politique Cookies a été rédigée conformément aux textes et référentiels suivants :
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD ») ;
La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la « Directive ePrivacy »), telle que transposée en droit français à l'article L. 32-3-1 et aux articles L. 34-5, L. 34-5-1 et L. 34-5-2 du Code des postes et des communications électroniques (CPCE) ainsi qu'à l'article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés ») ;
Les recommandations et lignes directrices de la Commission nationale de l'informatique et des
libertés (ci-après la « CNIL »), et notamment sa délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives aux cookies et autres traceurs, modifiées par la délibération n° 2020-092 du même jour, ainsi que la recommandation de la CNIL portant sur les modalités de recueil du consentement du 17 septembre 2020 ;
Les lignes directrices 05/2020 du Comité européen de la protection des données (CEPD) sur le
consentement au sens du RGPD ;
Les lignes directrices 03/2022 du CEPD relatives aux cookies wall ; La proposition de Règlement ePrivacy (COM/2017/0010 final) et ses développements ultérieurs ; Toute autre recommandation, délibération ou décision applicable émise par les autorités compétentes de protection des données au sein de l'Espace économique européen.
La présente Politique Cookies constitue un document juridiquement contraignant qui s'inscrit dans le cadre plus large de la Politique de Confidentialité de MeilleurJour, disponible sur la Plateforme, à laquelle elle est complémentaire. En cas de contradiction entre la Politique Cookies et la Politique de Confidentialité, les dispositions de la Politique Cookies prévaudront s'agissant de tout ce qui concerne spécifiquement les cookies et technologies similaires de traçage.
MeilleurJour s'engage à respecter strictement les exigences légales et réglementaires applicables en matière de protection des données à caractère personnel et de vie privée numérique. Dans ce cadre, MeilleurJour met en œuvre une approche de conformité proactive fondée sur les principes de privacy by design et de privacy by default, conformément à l'article 25 du RGPD.
La présente Politique Cookies est susceptible d'être mise à jour régulièrement afin de refléter les évolutions technologiques, réglementaires et opérationnelles de MeilleurJour. Les modalités de mise à jour sont décrites à l'article 20 du présent document.
ARTICLE 2. DÉFINITIONS
Aux fins de la présente Politique Cookies, les termes et expressions ci-après ont la signification suivante, qu'ils soient utilisés au singulier ou au pluriel :
« Autorité de contrôle » désigne toute autorité publique indépendante instituée par un État membre de l'Union européenne en application de l'article 51 du RGPD. En France, l'autorité de contrôle compétente est la Commission nationale de l'informatique et des libertés (CNIL), dont le siège social est établi 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
« Balise web » (ou Web Beacon) désigne un objet graphique de très petite taille, généralement d'un pixel par un pixel (1×1), transparent et invisible, intégré dans une page web ou dans un courriel, permettant de tracer les actions de l'utilisateur, de confirmer la réception et la lecture d'un courriel, d'enregistrer des statistiques de consultation et de collecter des informations sur l'environnement technique de l'utilisateur.
« Bandeau cookies » (ou CMP) désigne l'interface de présentation et de recueil du consentement de l'utilisateur relative aux cookies et traceurs non strictement nécessaires, affichée lors de la première visite de l'utilisateur sur la Plateforme et à chaque fois que sa décision antérieure ne peut être retrouvée.
« Base légale » désigne le fondement juridique qui autorise MeilleurJour à traiter des données à caractère personnel, tel que défini à l'article 6 du RGPD. Pour les traceurs, la base légale principale est soit le consentement de l'utilisateur (article 6(1)(a) RGPD), soit l'intérêt légitime de MeilleurJour (article 6(1)(f) RGPD), soit l'exécution d'un contrat (article 6(1)(b) RGPD), soit l'obligation légale (article 6(1)(c) RGPD).
« CMP » désigne la Consent Management Platform (Plateforme de Gestion du Consentement), outil technique permettant à MeilleurJour de recueillir, de stocker et de gérer les consentements et refus des utilisateurs relatifs aux cookies et traceurs, conformément aux exigences du RGPD et de la directive ePrivacy.
« Consentement » désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle l'utilisateur accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel le concernant fassent l'objet d'un traitement, conformément à l'article 4(11) et à l'article 7 du RGPD.
« Cookie » (ou témoin de connexion) désigne un fichier texte de petite taille placé sur le terminal de l'utilisateur (ordinateur, tablette, téléphone mobile ou tout autre dispositif) lors de sa navigation sur la Plateforme, conformément à la définition visée à l'article 82 de la loi Informatique et Libertés.
« Cookie tiers » désigne tout cookie déposé sur le terminal de l'utilisateur par un prestataire tiers autre que MeilleurJour, à l'occasion de sa visite sur la Plateforme.
« Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, conformément à l'article 4(1) du RGPD. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Device fingerprinting » désigne toute technique permettant d'identifier de manière unique un terminal ou un navigateur à partir de caractéristiques techniques collectées lors de la navigation, telles que la résolution d'écran, la liste des polices de caractères installées, les paramètres du navigateur, l'adresse IP, le fuseau horaire, les plugins installés, les paramètres de langue et toute autre information permettant de constituer une empreinte numérique unique du terminal.
« Durée de conservation » désigne la période maximale pendant laquelle un cookie ou traceur demeure actif sur le terminal de l'utilisateur avant son expiration automatique, telle que définie par l'émetteur du cookie.
« Local Storage » désigne une technologie de stockage côté navigateur permettant de conserver des données de manière persistante sur le terminal de l'utilisateur, sans limite de durée automatique contrairement aux cookies, et sans transmission automatique au serveur lors de chaque requête HTTP.
« Pixel de suivi » désigne un code de traçage de très petite taille, souvent invisible, intégré dans une page web ou une publicité, permettant de collecter des informations sur le comportement de l'utilisateur, notamment les pages visitées, les interactions effectuées et les conversions réalisées.
« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. MeilleurJour agit en qualité de responsable de traitement pour les cookies qu'elle dépose directement sur les terminaux des utilisateurs.
« SDK » désigne un Software Development Kit (kit de développement logiciel), soit un ensemble d'outils logiciels intégré dans la Plateforme permettant à des tiers de collecter des données de navigation et d'utilisation, notamment à des fins analytiques ou publicitaires.
« Server-Side Tracking » désigne une méthode de collecte de données dans laquelle le traitement des données de navigation et d'interaction est effectué côté serveur plutôt que côté client (navigateur), permettant ainsi une collecte plus fiable, moins exposée aux bloqueurs de publicité et aux restrictions des navigateurs, mais impliquant un traitement de données à caractère personnel soumis aux mêmes exigences légales que les méthodes côté client.
« Session Storage » désigne une technologie de stockage côté navigateur permettant de conserver des données temporairement, uniquement pour la durée d'une session de navigation. Les données stockées dans le Session Storage sont automatiquement supprimées à la fermeture de l'onglet ou du navigateur.
« Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement, conformément à l'article 4(8) du RGPD.
« Terminal » désigne tout équipement électronique appartenant à l'utilisateur ou dont il dispose et lui permettant d'accéder à la Plateforme, notamment un ordinateur de bureau, un ordinateur portable, une tablette numérique, un téléphone mobile dit "smartphone", une montre connectée ou tout autre dispositif connecté à internet.
« Traceur » désigne toute opération visant à accéder à des informations déjà stockées dans le terminal de l'utilisateur ou à inscrire des informations dans le terminal de l'utilisateur, au sens de l'article 82 de la loi Informatique et Libertés. Le terme « traceur » est utilisé dans la présente Politique Cookies comme terme générique englobant les cookies, pixels, balises web, SDK, local storage, session storage, le fingerprinting et toutes technologies similaires.
« Utilisateur » désigne toute personne physique accédant à la Plateforme MeilleurJour, qu'elle soit inscrite ou non, et naviguant sur tout ou partie des services proposés.
ARTICLE 3. QU'EST-CE QU'UN COOKIE ?
Un cookie est un petit fichier texte, généralement de quelques kilo-octets, déposé et stocké sur le disque dur ou la mémoire du terminal de l'utilisateur par le serveur du site internet visité ou par un serveur tiers. Ce fichier est transmis au serveur émetteur à chaque requête ultérieure effectuée par le
terminal de l'utilisateur auprès de ce même serveur, permettant ainsi à ce dernier de reconnaître le terminal lors de visites successives.
D'un point de vue technique, un cookie est composé d'un nom (identifiant), d'une valeur (information stockée), d'un domaine (champ d'application), d'un chemin (sous-répertoire d'application), d'une date d'expiration (durée de vie), et de plusieurs attributs de sécurité (notamment HttpOnly, Secure, SameSite). L'attribut HttpOnly empêche l'accès au cookie via des scripts JavaScript côté client, réduisant ainsi le risque d'attaques de type Cross-Site Scripting (XSS). L'attribut Secure garantit que le cookie n'est transmis que via des connexions chiffrées HTTPS. L'attribut SameSite contrôle l'envoi du cookie lors de requêtes intersites, contribuant à la protection contre les attaques de type Cross-Site Request Forgery (CSRF).
Sur le plan juridique, l'article 82 de la loi Informatique et Libertés dispose que tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, et doit avoir donné son consentement préalable, avant toute opération visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son terminal ou à inscrire des informations dans celui-ci, sauf si ces opérations sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur, ou si elles ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.
3.1 Catégories de cookies selon leur durée de vie
Les cookies peuvent être classés en deux catégories principales selon leur durée de vie :
3.1.1 Cookies de session
Les cookies de session sont des cookies temporaires qui sont automatiquement supprimés du terminal de l'utilisateur à la fermeture du navigateur web. Ils sont utilisés pour maintenir l'état de la session de navigation et permettre des fonctionnalités qui ne peuvent pas être assurées autrement, telles que le maintien de la connexion de l'utilisateur lors de sa navigation entre plusieurs pages de la Plateforme.
3.1.2 Cookies persistants
Les cookies persistants demeurent stockés sur le terminal de l'utilisateur au-delà de la fermeture du navigateur, pendant une durée déterminée fixée lors de leur création, ou jusqu'à ce que l'utilisateur les supprime manuellement. Ils sont utilisés pour mémoriser les préférences de l'utilisateur, maintenir son statut d'authentification entre plusieurs sessions et effectuer des mesures d'audience sur le long terme. Conformément aux recommandations de la CNIL, la durée de conservation des cookies persistants ne doit pas excéder treize (13) mois à compter du premier dépôt et ne doit pas être reconduite automatiquement lors d'une nouvelle visite.
3.2 Catégories de cookies selon leur émetteur
3.2.1 Cookies internes (first-party cookies)
Les cookies internes sont déposés directement par MeilleurJour sur le terminal de l'utilisateur lorsqu'il navigue sur la Plateforme. Ces cookies sont placés sous le domaine de la Plateforme (meilleurjour.fr et ses sous-domaines) et leur lecture est limitée à ce même domaine. MeilleurJour exerce un contrôle direct sur les finalités et les conditions de traitement des données collectées via ces cookies.
3.2.2 Cookies tiers (third-party cookies)
Les cookies tiers sont déposés par des prestataires tiers sur le terminal de l'utilisateur, à l'occasion de sa navigation sur la Plateforme. Ces cookies sont placés sous les domaines des prestataires tiers concernés et peuvent être lus par ces derniers lors de la navigation de l'utilisateur sur d'autres sites
internet. MeilleurJour n'exerce aucun contrôle direct sur les finalités et conditions de traitement des données collectées par ces prestataires tiers, qui disposent de leurs propres politiques de confidentialité.
ARTICLE 4. TECHNOLOGIES SIMILAIRES DE TRAÇAGE
Outre les cookies au sens strict, MeilleurJour est susceptible de recourir à d'autres technologies présentant des fonctionnalités similaires aux cookies et permettant d'identifier le terminal de l'utilisateur ou de collecter des informations sur son comportement de navigation. Ces technologies sont soumises aux mêmes exigences légales que les cookies au regard de l'article 82 de la loi Informatique et Libertés et des recommandations de la CNIL.
4.1 Pixels de suivi et balises web
Les pixels de suivi (également dénommés « tracking pixels », « web beacons » ou « clear GIFs ») sont de petits objets graphiques, généralement d'un pixel par un pixel (1×1), intégrés de manière invisible dans les pages web de la Plateforme ou dans des communications électroniques. Lors du chargement de la page ou de l'ouverture du courriel, une requête HTTP est envoyée vers le serveur émetteur du pixel, ce qui permet à ce dernier de collecter l'adresse IP de l'utilisateur, l'identifiant du navigateur, la date et l'heure d'accès, le type et la version du navigateur, et toute autre information susceptible d'être transmise dans les en-têtes HTTP. MeilleurJour utilise des pixels de suivi notamment pour mesurer l'efficacité de ses campagnes marketing (via Meta Pixel, Google Ads Conversion Tag, TikTok Pixel, LinkedIn Insight Tag et outils équivalents) et pour confirmer la délivrabilité de ses communications électroniques transactionnelles.
4.2 Local Storage
Le Local Storage (stockage local) est une technologie HTML5 de stockage côté navigateur qui permet à une application web de stocker des paires clé-valeur de manière persistante sur le terminal de l'utilisateur, sans date d'expiration automatique. Contrairement aux cookies, les données stockées dans le Local Storage ne sont pas automatiquement transmises au serveur lors de chaque requête HTTP. Elles persistent jusqu'à suppression explicite par l'utilisateur ou par l'application elle-même. La capacité de stockage du Local Storage est généralement de l'ordre de cinq (5) mégaoctets par origine (domaine), soit considérablement supérieure à celle d'un cookie classique (4 kilo-octets). MeilleurJour est susceptible d'utiliser le Local Storage pour mémoriser les préférences de l'utilisateur, ses paramètres d'interface, certains éléments de session, et pour améliorer les performances de la Plateforme en réduisant le nombre de requêtes serveur. Conformément à la jurisprudence de la CNIL, le recours au Local Storage à des fins autres que strictement nécessaires au fonctionnement du service expressément demandé par l'utilisateur requiert son consentement préalable.
4.3 Session Storage
Le Session Storage (stockage de session) est une technologie HTML5 de stockage côté navigateur similaire au Local Storage mais dont les données sont automatiquement supprimées à la fermeture de l'onglet ou du navigateur. Chaque onglet du navigateur dispose de son propre Session Storage isolé, de sorte que les données ne sont pas partagées entre les onglets. MeilleurJour utilise le Session Storage principalement pour des finalités strictement nécessaires au fonctionnement de la Plateforme au cours d'une session de navigation, telles que la conservation temporaire du contenu du panier d'achat, du contexte de navigation ou de données de formulaire en cours de saisie. Dans la mesure où le Session Storage est utilisé à des fins strictement nécessaires et que les données sont systématiquement supprimées à la fermeture de la session, son utilisation à ces seules fins ne requiert pas de consentement préalable.
4.4 Device Fingerprinting (Empreinte numérique)
Le device fingerprinting (ou empreinte numérique du terminal) est une technique permettant d'identifier de manière unique ou quasi-unique un terminal ou un navigateur à partir d'un ensemble de caractéristiques techniques collectées lors de la navigation. Ces caractéristiques peuvent inclure, sans que cette liste soit exhaustive :
La résolution et la profondeur de couleur de l'écran ; La liste et la version des polices de caractères installées sur le terminal ; Les plugins et extensions de navigateur installés ; Le fuseau horaire et les paramètres de langue du navigateur ; Le type, la version et la configuration du navigateur ; Le type et la version du système d'exploitation ; L'adresse IP (y compris l'adresse IPv6) ; Les paramètres de rendu graphique (Canvas fingerprinting, WebGL fingerprinting) ; Les paramètres audio (AudioContext fingerprinting) ; Les paramètres de réseau et de connexion.
La combinaison de ces caractéristiques techniques permet de constituer une empreinte numérique unique susceptible d'identifier l'utilisateur de manière plus fiable qu'un cookie traditionnel, y compris après suppression des cookies par l'utilisateur. La CNIL a expressément qualifié le device fingerprinting de technique de traçage soumise à l'obligation de consentement préalable lorsqu'il est utilisé à des fins autres que strictement nécessaires. MeilleurJour ne recourt au device fingerprinting qu'à des fins de sécurité (détection de fraude, prévention des accès non autorisés et protection contre les attaques par force brute) dans le cadre de son intérêt légitime à sécuriser sa Plateforme, et à des fins analytiques ou publicitaires uniquement avec le consentement préalable de l'utilisateur.
4.5 Software Development Kits (SDK)
Les SDK sont des kits de développement logiciel intégrés dans la Plateforme de MeilleurJour et fournis par des prestataires tiers. Ces SDK permettent d'intégrer des fonctionnalités développées par des tiers dans la Plateforme (telles que des outils d'analyse, de support client, de paiement, d'authentification ou de communication) et peuvent, dans ce cadre, collecter des données relatives à l'utilisation de ces fonctionnalités par l'utilisateur. MeilleurJour s'assure, par voie contractuelle, que les SDK tiers qu'elle intègre respectent les exigences du RGPD et de la directive ePrivacy, notamment en matière de finalités de collecte, de durées de conservation et de transferts internationaux de données.
4.6 Server-Side Tracking
Le server-side tracking est une méthode de collecte de données dans laquelle les événements de navigation et d'interaction de l'utilisateur sont capturés et transmis à des outils d'analyse ou publicitaires via le serveur de MeilleurJour, plutôt que directement depuis le navigateur de l'utilisateur (client-side tracking). Cette méthode présente plusieurs avantages opérationnels, notamment une moindre sensibilité aux bloqueurs de publicité et aux restrictions imposées par les navigateurs (telles que l'Intelligent Tracking Prevention d'Apple Safari ou la politique de restriction des cookies tiers de Google Chrome), ainsi qu'une meilleure fiabilité des données collectées.
Cependant, le server-side tracking implique que MeilleurJour agit en qualité de responsable de traitement ou de sous-traitant pour les données ainsi collectées et transmises à des tiers, et est soumis aux mêmes exigences légales applicables au client-side tracking, notamment en matière de consentement, d'information des utilisateurs, de durées de conservation et de transferts internationaux. MeilleurJour met en œuvre le server-side tracking uniquement dans le respect de ces exigences et dans la limite des consentements recueillis auprès des utilisateurs via sa CMP.
4.7 Cross-Device Tracking
Le cross-device tracking désigne l'ensemble des techniques permettant de relier et de reconnaître un même utilisateur sur plusieurs terminaux distincts (ordinateur, téléphone mobile, tablette, télévision connectée, etc.). Ces techniques incluent notamment :
Le tracking déterministe, fondé sur l'identification de l'utilisateur via ses identifiants authentifiés
(notamment l'identifiant de compte MeilleurJour), permettant de relier ses sessions de navigation sur différents terminaux à un même profil ;
Le tracking probabiliste, fondé sur l'analyse de données comportementales et techniques (adresse
IP, fuseau horaire, comportement de navigation) pour inférer qu'un même utilisateur est à l'origine de sessions effectuées sur des terminaux distincts ;
Le tracking via les graphes d'identité fournis par des prestataires tiers (Google Signals, Meta
Advanced Matching, LinkedIn Insight Tag, etc.).
Le cross-device tracking est soumis aux mêmes exigences légales que les autres techniques de traçage et requiert le consentement préalable de l'utilisateur lorsqu'il est utilisé à des fins autres que strictement nécessaires au fonctionnement du service. MeilleurJour informe les utilisateurs du recours au cross-device tracking dans la présente Politique Cookies et via sa CMP, et recueille leur consentement conformément aux recommandations de la CNIL.
ARTICLE 5. POURQUOI UTILISONS-NOUS DES COOKIES ?
MeilleurJour utilise des cookies et technologies similaires de traçage pour les finalités suivantes, regroupées en sept (7) catégories distinctes selon leur nature et leur base légale :
Assurer le fonctionnement technique de la Plateforme et la sécurité des transactions (cookies
strictement nécessaires — aucun consentement requis) ;
Mesurer l'audience de la Plateforme et analyser les comportements de navigation afin d'améliorer
nos services (cookies analytiques — consentement requis) ;
Personnaliser l'expérience de navigation et mémoriser les préférences de l'utilisateur (cookies de
personnalisation — consentement requis) ;
Diffuser des publicités personnalisées et mesurer l'efficacité de nos campagnes marketing
(cookies marketing — consentement requis) ; Intégrer les fonctionnalités des réseaux sociaux sur la Plateforme (cookies de réseaux sociaux — consentement requis) ;
Fournir des services de support et d'assistance aux utilisateurs (cookies de support —
consentement requis) ;
Améliorer les fonctionnalités basées sur l'intelligence artificielle et personnaliser l'expérience
algorithmique (cookies liés à l'IA — consentement requis).
Chacune de ces catégories est décrite en détail aux articles 6 à 12 de la présente Politique Cookies. Pour les catégories de cookies soumises au consentement de l'utilisateur, MeilleurJour ne procède au dépôt ou à la lecture de ces cookies qu'après avoir obtenu le consentement préalable, libre, spécifique, éclairé et univoque de l'utilisateur via sa Consent Management Platform (CMP), conformément aux articles 13 et 14 du présent document.
ARTICLE 6. COOKIES STRICTEMENT NÉCESSAIRES
6.1 Définition et régime juridique
Les cookies strictement nécessaires sont des cookies indispensables au fonctionnement technique de la Plateforme et à la fourniture des services expressément demandés par l'utilisateur. Conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, ces cookies sont
exemptés de l'obligation de consentement préalable. Leur dépôt est autorisé sans accord préalable de l'utilisateur dès lors qu'ils remplissent les deux conditions cumulatives suivantes :
Ils ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou ils sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ; Ils ne sont pas utilisés à des fins de profilage, de ciblage publicitaire ou de mesure d'audience allant au-delà des stricts besoins opérationnels de la Plateforme.
Bien qu'exemptés de consentement, le recours à ces cookies doit faire l'objet d'une information claire et accessible à l'utilisateur, conformément aux articles 13 et 14 du RGPD. MeilleurJour s'engage à ne placer dans la catégorie des cookies strictement nécessaires que des cookies répondant rigoureusement aux critères d'exemption précités, et à ne pas détourner cette exemption pour traiter des données à des fins non strictement nécessaires.
6.2 Cookies d'authentification et de gestion de compte
MeilleurJour dépose des cookies d'authentification sur le terminal de l'utilisateur lorsque celui-ci se connecte à son espace personnel. Ces cookies permettent de maintenir la session ouverte de l'utilisateur lors de sa navigation entre les différentes pages de la Plateforme, d'éviter que l'utilisateur ait à saisir ses identifiants à chaque changement de page, de sécuriser la session en validant que les requêtes proviennent bien du terminal authentifié de l'utilisateur, et de détecter toute tentative d'usurpation de session (session hijacking). Ces cookies contiennent un identifiant de session chiffré et ne contiennent aucune donnée sensible en clair. Ils sont systématiquement invalidés lors de la déconnexion de l'utilisateur.
6.3 Cookies de sécurité
MeilleurJour dépose des cookies de sécurité permettant de protéger la Plateforme et ses utilisateurs contre diverses menaces informatiques, notamment :
Les jetons CSRF (Cross-Site Request Forgery) permettant de vérifier que les formulaires soumis sur la Plateforme proviennent bien de pages légitimes de la Plateforme et non d'un site tiers malveillant ;
Les cookies de détection de robots (anti-bot protection) permettant de distinguer les requêtes
légitimes d'utilisateurs humains des requêtes automatisées émises par des robots ou des scripts malveillants ;
Les cookies de rate limiting permettant de limiter le nombre de requêtes qu'un même terminal peut effectuer dans un délai donné, afin de prévenir les attaques par déni de service (DoS) et les tentatives de connexion par force brute ;
Les cookies de journalisation de sécurité permettant de tracer les événements de sécurité
significatifs aux fins de détection d'incidents et de réponse aux incidents.
6.4 Cookies de gestion des transactions et du panier
MeilleurJour dépose des cookies permettant de gérer les transactions commerciales effectuées sur la Plateforme, et notamment :
Les cookies de panier permettant de mémoriser les rapports et services sélectionnés par
l'utilisateur en vue de leur achat, et ce pendant toute la durée de la session de navigation ; Les cookies de transaction permettant de maintenir l'état de la transaction en cours lors du
processus de paiement, garantissant la continuité et l'intégrité du flux de paiement entre les différentes étapes du parcours d'achat ;
Les cookies de confirmation permettant de s'assurer que les étapes du processus d'achat sont
bien complétées dans le bon ordre et de prévenir les doubles paiements.
6.5 Cookies de préférences techniques
MeilleurJour dépose des cookies mémorisant les choix techniques de l'utilisateur nécessaires au fonctionnement de la Plateforme, tels que la langue de navigation sélectionnée par l'utilisateur (dans la mesure où ce choix est strictement nécessaire à la fourniture du service demandé), les paramètres d'accessibilité activés, ou toute autre préférence technique indispensable au fonctionnement correct de la Plateforme.
6.6 Cookies de la Consent Management Platform (CMP)
MeilleurJour dépose des cookies permettant de mémoriser les choix de consentement exprimés par l'utilisateur via sa CMP. Ces cookies sont strictement nécessaires au fonctionnement de la CMP et au respect des obligations légales de MeilleurJour en matière de gestion du consentement. Ils permettent à MeilleurJour de s'assurer que les cookies soumis à consentement ne sont déposés qu'auprès des utilisateurs ayant préalablement exprimé leur consentement, et que les choix exprimés sont respectés lors des visites ultérieures. Ces cookies ne contiennent que des données techniques relatives aux choix de consentement exprimés (acceptation ou refus par catégorie de cookies) et à la date de ces choix, sans aucune information permettant d'identifier l'utilisateur ou de le profiler.
ARTICLE 7. COOKIES ANALYTIQUES ET DE MESURE D'AUDIENCE
7.1 Finalités et base légale
Les cookies analytiques et de mesure d'audience permettent à MeilleurJour de comprendre comment les utilisateurs interagissent avec la Plateforme, d'identifier les pages les plus consultées, les parcours de navigation les plus fréquents, les sources d'acquisition de trafic, les taux de rebond, les durées de session et les points de friction dans le parcours utilisateur. Ces données permettent à MeilleurJour d'améliorer continuellement la qualité, la performance et l'ergonomie de ses services.
La base légale du dépôt de cookies analytiques est le consentement préalable de l'utilisateur, conformément à l'article 82 de la loi Informatique et Libertés et à l'article 6(1)(a) du RGPD. Par exception, lorsque MeilleurJour recourt à des solutions de mesure d'audience remplissant les conditions d'exemption définies par la CNIL dans sa délibération n° 2020-092 du 17 septembre 2020 — notamment lorsque les données collectées sont anonymisées, ne permettent pas le suivi inter-sites et que leur portée est limitée aux seuls services de MeilleurJour — le consentement de l'utilisateur n'est pas requis. Dans ce cas, MeilleurJour informe néanmoins les utilisateurs du recours à ces outils dans la présente Politique Cookies.
7.2 Outils analytiques utilisés
7.2.1 Google Analytics
MeilleurJour est susceptible d'utiliser Google Analytics, un service d'analyse web fourni par Google LLC (États-Unis). Google Analytics collecte et analyse des données relatives à l'utilisation de la Plateforme, notamment les pages visitées, la durée des sessions, les sources de trafic, les actions réalisées et les appareils utilisés. MeilleurJour utilise Google Analytics avec les paramètres de configuration suivants, conformément aux recommandations de la CNIL :
Activation de l'anonymisation des adresses IP (IP masking), garantissant que la dernière portion
de l'adresse IP est supprimée avant tout traitement par Google ;
Désactivation du partage de données vers d'autres services Google (Google Signals désactivé
par défaut sauf consentement) ;
Limitation de la durée de conservation des données au strict minimum nécessaire ;
Mise en place d'un accord de traitement des données (Data Processing Agreement) avec Google
Ireland Limited conformément aux exigences de l'article 28 du RGPD.
MeilleurJour met en œuvre Google Consent Mode v2 pour transmettre à Google Analytics des signaux de consentement permettant d'adapter la collecte de données en fonction des choix exprimés par l'utilisateur via la CMP. En mode de consentement refusé (denied), Google Analytics utilise des données agrégées et anonymisées (modélisation des conversions et du comportement) sans déposer de cookies personnalisés sur le terminal de l'utilisateur.
7.2.2 Plausible Analytics
MeilleurJour est susceptible d'utiliser Plausible Analytics, une solution d'analyse web respectueuse de la vie privée, dont les serveurs peuvent être hébergés au sein de l'Union européenne. Plausible Analytics est conçue pour fournir des statistiques de trafic sans déposer de cookies sur le terminal de l'utilisateur et sans collecter de données à caractère personnel au sens du RGPD, en utilisant uniquement des données agrégées et anonymisées. L'utilisation de Plausible Analytics en mode anonymisé est susceptible d'être exemptée de l'obligation de consentement dans les conditions définies par la CNIL.
7.2.3 Matomo
MeilleurJour est susceptible d'utiliser Matomo (anciennement Piwik), une solution open-source d'analyse web auto-hébergée ou hébergée en mode SaaS. Lorsque Matomo est utilisé en mode auto- hébergé avec anonymisation des adresses IP, sans partage de données avec des tiers et avec les options de respect de la vie privée activées, cette solution peut bénéficier de l'exemption de consentement dans les conditions définies par la CNIL. Dans tous les autres cas, le consentement de l'utilisateur est requis.
7.2.4 PostHog et outils équivalents
MeilleurJour est susceptible d'utiliser PostHog ou tout autre outil d'analyse de produit (product analytics) permettant d'analyser le comportement des utilisateurs sur la Plateforme, notamment les entonnoirs de conversion, les cohortes d'utilisateurs, les enregistrements de session (session replay) et les heatmaps (cartes de chaleur). Ces outils collectent des données relatives aux interactions de l'utilisateur avec la Plateforme (clics, défilements, mouvements de souris, durée de visualisation de chaque élément) et sont soumis à l'obligation de consentement préalable de l'utilisateur.
7.3 Heatmaps et enregistrements de session
MeilleurJour est susceptible d'utiliser des outils de type heatmap (carte de chaleur) et de session replay (enregistrement de session) permettant de visualiser le comportement des utilisateurs sur la Plateforme. Ces outils enregistrent les mouvements de souris, les clics, les défilements et les zones d'attention des utilisateurs afin de permettre à MeilleurJour d'identifier les points de friction dans le parcours utilisateur et d'améliorer l'ergonomie de la Plateforme. MeilleurJour s'engage à configurer ces outils de manière à masquer automatiquement toute donnée sensible (champs de formulaire, données de paiement, informations personnelles) avant tout enregistrement. Le recours à ces outils requiert le consentement préalable de l'utilisateur.
ARTICLE 8. COOKIES DE PERSONNALISATION
8.1 Finalités et base légale
Les cookies de personnalisation permettent à MeilleurJour d'adapter l'expérience de navigation à l'utilisateur en mémorisant ses préférences et ses choix antérieurs, afin de lui proposer une interface plus adaptée à ses besoins et à ses habitudes de navigation. Ces cookies permettent notamment de
mémoriser la langue de navigation de l'utilisateur (dans la mesure où ce choix ne constitue pas une condition strictement nécessaire à la fourniture du service), le thème graphique sélectionné (mode clair ou mode sombre), les paramètres d'affichage préférés, les filtres et critères de recherche habituellement appliqués, et toute autre préférence exprimée par l'utilisateur dans le cadre de son utilisation de la Plateforme.
La base légale du dépôt de cookies de personnalisation est le consentement préalable de l'utilisateur, conformément à l'article 82 de la loi Informatique et Libertés et à l'article 6(1)(a) du RGPD. Toutefois, lorsque les préférences mémorisées sont strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur (par exemple, le choix de la langue d'interface lors de la première navigation), le consentement peut ne pas être requis, dans la limite des conditions d'exemption définies par la CNIL.
8.2 Types de personnalisation
8.2.1 Personnalisation de l'interface
MeilleurJour est susceptible de mémoriser via des cookies les préférences d'interface de l'utilisateur, telles que le thème graphique (mode clair ou mode sombre), la taille de la police d'affichage, les préférences d'accessibilité, la disposition des éléments d'interface, les colonnes affichées dans les tableaux de données, et toute autre préférence de présentation visuelle exprimée par l'utilisateur. Ces données permettent à MeilleurJour de présenter l'interface dans la configuration préférée de l'utilisateur lors de ses visites ultérieures, sans qu'il ait à reconfigurer son environnement à chaque connexion.
8.2.2 Personnalisation algorithmique des recommandations
MeilleurJour est susceptible d'utiliser des cookies pour personnaliser les recommandations de rapports et de dates présentées à l'utilisateur, en fonction de son historique de navigation sur la Plateforme, de ses achats antérieurs, des types d'événements pour lesquels il a consulté des analyses, et de ses interactions avec les contenus de la Plateforme. Cette personnalisation algorithmique vise à améliorer la pertinence des recommandations présentées à l'utilisateur et à réduire le temps nécessaire à l'identification des rapports les plus adaptés à ses besoins.
8.2.3 Mémorisation du parcours et de la progression
MeilleurJour est susceptible de mémoriser via des cookies le stade d'avancement de l'utilisateur dans des processus multi-étapes (tels que la création d'un rapport personnalisé ou le paramétrage d'une analyse), afin de permettre à l'utilisateur de reprendre sa progression là où il l'a laissée lors d'une session précédente, sans avoir à recommencer depuis le début. Ces cookies ne contiennent que des données relatives à la progression de l'utilisateur dans le processus en cours, sans aucune donnée sensible.
ARTICLE 9. COOKIES MARKETING ET PUBLICITAIRES
9.1 Finalités et base légale
Les cookies marketing et publicitaires sont utilisés par MeilleurJour pour diffuser des publicités personnalisées sur des plateformes tierces, mesurer l'efficacité de ses campagnes publicitaires, optimiser ses investissements marketing et reconstituer le parcours de l'utilisateur depuis l'affichage d'une publicité jusqu'à la réalisation d'une action sur la Plateforme (conversion). Ces cookies permettent également de limiter la fréquence d'exposition de l'utilisateur à une même publicité (frequency capping) et de lui présenter des publicités jugées plus pertinentes au regard de son comportement de navigation.
La base légale du dépôt de cookies marketing est exclusivement le consentement préalable, libre, spécifique, éclairé et univoque de l'utilisateur, conformément à l'article 82 de la loi Informatique et Libertés, à l'article 6(1)(a) du RGPD et aux lignes directrices du CEPD sur le consentement. En l'absence de consentement ou après retrait du consentement par l'utilisateur, aucun cookie marketing n'est déposé sur le terminal de l'utilisateur et aucune donnée n'est transmise aux prestataires tiers de publicité.
9.2 Pixels et technologies marketing
9.2.1 Meta Pixel (anciennement Facebook Pixel)
Le Meta Pixel est un outil fourni par Meta Platforms, Inc. (États-Unis) permettant à MeilleurJour de mesurer les conversions réalisées suite à l'affichage de publicités diffusées sur les plateformes Meta (Facebook, Instagram, Audience Network), de créer des audiences personnalisées (Custom Audiences) et des audiences similaires (Lookalike Audiences) fondées sur les comportements des utilisateurs sur la Plateforme, et d'optimiser la diffusion des campagnes publicitaires. Le Meta Pixel peut collecter notamment l'adresse IP de l'utilisateur, des informations relatives au navigateur et au terminal, les pages visitées sur la Plateforme, les actions réalisées (visualisation de contenu, ajout au panier, initiation d'un paiement, achat) et des identifiants publicitaires. MeilleurJour peut également utiliser la fonctionnalité Advanced Matching de Meta pour améliorer la précision du suivi des conversions via des données hachées (adresse e-mail, numéro de téléphone) partagées avec Meta dans des conditions sécurisées et uniquement avec le consentement préalable de l'utilisateur. MeilleurJour a mis en œuvre le Meta Pixel via l'API Conversions (server-side), conformément aux recommandations de Meta et dans le respect des exigences du RGPD.
9.2.2 Google Ads et Google Conversion Tag
MeilleurJour est susceptible d'utiliser les solutions publicitaires de Google, incluant Google Ads (anciennement Google AdWords), Google Display Network, Google Search Ads, Performance Max et YouTube Ads, ainsi que les tags de suivi des conversions associés (Google Ads Conversion Tag et Google Tag Manager). Ces outils permettent à MeilleurJour de diffuser des publicités sur le réseau publicitaire de Google, de mesurer les conversions générées par ces campagnes, de créer des listes de remarketing permettant de cibler des utilisateurs ayant préalablement visité la Plateforme, et d'optimiser les enchères publicitaires via des algorithmes d'apprentissage automatique. MeilleurJour met en œuvre Google Consent Mode v2 afin de transmettre à Google des signaux de consentement permettant d'adapter le comportement des tags Google en fonction des choix exprimés par l'utilisateur via la CMP.
9.2.3 TikTok Pixel
MeilleurJour est susceptible d'utiliser le TikTok Pixel, un outil fourni par TikTok Technology Limited (Irlande) et ses entités affiliées, permettant de mesurer les conversions générées par les campagnes publicitaires diffusées sur la plateforme TikTok, de créer des audiences personnalisées et de procéder à du remarketing. Le TikTok Pixel collecte des données relatives aux actions réalisées par l'utilisateur sur la Plateforme (visualisation de page, initiation de paiement, achat) et les transmet à TikTok dans des conditions conformes au RGPD. MeilleurJour peut également utiliser l'API Events côté serveur de TikTok (TikTok Events API) pour améliorer la précision du suivi.
9.2.4 LinkedIn Insight Tag
MeilleurJour est susceptible d'utiliser le LinkedIn Insight Tag, un outil fourni par LinkedIn Ireland Unlimited Company, permettant de suivre les conversions générées par les campagnes publicitaires diffusées sur LinkedIn, d'analyser les caractéristiques professionnelles des visiteurs de la Plateforme (secteur d'activité, poste occupé, taille de l'entreprise) et de créer des audiences de remarketing LinkedIn. Le LinkedIn Insight Tag collecte des métadonnées d'URL, des adresses IP, des
horodatages et des données d'événements, et est susceptible de déposer un cookie de durée de vie de quatre-vingt-dix (90) jours sur le terminal de l'utilisateur.
9.2.5 Attribution publicitaire et mesure des conversions
Aux fins d'attribution publicitaire et de mesure des conversions, MeilleurJour est susceptible d'utiliser des outils d'attribution multi-touch permettant de modéliser le parcours de l'utilisateur depuis la première exposition à une publicité jusqu'à la réalisation d'une conversion sur la Plateforme. Ces outils collectent des données relatives aux points de contact publicitaires successifs de l'utilisateur (impressions, clics, visites) et les agrègent afin d'attribuer à chaque canal publicitaire une part de la valeur générée par la conversion. Ces outils sont soumis à l'obligation de consentement préalable de l'utilisateur.
ARTICLE 10. COOKIES DE RÉSEAUX SOCIAUX
10.1 Finalités et base légale
La Plateforme MeilleurJour intègre des boutons de partage et des widgets de réseaux sociaux permettant aux utilisateurs de partager des contenus de la Plateforme sur leurs profils de réseaux sociaux ou de se connecter via leur compte de réseau social. L'intégration de ces fonctionnalités est susceptible d'entraîner le dépôt de cookies par les réseaux sociaux concernés sur le terminal de l'utilisateur, dès lors que celui-ci a donné son consentement préalable. En l'absence de consentement, MeilleurJour met en œuvre une technique dite de « double-clic » ou de « chargement différé » (lazy loading) garantissant que les cookies des réseaux sociaux ne sont déposés qu'après une action explicite de l'utilisateur activant ces fonctionnalités.
10.2 Réseaux sociaux intégrés
10.2.1 Meta (Facebook et Instagram)
MeilleurJour est susceptible d'intégrer des boutons de partage et des widgets Meta (Facebook, Instagram) sur la Plateforme. Ces intégrations sont susceptibles d'entraîner le dépôt de cookies par Meta Platforms, Inc. sur le terminal de l'utilisateur, notamment le cookie « c_user » (identifiant de compte Facebook), le cookie « xs » (token de session Facebook), le cookie « datr » (identifiant de navigateur Meta), et le cookie « fr » (identifiant publicitaire Meta). Ces cookies permettent à Meta de tracer les activités de l'utilisateur sur des sites tiers à des fins publicitaires, indépendamment du fait que l'utilisateur soit connecté à son compte Meta.
10.2.2 LinkedIn
MeilleurJour est susceptible d'intégrer des boutons de partage LinkedIn et le widget LinkedIn Follow sur la Plateforme. Ces intégrations sont susceptibles d'entraîner le dépôt de cookies par LinkedIn Ireland Unlimited Company sur le terminal de l'utilisateur, notamment à des fins d'analyse d'audience et de publicité ciblée sur la plateforme LinkedIn.
10.2.3 X (anciennement Twitter)
MeilleurJour est susceptible d'intégrer des boutons de partage X et des widgets X sur la Plateforme. Ces intégrations sont susceptibles d'entraîner le dépôt de cookies par X Corp. (États-Unis) sur le terminal de l'utilisateur à des fins d'analyse et de publicité ciblée sur la plateforme X.
10.2.4 YouTube
MeilleurJour est susceptible d'intégrer des vidéos YouTube sur la Plateforme via l'iframe YouTube. Afin de protéger la vie privée des utilisateurs, MeilleurJour utilise le mode « youtube-nocookie.com », qui permet d'intégrer des vidéos YouTube sans déposer de cookies sur le terminal de l'utilisateur tant
que celui-ci n'interagit pas avec la vidéo. Lorsque l'utilisateur interagit avec la vidéo, YouTube (Google LLC) peut déposer des cookies sur son terminal à des fins de personnalisation et de publicité.
10.2.5 Pinterest
MeilleurJour est susceptible d'intégrer des boutons de partage Pinterest (« Pin it ») sur la Plateforme. Ces intégrations sont susceptibles d'entraîner le dépôt de cookies par Pinterest, Inc. (États-Unis) sur le terminal de l'utilisateur à des fins d'analyse et de publicité sur la plateforme Pinterest.
ARTICLE 11. COOKIES DE SUPPORT ET D'ASSISTANCE
11.1 Finalités et base légale
MeilleurJour intègre des outils de support et d'assistance permettant aux utilisateurs d'entrer en contact avec le service client de MeilleurJour, de poser des questions, de signaler des problèmes et d'obtenir de l'aide dans l'utilisation de la Plateforme. Ces outils sont susceptibles de déposer des cookies sur le terminal de l'utilisateur afin d'identifier l'utilisateur lors de ses contacts avec le service client, de maintenir le contexte de la conversation lors des échanges avec un conseiller ou un chatbot, et de mesurer la satisfaction de l'utilisateur à l'issue d'un contact. La base légale du dépôt de ces cookies est le consentement préalable de l'utilisateur, sauf lorsque ces cookies sont strictement nécessaires au fonctionnement du service de support expressément demandé par l'utilisateur.
11.2 Outils de support utilisés
11.2.1 Intercom
MeilleurJour est susceptible d'utiliser Intercom, un service de support client et de messagerie fourni par Intercom, Inc. (États-Unis). Intercom dépose des cookies sur le terminal de l'utilisateur permettant d'identifier l'utilisateur lors de sa navigation sur la Plateforme, de maintenir le fil de conversation avec le service client, et d'afficher des messages personnalisés (notifications in-app, messages d'accueil) en fonction du comportement de l'utilisateur sur la Plateforme. Les données collectées via Intercom peuvent inclure l'identifiant de l'utilisateur, ses coordonnées (adresse e-mail, nom), son historique de navigation sur la Plateforme, et l'ensemble des échanges avec le service client. Ces données sont hébergées sur les serveurs d'Intercom aux États-Unis et font l'objet d'un transfert international encadré par des clauses contractuelles types.
11.2.2 Crisp
MeilleurJour est susceptible d'utiliser Crisp, un service de support client fourni par Crisp IM SAS (France). Crisp dépose des cookies permettant d'identifier l'utilisateur lors de ses sessions de chat avec le service client et de maintenir la continuité des conversations. Les données collectées via Crisp sont hébergées au sein de l'Union européenne.
11.2.3 Zendesk et outils similaires
MeilleurJour est susceptible d'utiliser Zendesk (Zendesk, Inc., États-Unis) ou tout autre outil de gestion des tickets de support permettant de centraliser les demandes des utilisateurs, de les traiter et d'en mesurer la résolution. Ces outils peuvent déposer des cookies sur le terminal de l'utilisateur afin de maintenir l'état de la session de support et d'identifier l'utilisateur lors de ses demandes.
ARTICLE 12. COOKIES ET TRACEURS LIÉS À L'INTELLIGENCE ARTIFICIELLE
12.1 Finalités et enjeux spécifiques
MeilleurJour fait appel à des technologies d'intelligence artificielle (IA) et d'apprentissage automatique (machine learning) pour fournir ses services d'analyse statistique et de génération de rapports personnalisés. Dans ce cadre, MeilleurJour est susceptible de recourir à des cookies et traceurs spécifiquement associés au fonctionnement, à la personnalisation et à l'amélioration de ses fonctionnalités basées sur l'IA. Ces traceurs présentent des caractéristiques particulières au regard de la protection des données à caractère personnel, dans la mesure où les données qu'ils collectent peuvent être utilisées pour entraîner ou affiner des modèles d'IA, générant ainsi des risques spécifiques pour la vie privée des utilisateurs.
12.2 Personnalisation algorithmique des analyses
MeilleurJour est susceptible d'utiliser des cookies et identifiants de session pour personnaliser les analyses statistiques générées par ses algorithmes en fonction du profil de l'utilisateur, de son historique d'utilisation de la Plateforme, des types d'événements pour lesquels il a commandé des analyses, et de ses interactions avec les rapports précédemment reçus. Ces données permettent aux algorithmes de MeilleurJour d'adapter le contenu, le niveau de détail et les recommandations des rapports aux besoins spécifiques de chaque utilisateur.
12.3 Optimisation des modèles via les données de navigation
Les données collectées via les cookies analytiques et de personnalisation peuvent, avec le consentement préalable de l'utilisateur, être utilisées par MeilleurJour pour améliorer ses modèles statistiques et algorithmes d'IA. Cette utilisation est strictement encadrée par le principe de minimisation des données (article 5(1)(c) du RGPD), qui exige que seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées soient utilisées à cette fin.
12.4 Intégrations d'IA tierces
MeilleurJour peut intégrer des services d'intelligence artificielle fournis par des tiers, notamment OpenAI (OpenAI, L.L.C., États-Unis), Anthropic (Anthropic, PBC, États-Unis) ou tout autre fournisseur d'API d'IA, pour améliorer ses fonctionnalités d'analyse, de génération de rapports et d'assistance aux utilisateurs. Ces intégrations peuvent impliquer la transmission de données de navigation ou de contenu généré par l'utilisateur vers des API tierces d'IA dans des conditions sécurisées. MeilleurJour s'assure, par voie contractuelle, que les données transmises à ces fournisseurs d'IA ne sont pas utilisées pour entraîner leurs modèles généraux sans le consentement explicite de MeilleurJour et de ses utilisateurs.
12.5 Chatbot et assistance automatisée
MeilleurJour est susceptible d'intégrer un chatbot basé sur l'IA sur la Plateforme, permettant de répondre automatiquement aux questions fréquentes des utilisateurs et de les orienter vers les ressources appropriées. Ce chatbot peut être alimenté par un modèle de langage naturel (Large Language Model) fourni par un prestataire tiers. Les échanges de l'utilisateur avec le chatbot peuvent être conservés à des fins d'amélioration de la qualité du service et d'entraînement du modèle, dans les limites des consentements recueillis et des durées de conservation applicables.
ARTICLE 13. CONSENTEMENT ET RECUEIL DES PRÉFÉRENCES
13.1 Conditions de validité du consentement
Conformément à l'article 7 et à l'article 4(11) du RGPD, ainsi qu'aux lignes directrices 05/2020 du CEPD relatives au consentement, le consentement de l'utilisateur au dépôt de cookies non strictement nécessaires doit remplir les conditions cumulatives suivantes pour être juridiquement valide :
Libre : le consentement doit être donné sans pression ni contrainte. En particulier, le refus du
consentement ne doit pas entraîner de dégradation significative du service principal proposé par MeilleurJour ni de surcoût pour l'utilisateur. Il ne saurait être valablement obtenu via un mécanisme dit de « cookie wall » conditionnel, liant l'accès à la Plateforme à l'acceptation des cookies, sans que l'utilisateur ne dispose d'une alternative raisonnable d'accès au service ; Spécifique : le consentement doit être recueilli séparément pour chaque finalité distincte de
traitement par cookies. Un consentement global couvrant toutes les catégories de cookies sans distinction n'est pas suffisant au regard des exigences du RGPD et des recommandations de la CNIL. L'utilisateur doit pouvoir exprimer un consentement ou un refus différencié par catégorie de cookies ;
Éclairé : l'utilisateur doit recevoir, préalablement au recueil de son consentement, une information claire, complète et accessible sur l'identité des responsables de traitement, les finalités des cookies pour lesquels le consentement est sollicité, les données collectées, les destinataires des données, les durées de conservation et ses droits, notamment son droit de retrait du consentement ;
Univoque : le consentement doit résulter d'un acte positif clair et délibéré de la part de l'utilisateur. Le simple défilement de la page, la poursuite de la navigation ou le fait de fermer le bandeau de cookies sans action positive ne constituent pas un consentement valide au sens du RGPD. Un silence, une case précochée ou l'inaction de l'utilisateur ne saurait valoir consentement.
13.2 Bandeau de consentement et Consent Management Platform (CMP)
MeilleurJour met en œuvre une Consent Management Platform (CMP) conforme aux recommandations de la CNIL pour recueillir et gérer le consentement de ses utilisateurs. Le bandeau de consentement (ci-après le « Bandeau ») est affiché de manière visible et non ambiguë lors de la première visite de l'utilisateur sur la Plateforme, et à chaque fois que le choix antérieur de l'utilisateur ne peut être retrouvé (expiration du cookie de mémorisation du consentement, suppression des cookies par l'utilisateur, navigation en mode privé).
Le Bandeau respecte les exigences formelles suivantes définies par la CNIL :
Il présente un bouton « Tout accepter » et un bouton « Tout refuser » de même rang hiérarchique, de taille équivalente et d'accessibilité égale, conformément à la recommandation de la CNIL du 17 septembre 2020. En application de cette recommandation, le refus des cookies doit être aussi simple et accessible que leur acceptation ; Il ne comporte aucun design trompeur (dark pattern) susceptible d'orienter le choix de l'utilisateur vers l'acceptation des cookies, tels qu'un bouton « Tout accepter » mis en évidence par une couleur vive tandis que le bouton « Tout refuser » est grisé ou difficile à identifier, des libellés ambigus ou rédigés en termes non neutres, ou une structure de navigation conduisant l'utilisateur à accepter les cookies sans en avoir pleinement conscience ; Il offre la possibilité à l'utilisateur de paramétrer ses choix de manière granulaire, catégorie par catégorie, et prestataire par prestataire, via un lien ou bouton « Personnaliser » ou « Gérer mes préférences » ; Il comporte une information succincte sur les finalités des cookies, assortie d'un lien vers la présente Politique Cookies pour une information complète ;
Il est affiché sans préjudice de l'accès de l'utilisateur aux contenus de la Plateforme, de sorte que l'utilisateur puisse naviguer sur la Plateforme et accéder à ses services avant d'avoir exprimé ses préférences en matière de cookies ; Il demeure accessible à l'utilisateur à tout moment via un lien ou icône persistante (généralement positionné en bas de page ou en pied de page de la Plateforme) permettant de modifier ses choix à tout moment.
13.3 Modalités de recueil du consentement par catégorie
MeilleurJour permet à l'utilisateur de configurer ses préférences en matière de cookies de manière granulaire, en acceptant ou refusant séparément chaque catégorie de cookies soumise à consentement. Les catégories de cookies soumises à consentement préalable sont les suivantes : cookies analytiques, cookies de personnalisation, cookies marketing, cookies de réseaux sociaux, cookies de support et cookies liés à l'IA. Les cookies strictement nécessaires ne sont pas soumis à consentement et ne peuvent pas être désactivés par l'utilisateur, dans la mesure où leur désactivation empêcherait le fonctionnement de la Plateforme.
13.4 Preuve et conservation du consentement
Conformément à l'article 7(1) du RGPD, il incombe à MeilleurJour de démontrer que l'utilisateur a valablement consenti au dépôt de cookies soumis à consentement. À cette fin, MeilleurJour conserve, via sa CMP, une preuve horodatée des consentements et refus exprimés par chaque utilisateur, incluant la version de la Politique Cookies en vigueur au moment de l'expression du consentement, l'interface via laquelle le consentement a été recueilli, la catégorie de cookies concernée, la date et l'heure de l'expression du consentement ou du refus, et tout événement de retrait ou de modification du consentement. Ces preuves de consentement sont conservées pendant une durée minimale de cinq (5) ans à compter de leur enregistrement, afin de permettre à MeilleurJour de satisfaire à ses obligations de démonstration de la conformité.
13.5 Google Consent Mode v2
MeilleurJour met en œuvre Google Consent Mode v2, un mécanisme technique permettant de transmettre aux services Google (Google Analytics, Google Ads, etc.) les signaux de consentement exprimés par l'utilisateur via la CMP. Google Consent Mode v2 permet à MeilleurJour d'adapter le comportement des balises Google en fonction des choix exprimés par l'utilisateur selon les deux modes de fonctionnement suivants :
Mode de consentement accordé (Granted) : lorsque l'utilisateur consent à l'utilisation de cookies
analytiques et/ou publicitaires, les services Google collectent des données individuelles complètes dans les conditions habituelles, avec dépôt des cookies correspondants sur le terminal de l'utilisateur ;
Mode de consentement refusé (Denied) : lorsque l'utilisateur refuse l'utilisation de cookies analytiques et/ou publicitaires, les services Google n'opèrent aucun dépôt de cookies et n'effectuent aucune collecte de données personnalisées. En revanche, Google peut utiliser des pings anonymisés et des modèles statistiques (conversion modeling, behavioral modeling) pour reconstituer de manière agrégée les tendances comportementales sans identifier les utilisateurs individuellement. MeilleurJour attire l'attention de l'utilisateur sur le fait que cette modélisation statistique est réalisée par Google sans recours à des données personnelles et constitue un traitement distinct de la collecte personnalisée.
La mise en œuvre de Google Consent Mode v2 est obligatoire depuis le 6 mars 2024 pour les annonceurs utilisant les services Google Ads et qui souhaitent utiliser les fonctionnalités de remarketing et de mesure des conversions dans l'Espace économique européen, conformément aux exigences du Digital Markets Act (DMA) de l'Union européenne.
13.6 Retrait du consentement
L'utilisateur dispose du droit de retirer son consentement à tout moment, sans que ce retrait n'affecte la licéité du traitement effectué antérieurement sur la base de ce consentement, conformément à l'article 7(3) du RGPD. Le retrait du consentement doit être aussi simple que son octroi. À cette fin, MeilleurJour met à disposition de l'utilisateur, en permanence et de manière accessible depuis toutes les pages de la Plateforme, un mécanisme permettant de modifier ou de retirer ses choix en matière de cookies. Les modalités pratiques de gestion et de retrait du consentement sont décrites à l'article 14 de la présente Politique Cookies. MeilleurJour s'engage à donner effet au retrait du consentement de l'utilisateur dans un délai n'excédant pas quarante-huit (48) heures à compter de l'expression du retrait, et à supprimer ou à anonymiser immédiatement les données collectées via les cookies concernés à compter de la date effective du retrait.
ARTICLE 14. GESTION ET MODIFICATION DES PRÉFÉRENCES COOKIES
14.1 Via la Consent Management Platform (CMP)
L'utilisateur peut à tout moment accéder à l'interface de gestion de ses préférences cookies via le lien « Gérer mes préférences cookies » disponible en permanence en bas de page de la Plateforme (pied de page). Cette interface lui permet d'accepter ou de refuser chaque catégorie de cookies séparément, de modifier ses choix antérieurs pour chaque catégorie, de visualiser la liste des prestataires tiers autorisés à déposer des cookies pour chaque catégorie, et de retirer l'ensemble de ses consentements d'un seul clic via un bouton dédié.
14.2 Via les paramètres du navigateur
L'utilisateur peut également contrôler les cookies déposés sur son terminal via les paramètres de configuration de son navigateur web. La plupart des navigateurs modernes permettent de visualiser les cookies déposés, de les supprimer individuellement ou globalement, de bloquer le dépôt de cookies tiers, et de configurer des règles automatiques de gestion des cookies. MeilleurJour fournit ci- après les liens vers les guides de gestion des cookies des principaux navigateurs :
Google Chrome : Paramètres → Confidentialité et sécurité → Cookies et autres données de site Mozilla Firefox : Options → Vie privée et sécurité → Cookies et données de sites Apple Safari (macOS) : Préférences → Confidentialité → Gérer les données de sites web Apple Safari (iOS) : Réglages → Safari → Avancé → Données de sites web Microsoft Edge : Paramètres → Confidentialité, recherche et services → Cookies Opera : Paramètres → Avancé → Confidentialité et sécurité → Paramètres de contenu →
Cookies
MeilleurJour attire l'attention de l'utilisateur sur le fait que la suppression ou le blocage de cookies via les paramètres du navigateur peut affecter le fonctionnement de certaines fonctionnalités de la Plateforme, y compris des fonctionnalités strictement nécessaires. En particulier, la suppression des cookies d'authentification entraînera la déconnexion de l'utilisateur et la perte de ses paramètres de session.
14.3 Via les outils de désinscription des prestataires tiers
Les prestataires tiers dont les cookies sont susceptibles d'être déposés sur la Plateforme mettent généralement à disposition de leurs propres mécanismes de désinscription permettant aux utilisateurs de s'opposer à certains usages de leurs données. À titre d'information, les principaux outils de désinscription disponibles sont les suivants :
Google Analytics : https://tools.google.com/dlpage/gaoptout
Réseaux publicitaires membres de la NAI (Network Advertising Initiative) :
https://optout.networkadvertising.org
Réseaux publicitaires membres de la DAA (Digital Advertising Alliance) :
Réseaux publicitaires membres de l'EDAA (European Digital Advertising Alliance) :
https://www.youronlinechoices.eu
Meta : https://www.facebook.com/settings/?tab=ads Google Ads : https://myadcenter.google.com LinkedIn : https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out
L'utilisation de ces outils de désinscription des prestataires tiers est indépendante des mécanismes de gestion du consentement de MeilleurJour et peut être complémentaire à ceux-ci. La désinscription via ces outils agit généralement en déposant un cookie de désinscription sur le terminal de l'utilisateur ; la suppression de ce cookie entraînera l'annulation de la désinscription. L'utilisateur est invité à mettre régulièrement à jour ses préférences via ces outils.
14.4 Navigation en mode privé
L'utilisateur peut également utiliser le mode de navigation privée (également dénommé « mode incognito ») proposé par la plupart des navigateurs modernes. Ce mode empêche le stockage permanent des cookies et données de navigation sur le terminal de l'utilisateur après la fermeture de la fenêtre de navigation privée. Toutefois, MeilleurJour attire l'attention de l'utilisateur sur le fait que la navigation en mode privé ne constitue pas une protection absolue contre tous les traceurs, dans la mesure où certaines techniques de traçage (notamment le fingerprinting) ne reposent pas sur le stockage de cookies.
ARTICLE 15. DURÉES DE CONSERVATION DES COOKIES
15.1 Principes directeurs
Conformément au principe de limitation de la conservation prévu à l'article 5(1)(e) du RGPD et aux recommandations de la CNIL, MeilleurJour s'engage à ce que les cookies déposés sur le terminal de l'utilisateur ne soient conservés que pendant la durée strictement nécessaire à l'accomplissement de leurs finalités respectives. En tout état de cause, la durée de conservation des cookies persistants ne dépasse pas treize (13) mois à compter du premier dépôt du cookie, conformément aux recommandations de la CNIL. La durée de conservation n'est pas prolongée automatiquement à la suite de nouvelles visites sur la Plateforme.
Le tableau ci-dessous présente les principales catégories de cookies, leur durée de conservation, leur finalité et leur base légale :
Catégorie
Nom / Exemple
Finalité
Durée
Base légale
Strictement
nécessaires
Strictement
nécessaires
Strictement
nécessaires
Strictement
nécessaires
session_id,
csrf_token
Authentification,
Session (fermeture
Intérêt légitime /
sécurité de session
du navigateur)
Exécution du contrat
consent_preference
Mémorisation des
6 mois
Obligation légale
s
choix de
consentement CMP
cart_session
Gestion du panier
Session
Exécution du contrat
d'achat
auth_token
Maintien de la
30 jours (si « Rester
Exécution du contrat
connexion utilisateur
connecté »)
Strictement
nécessaires
Strictement
nécessaires
__cf_bm
(Cloudflare)
Protection anti-bot,
30 minutes
Intérêt légitime
sécurité réseau
payment_session
Sécurisation du
Session
Exécution du contrat
(Stripe)
processus de
paiement
Analytiques
_ga (Google
Identification unique
13 mois
Consentement
Analytics)
du navigateur,
mesure d'audience
Analytiques
_ga_XXXXXX (GA4) Maintien de l'état de
13 mois
Consentement
session GA4
Analytiques
_gid (Google
Distinction des
24 heures
Consentement
Analytics)
utilisateurs
Analytiques
ph_session
(PostHog)
Analyse des
1 an
Consentement
sessions utilisateur
Analytiques
heatmap_id
Enregistrement des
12 mois
Consentement
interactions
(heatmap)
Personnalisation
user_prefs
Mémorisation des
12 mois
Consentement
préférences
d'interface
Personnalisation
lang_pref
Mémorisation de la
12 mois
langue sélectionnée
Consentement /
Intérêt légitime
Personnalisation
theme_pref
Mémorisation du
12 mois
Consentement
thème (clair/sombre)
Marketing
_fbp (Meta Pixel)
Suivi des
90 jours
Consentement
conversions et
remarketing Meta
Marketing
_fbc (Meta Click ID)
Attribution des clics
90 jours
Consentement
Marketing
_gcl_au (Google
Mesure des
90 jours
Consentement
Ads)
conversions Google
Ads
Marketing
_gcl_aw (Google
Attribution des clics
90 jours
Consentement
Click ID)
Google Ads
Marketing
tt_session (TikTok
Suivi des
13 mois
Consentement
Pixel)
conversions TikTok
Marketing
lidc (LinkedIn)
Suivi et ciblage
1 jour
Consentement
Marketing
UserMatchHistory
Synchronisation des
30 jours
Consentement
(LinkedIn)
ID LinkedIn
Réseaux sociaux
c_user (Meta)
Identification du
Session / persistant
Consentement
compte Facebook
selon paramètres
Meta
Réseaux sociaux
VISITOR_INFO1_LI
Estimation de la
180 jours
Consentement
VE (YouTube)
bande passante
YouTube
Support
intercom-session
Maintien de la
Session
Consentement
session Intercom
Support
intercom-id
Identification de
9 mois
Consentement
l'utilisateur Intercom
IA / personnalisation
ai_pref_token
Personnalisation
6 mois
Consentement
des
recommandations
algorithmiques
Ce tableau est fourni à titre indicatif et est susceptible d'être mis à jour régulièrement afin de refléter les évolutions des outils utilisés par MeilleurJour et des recommandations des autorités de protection des données. Pour obtenir la liste exhaustive et à jour des cookies déposés sur la Plateforme, l'utilisateur est invité à consulter la notice de consentement de la CMP, accessible depuis la Plateforme.
ARTICLE 16. PRESTATAIRES TIERS ET SOUS-TRAITANTS
16.1 Principes de sélection et d'encadrement
MeilleurJour fait appel à des prestataires tiers pour l'exploitation de sa Plateforme et la fourniture de ses services. Certains de ces prestataires sont susceptibles de déposer des cookies sur le terminal des utilisateurs ou d'accéder à des données collectées via des cookies, dans le cadre des finalités décrites aux articles 7 à 12 de la présente Politique Cookies. MeilleurJour s'engage à encadrer le recours à ces prestataires par les mesures contractuelles et organisationnelles suivantes :
Conclusion d'un accord de traitement des données (Data Processing Agreement ou DPA)
conforme à l'article 28 du RGPD avec chaque prestataire agissant en qualité de sous-traitant, définissant les obligations de ce dernier en matière de protection des données, notamment en termes de finalités autorisées, de sécurité, de sous-traitance ultérieure et de droits des personnes concernées ;
Vérification préalable de la conformité au RGPD de chaque prestataire tiers, notamment en ce qui
concerne les transferts internationaux de données, les mesures de sécurité techniques et organisationnelles mises en œuvre, et les politiques de conservation et de suppression des données ;
Limitation contractuelle des finalités de traitement autorisées pour chaque prestataire aux seules
fins nécessaires à l'exécution de la prestation commandée par MeilleurJour ; Interdiction contractuelle faite aux prestataires d'utiliser les données collectées dans le cadre de leurs prestations pour leurs propres finalités commerciales ou publicitaires sans le consentement explicite de MeilleurJour et des utilisateurs concernés.
16.2 Liste des principaux prestataires tiers
16.2.1 Google (Google LLC / Google Ireland Limited)
Google est susceptible d'intervenir en plusieurs qualités dans le cadre de l'utilisation de la Plateforme par les utilisateurs : en tant que prestataire d'analyse d'audience (Google Analytics 4), en tant que prestataire de publicité en ligne (Google Ads, Google Display & Video 360, Google Marketing
Platform), en tant que prestataire de gestion des tags (Google Tag Manager), en tant que prestataire d'hébergement et d'infrastructure (Google Cloud Platform), en tant que prestataire de services vidéo (YouTube) et en tant que prestataire de cartographie (Google Maps). La politique de confidentialité de Google est accessible à l'adresse : https://policies.google.com/privacy. Google Ireland Limited est établie au Gordon House, Barrow Street, Dublin 4, Irlande.
16.2.2 Meta Platforms (Meta Platforms, Inc. / Meta Platforms Ireland Limited)
Meta Platforms intervient en tant que prestataire de services publicitaires (Meta Pixel, Meta Conversions API, Meta Ads Manager) et de réseaux sociaux (Facebook, Instagram, WhatsApp, Threads) dans le cadre de l'utilisation de la Plateforme. Meta Platforms Ireland Limited est établie au 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlande et agit en qualité de responsable de traitement pour les données collectées via ses outils à des fins publicitaires. La politique de confidentialité de Meta est accessible à l'adresse : https://www.facebook.com/privacy/policy.
16.2.3 LinkedIn (LinkedIn Ireland Unlimited Company)
LinkedIn intervient en tant que prestataire de services publicitaires (LinkedIn Insight Tag, LinkedIn Ads) et de réseau social professionnel. LinkedIn Ireland Unlimited Company est établie au Wilton Plaza, Wilton Place, Dublin 2, Irlande. La politique de confidentialité de LinkedIn est accessible à l'adresse : https://www.linkedin.com/legal/privacy-policy.
16.2.4 TikTok (TikTok Technology Limited)
TikTok intervient en tant que prestataire de services publicitaires (TikTok Pixel, TikTok Events API) et de réseau social. TikTok Technology Limited est établie au 10 Earlsfort Terrace, Dublin 2, D02 T380, Irlande. La politique de confidentialité de TikTok est accessible à l'adresse : https://www.tiktok.com/legal/page/eea/privacy-policy.
16.2.5 Microsoft (Microsoft Ireland Operations Limited)
Microsoft est susceptible d'intervenir en tant que prestataire d'infrastructure et de cloud computing (Microsoft Azure), en tant que prestataire de publicité en ligne (Microsoft Advertising, Bing Ads) et via des outils d'analyse (Microsoft Clarity). Microsoft Ireland Operations Limited est établie au One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande. La politique de confidentialité de Microsoft est accessible à l'adresse : https://privacy.microsoft.com.
16.2.6 Stripe (Stripe, Inc. / Stripe Payments Europe, Ltd)
Stripe intervient en tant que prestataire de services de paiement sécurisé pour le traitement des transactions commerciales effectuées sur la Plateforme. Stripe Payments Europe, Ltd est établie au 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlande. Stripe peut déposer des cookies sur le terminal de l'utilisateur à des fins de sécurisation des transactions et de prévention de la fraude. Ces cookies sont strictement nécessaires au traitement des paiements et sont exemptés de consentement. La politique de confidentialité de Stripe est accessible à l'adresse : https://stripe.com/fr/privacy.
16.2.7 Cloudflare (Cloudflare, Inc.)
Cloudflare intervient en tant que prestataire de services de réseau de distribution de contenu (Content Delivery Network ou CDN), de protection contre les attaques DDoS, d'optimisation des performances et de sécurité applicative (Web Application Firewall). Cloudflare peut déposer des cookies sur le terminal de l'utilisateur à des fins de sécurité (notamment le cookie __cf_bm pour la détection des robots) et de performance. Ces cookies sont strictement nécessaires au fonctionnement sécurisé de la Plateforme. Cloudflare, Inc. est établie au 101 Townsend St., San Francisco, CA 94107, États-Unis. La politique de confidentialité de Cloudflare est accessible à l'adresse : https://www.cloudflare.com/privacypolicy.
16.2.8 OpenAI (OpenAI, L.L.C.)
OpenAI intervient en tant que prestataire de services d'intelligence artificielle (API GPT, API Embeddings, API Whisper, etc.) susceptibles d'être utilisés par MeilleurJour pour améliorer ses fonctionnalités d'analyse, de génération de rapports et d'assistance aux utilisateurs. OpenAI, L.L.C. est établie au 3180 18th Street, San Francisco, CA 94110, États-Unis. Les données transmises à OpenAI dans le cadre de l'utilisation de ses API sont régies par un accord de traitement des données conforme au RGPD. La politique de confidentialité d'OpenAI est accessible à l'adresse : https://openai.com/policies/privacy-policy.
16.2.9 Anthropic (Anthropic, PBC)
Anthropic intervient en tant que prestataire de services d'intelligence artificielle (API Claude, API Constitutional AI, etc.) susceptibles d'être utilisés par MeilleurJour pour améliorer ses fonctionnalités d'analyse avancée et d'assistance intelligente aux utilisateurs. Anthropic, PBC est établie au 548 Market Street, PMB 90375, San Francisco, California 94104-5401, États-Unis. Les données transmises à Anthropic dans le cadre de l'utilisation de ses API sont régies par un accord de traitement des données conforme aux exigences applicables en matière de protection des données. La politique de confidentialité d'Anthropic est accessible à l'adresse : https://www.anthropic.com/privacy.
16.2.10 Futurs prestataires
MeilleurJour se réserve le droit d'intégrer de nouveaux prestataires tiers dans le cadre du développement de ses services, et de remplacer tout ou partie des prestataires actuels par de nouveaux prestataires offrant des garanties équivalentes ou supérieures en matière de protection des données. Toute modification significative de la liste des prestataires tiers ayant un impact sur les droits et libertés des utilisateurs fera l'objet d'une mise à jour de la présente Politique Cookies, notifiée aux utilisateurs selon les modalités prévues à l'article 20. La liste des prestataires tiers et leur politique de confidentialité respective sont accessibles, dans leur version la plus récente, depuis l'interface de gestion des préférences cookies de la CMP.
ARTICLE 17. TRANSFERTS INTERNATIONAUX DE DONNÉES
17.1 Principes généraux
Certains des prestataires tiers auxquels MeilleurJour fait appel pour l'exploitation de sa Plateforme sont établis en dehors de l'Espace économique européen (EEE), notamment aux États-Unis. Dans la mesure où les cookies et traceurs déposés par ces prestataires entraînent la collecte et le traitement de données à caractère personnel des utilisateurs, y compris leur transfert vers des serveurs situés hors de l'EEE, ces transferts constituent des transferts internationaux de données au sens du Chapitre V du RGPD et doivent être encadrés par des garanties appropriées.
17.2 Transferts vers les États-Unis
Les transferts de données à caractère personnel vers les États-Unis effectués dans le cadre de l'utilisation de cookies et traceurs sur la Plateforme bénéficient, selon le cas, des garanties suivantes :
Décision d'adéquation « EU-US Data Privacy Framework » : Le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation relative au cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework), reconnaissant que les États-Unis assurent un niveau de protection adéquat pour les données personnelles transférées par des entités soumises au RGPD vers des organismes américains certifiés dans le cadre du Data Privacy Framework. Plusieurs des prestataires tiers de MeilleurJour (notamment Google LLC, Meta Platforms, Inc., LinkedIn Corporation, Microsoft Corporation, Cloudflare, Inc., OpenAI, L.L.C. et
Anthropic, PBC) ont obtenu ou sont en cours d'obtention de la certification Data Privacy Framework. Pour ces prestataires certifiés, les transferts de données sont encadrés par la décision d'adéquation de la Commission européenne ;
Clauses contractuelles types (CCT) : Pour les prestataires américains ne bénéficiant pas ou pas encore de la certification Data Privacy Framework, MeilleurJour encadre les transferts de données par les clauses contractuelles types adoptées par la Commission européenne conformément à la décision d'exécution (UE) 2021/914 du 4 juin 2021, qui constituent des garanties appropriées au sens de l'article 46(2)(c) du RGPD. Ces CCT sont intégrées dans les accords de traitement des données conclus entre MeilleurJour et ses prestataires ;
Évaluation de l'impact du transfert (Transfer Impact Assessment ou TIA) : Conformément aux
recommandations 01/2020 du CEPD sur les mesures qui complètent les outils de transfert, MeilleurJour procède à une évaluation de l'impact du transfert (TIA) pour les transferts vers les États-Unis présentant des risques spécifiques, afin de vérifier que le droit américain applicable au prestataire concerné ne porte pas atteinte au niveau de protection garanti par les CCT et, le cas échéant, de mettre en œuvre des mesures supplémentaires (chiffrement des données en transit et au repos, pseudonymisation, minimisation des données transférées).
17.3 Transferts vers d'autres pays tiers
Pour les transferts de données à caractère personnel vers des pays tiers autres que les États-Unis, MeilleurJour s'assure que ces transferts bénéficient de l'une des garanties suivantes, dans l'ordre de préférence indiqué :
Une décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD
(applicable notamment au Royaume-Uni, à la Suisse, au Canada, au Japon, à la Corée du Sud, à la Nouvelle-Zélande et à Israël) ;
Des clauses contractuelles types adoptées par la Commission européenne au titre de l'article
46(2)(c) du RGPD ;
Des règles d'entreprise contraignantes (Binding Corporate Rules ou BCR) approuvées par une
autorité de contrôle compétente au titre de l'article 47 du RGPD ;
Des codes de conduite approuvés ou des mécanismes de certification agréés conformément aux
articles 40 à 43 du RGPD ;
À défaut, et à titre exceptionnel, une dérogation prévue à l'article 49 du RGPD, notamment le
consentement explicite de l'utilisateur informé des risques particuliers que présente le transfert.
17.4 Traitement des données au sein de l'Espace économique européen
Dans la mesure du possible, MeilleurJour privilégie le recours à des prestataires dont les serveurs de traitement et de stockage des données sont situés au sein de l'Espace économique européen, afin de minimiser les risques liés aux transferts internationaux. MeilleurJour encourage l'utilisation de solutions conformes aux exigences européennes en matière de protection des données et peut, le cas échéant, exiger de ses prestataires qu'ils traitent les données des utilisateurs européens exclusivement sur des serveurs situés au sein de l'EEE.
ARTICLE 18. SÉCURITÉ DES DONNÉES COLLECTÉES VIA LES COOKIES
18.1 Mesures de sécurité techniques et organisationnelles
Conformément à l'article 32 du RGPD, MeilleurJour met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque que présentent les traitements de données effectués via les cookies. Ces mesures sont conçues pour protéger les données contre toute destruction, perte, altération, divulgation ou accès non autorisés, qu'ils soient
accidentels ou illicites, et sont révisées et mises à jour régulièrement pour tenir compte de l'état de l'art en matière de sécurité informatique.
18.2 Sécurisation des cookies
S'agissant spécifiquement des cookies déposés par MeilleurJour sur le terminal des utilisateurs, MeilleurJour met en œuvre les mesures de sécurité suivantes :
Attribut Secure : tous les cookies déposés par MeilleurJour sont configurés avec l'attribut Secure, garantissant qu'ils ne sont transmis qu'au travers de connexions chiffrées (HTTPS) et ne peuvent pas être interceptés via des connexions non sécurisées ;
Attribut HttpOnly : les cookies contenant des données sensibles (notamment les cookies
d'authentification et de session) sont configurés avec l'attribut HttpOnly, empêchant leur lecture par des scripts JavaScript côté client et réduisant ainsi le risque d'attaques de type Cross-Site Scripting (XSS) ;
Attribut SameSite : les cookies sont configurés avec l'attribut SameSite=Strict ou SameSite=Lax, selon leur finalité, afin de limiter leur envoi aux seules requêtes provenant du domaine de MeilleurJour et de réduire le risque d'attaques de type Cross-Site Request Forgery (CSRF) ;
Chiffrement des données sensibles : les données stockées dans les cookies contenant des
informations sensibles (telles que les identifiants de session) sont chiffrées via des algorithmes cryptographiques conformes à l'état de l'art (AES-256, HMAC-SHA256) ;
Rotation des tokens de session : les tokens de session sont régulièrement renouvelés afin de
limiter les risques liés au vol ou à la réutilisation d'un token expiré ; Invalidation des cookies à la déconnexion : tous les cookies de session et d'authentification sont systématiquement invalidés côté serveur lors de la déconnexion de l'utilisateur, empêchant toute réutilisation ultérieure.
18.3 Détection de fraude et journalisation de sécurité
MeilleurJour utilise des cookies et technologies de traçage à des fins de détection de fraude et de protection de la sécurité de la Plateforme, dans le cadre de son intérêt légitime à prévenir les accès non autorisés, les usurpations d'identité et les activités frauduleuses. Ces technologies permettent notamment de :
Détecter les tentatives de connexion suspectes ou par force brute, en analysant la fréquence et le
pattern des requêtes de connexion ; Identifier les comportements automatisés (bots) susceptibles de tenter de scraper les données de la Plateforme ou d'exploiter des vulnérabilités ;
Détecter les anomalies de session indicatives d'une tentative de session hijacking ou de replay
attack ;
Analyser les caractéristiques du terminal de l'utilisateur (device fingerprinting à fins de sécurité) pour détecter des changements suspects dans l'environnement technique associé à un compte utilisateur ;
Journaliser les événements de sécurité significatifs (connexions réussies et échouées,
modifications des paramètres du compte, téléchargements de rapports) aux fins d'audit et de réponse aux incidents.
Les données collectées à des fins de détection de fraude et de journalisation de sécurité sont conservées pendant une durée maximale de douze (12) mois, dans des systèmes sécurisés à accès restreint, sauf obligation légale imposant une durée de conservation plus longue (notamment en cas d'incident de sécurité faisant l'objet d'une notification à la CNIL conformément à l'article 33 du RGPD ou d'une procédure judiciaire).
18.4 Sécurité des paiements
Les données relatives aux paiements effectués sur la Plateforme (notamment les données de carte bancaire) ne sont jamais stockées directement sur les serveurs de MeilleurJour ni dans des cookies. Le traitement des paiements est intégralement délégué à Stripe, prestataire de services de paiement certifié PCI DSS (Payment Card Industry Data Security Standard) Niveau 1, qui est le niveau de conformité le plus élevé dans le secteur du paiement par carte. Les cookies de paiement déposés par Stripe sont strictement limités aux finalités de sécurisation du processus de paiement (authentification forte du payer, prévention de la fraude, conformité réglementaire DSP2) et sont exemptés de l'obligation de consentement préalable en tant que cookies strictement nécessaires.
18.5 Contrôle d'accès et limitation des accès internes
L'accès aux données collectées via les cookies est strictement limité aux membres de l'équipe de MeilleurJour qui ont besoin d'y accéder dans le cadre de leurs fonctions (principe du moindre privilège). MeilleurJour met en œuvre les mesures de contrôle d'accès suivantes :
Attribution de droits d'accès individualisés et proportionnés aux fonctions exercées ; Authentification forte (multi-facteurs) pour l'accès aux outils et systèmes contenant des données
issues des cookies ;
Journalisation des accès et des opérations effectuées sur les données issues des cookies,
permettant de tracer toute action suspecte ou non autorisée ;
Révision périodique des droits d'accès et révocation immédiate des accès lors du départ ou du
changement de fonctions d'un membre de l'équipe ;
Formation obligatoire des membres de l'équipe amenés à accéder aux données issues des
cookies aux exigences du RGPD et aux procédures de sécurité de MeilleurJour.
18.6 Audits et conformité
MeilleurJour s'engage à procéder régulièrement à des audits de conformité de sa Politique Cookies et des pratiques de traçage effectuées sur la Plateforme, afin de s'assurer que les cookies déposés correspondent bien aux finalités déclarées, que les durées de conservation sont respectées, que les consentements sont correctement recueillis et documentés, et que les prestataires tiers respectent leurs engagements contractuels en matière de protection des données. Ces audits sont réalisés au minimum annuellement, et à chaque modification significative des pratiques de MeilleurJour en matière de cookies. Les résultats de ces audits font l'objet d'un rapport interne conservé par MeilleurJour pendant une durée de cinq (5) ans.
ARTICLE 19. PROTECTION DES MINEURS
19.1 Politique générale
La Plateforme MeilleurJour est destinée à des personnes majeures, c'est-à-dire ayant atteint l'âge de dix-huit (18) ans révolus dans leur pays de résidence. MeilleurJour ne collecte pas sciemment de données à caractère personnel provenant de mineurs via ses cookies et ne procède pas à leur profilage à des fins publicitaires.
19.2 Absence de ciblage publicitaire des mineurs
MeilleurJour s'engage expressément à ne pas utiliser de cookies ou technologies similaires à des fins de ciblage publicitaire des mineurs. Dans le cadre de la mise en œuvre de ses campagnes publicitaires via des prestataires tiers (Meta, Google, TikTok, LinkedIn, etc.), MeilleurJour configure systématiquement ses campagnes de manière à exclure les audiences de mineurs de tout ciblage
publicitaire personnalisé, conformément aux politiques publicitaires de chaque plateforme et aux exigences du RGPD et de la directive ePrivacy.
19.3 Mesures de protection
Si MeilleurJour venait à avoir connaissance qu'un mineur a fourni des données à caractère personnel via la Plateforme sans le consentement d'un titulaire de l'autorité parentale, MeilleurJour s'engage à prendre toutes les mesures nécessaires pour supprimer ces données dans les meilleurs délais, conformément à l'article 8 du RGPD et à la loi française. Toute personne ayant connaissance d'un tel cas est invitée à en informer MeilleurJour à l'adresse de contact indiquée à l'article 21 de la présente Politique Cookies.
Compte tenu de la nature des services proposés par MeilleurJour (analyses statistiques à des fins d'organisation d'événements), il n'est pas attendu que des mineurs utilisent la Plateforme de manière autonome. MeilleurJour met néanmoins en place des mesures raisonnables pour prévenir l'accès de mineurs à ses services, notamment via la déclaration de majorité requise lors de la création d'un compte utilisateur.
ARTICLE 20. MODIFICATIONS ET MISES À JOUR DE LA POLITIQUE COOKIES
20.1 Droit de modification
MeilleurJour se réserve le droit de modifier la présente Politique Cookies à tout moment, notamment pour refléter les évolutions technologiques de la Plateforme, l'intégration de nouveaux outils ou prestataires tiers, les évolutions du cadre légal et réglementaire applicable (notamment les nouvelles recommandations de la CNIL, les décisions du CEPD ou les modifications législatives), ou les décisions de justice ayant un impact sur les pratiques de traçage. La date de la dernière mise à jour de la Politique Cookies est systématiquement indiquée en tête du document.
20.2 Modalités d'information des utilisateurs
En cas de modification substantielle de la présente Politique Cookies — c'est-à-dire toute modification ayant un impact significatif sur les droits des utilisateurs, notamment l'ajout de nouvelles catégories de cookies, de nouveaux prestataires tiers ou de nouvelles finalités de traitement — MeilleurJour informera les utilisateurs par les moyens suivants :
Publication de la nouvelle version de la Politique Cookies sur la Plateforme, avec indication de la
date d'entrée en vigueur ;
Affichage d'un bandeau d'information visible sur la Plateforme, signalant la mise à jour de la
Politique Cookies et invitant l'utilisateur à en prendre connaissance ;
Envoi d'une notification par e-mail aux utilisateurs disposant d'un compte MeilleurJour, dans un
délai raisonnable avant l'entrée en vigueur de la modification ;
Réinitialisation des préférences cookies de l'utilisateur via la CMP, l'invitant à exprimer à nouveau
ses choix en matière de cookies, en cas d'ajout de nouvelles finalités de traitement ou de nouveaux prestataires tiers requérant un consentement.
20.3 Archivage des versions antérieures
MeilleurJour conserve les versions antérieures de la Politique Cookies dans ses archives internes pendant une durée de cinq (5) ans à compter de leur date de mise hors vigueur. Les utilisateurs souhaitant consulter une version antérieure de la Politique Cookies peuvent en faire la demande auprès du service de protection des données de MeilleurJour à l'adresse indiquée à l'article 21.
ARTICLE 21. CONTACT ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES
21.1 Responsable de traitement
Le responsable de traitement pour les données collectées via les cookies sur la Plateforme MeilleurJour est la société exploitant la Plateforme MeilleurJour, dont les coordonnées complètes sont les suivantes :
Dénomination sociale : [RAISON SOCIALE DE LA SOCIÉTÉ] ; Forme juridique : [FORME JURIDIQUE] ; Numéro d'immatriculation : [NUMÉRO SIREN/SIRET] ; Siège social : [ADRESSE DU SIÈGE SOCIAL] ; Adresse de contact : [ADRESSE E-MAIL DE CONTACT] ; Site internet : www.meilleurjour.fr.
21.2 Contact en matière de protection des données
Pour toute question relative à la présente Politique Cookies, à l'exercice de vos droits en matière de protection des données à caractère personnel ou pour toute demande de renseignement sur les traitements de données effectués via les cookies, l'utilisateur peut contacter MeilleurJour aux coordonnées suivantes :
Par e-mail : privacy@meilleurjour.fr ; Par courrier postal : [ADRESSE DU SIÈGE SOCIAL], à l'attention du Responsable de la
Protection des Données.
21.3 Délégué à la Protection des Données (DPO)
Si MeilleurJour est tenue, en application de l'article 37 du RGPD, de désigner un délégué à la protection des données (DPO), les coordonnées de ce dernier seront communiquées aux utilisateurs via la présente Politique Cookies et notifiées à la CNIL conformément à l'article 37(7) du RGPD. À la date de la présente Politique Cookies, les demandes relatives à la protection des données peuvent être adressées directement à MeilleurJour à l'adresse indiquée ci-dessus.
21.4 Délais de réponse
MeilleurJour s'engage à répondre à toute demande relative à l'exercice des droits des utilisateurs dans un délai d'un (1) mois à compter de la réception de la demande, conformément à l'article 12(3) du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes, sous réserve d'en informer l'utilisateur dans le délai d'un mois.
ARTICLE 22. DROITS DES UTILISATEURS ET RÉCLAMATIONS AUPRÈS DE LA CNIL
22.1 Droits des utilisateurs en matière de cookies
Conformément au RGPD et à la loi Informatique et Libertés, les utilisateurs dont des données à caractère personnel sont collectées via des cookies disposent des droits suivants à l'égard de MeilleurJour et, le cas échéant, de ses prestataires tiers agissant en qualité de responsables de traitement :
Droit d'accès (article 15 RGPD) : droit d'obtenir la confirmation que des données les concernant font l'objet d'un traitement et, le cas échéant, d'accéder à ces données et aux informations relatives à leur traitement ;
Droit de rectification (article 16 RGPD) : droit d'obtenir la rectification de données inexactes ou
incomplètes ;
Droit à l'effacement (article 17 RGPD) : droit d'obtenir l'effacement des données dans les
conditions prévues par le RGPD, notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque le consentement est retiré et qu'il n'existe pas d'autre fondement juridique au traitement, ou lorsque les données ont fait l'objet d'un traitement illicite ;
Droit à la limitation du traitement (article 18 RGPD) : droit d'obtenir la limitation du traitement dans
les conditions prévues par le RGPD ;
Droit à la portabilité des données (article 20 RGPD) : droit de recevoir les données que l'utilisateur
a fournies, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou sur un contrat ;
Droit d'opposition (article 21 RGPD) : droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données fondé sur l'intérêt légitime de MeilleurJour. En matière de prospection commerciale, le droit d'opposition peut être exercé à tout moment et sans justification particulière ;
Droit de retrait du consentement (article 7(3) RGPD) : droit de retirer à tout moment son consentement aux cookies, sans que ce retrait affecte la licéité du traitement effectué antérieurement sur la base de ce consentement ;
Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés) : droit de
définir des directives relatives au sort de ses données à caractère personnel après son décès.
Ces droits peuvent être exercés auprès de MeilleurJour aux coordonnées indiquées à l'article 21 de la présente Politique Cookies. MeilleurJour peut être amenée à vérifier l'identité de l'utilisateur préalablement au traitement de sa demande, afin de s'assurer que la demande est bien formulée par la personne concernée ou son représentant légal dûment autorisé.
22.2 Droit de réclamation auprès de la CNIL
Si l'utilisateur estime, après avoir contacté MeilleurJour, que ses droits en matière de protection des données à caractère personnel ne sont pas respectés, il dispose du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle française compétente en matière de protection des données à caractère personnel, dont les coordonnées sont les suivantes :
Adresse postale : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ; Téléphone : +33 (0)1 53 73 22 22 ; Site internet : https://www.cnil.fr ; Formulaire de réclamation en ligne : https://www.cnil.fr/fr/webform/adresser-une-plainte.
L'utilisateur peut également saisir l'autorité de contrôle de protection des données de l'État membre de l'Union européenne dans lequel il réside habituellement, de l'État membre dans lequel il exerce son activité professionnelle, ou de l'État membre dans lequel la violation alléguée a eu lieu, conformément à l'article 77 du RGPD.
ARTICLE 23. DISPOSITIONS FINALES
23.1 Droit applicable et juridiction compétente
La présente Politique Cookies est régie par le droit français et par le droit de l'Union européenne applicable en matière de protection des données à caractère personnel, notamment le RGPD et la loi Informatique et Libertés dans sa version modifiée. En cas de litige relatif à l'interprétation ou à l'exécution de la présente Politique Cookies, les parties s'efforceront de résoudre le différend à
l'amiable avant tout recours judiciaire. À défaut de résolution amiable, tout litige sera soumis à la compétence exclusive des juridictions françaises compétentes, sans préjudice des voies de recours administratives ou quasi-judiciaires disponibles devant les autorités de protection des données compétentes.
23.2 Langue
La présente Politique Cookies est rédigée en langue française. En cas de traduction de la présente Politique Cookies dans une langue étrangère, la version française prévaut en cas de divergence d'interprétation.
23.3 Indépendance des clauses
Si l'une quelconque des dispositions de la présente Politique Cookies était déclarée nulle, non écrite ou inapplicable en tout ou partie par une juridiction compétente ou une autorité de contrôle, les autres dispositions demeureraient en vigueur dans toute la mesure permise par le droit applicable. La disposition déclarée nulle, non écrite ou inapplicable serait remplacée par une disposition valide et applicable dont le contenu serait le plus proche possible de l'intention initiale des parties.
23.4 Intégralité
La présente Politique Cookies, conjointement avec la Politique de Confidentialité de MeilleurJour et les Conditions Générales d'Utilisation et de Vente de la Plateforme, constitue l'intégralité de l'accord entre MeilleurJour et l'utilisateur relativement aux cookies et technologies similaires de traçage utilisés sur la Plateforme. Elle remplace et annule tout accord, déclaration, arrangement ou entente antérieur entre MeilleurJour et l'utilisateur sur ce sujet.
23.5 Non-renonciation
Le fait pour MeilleurJour de ne pas se prévaloir à un moment donné d'une disposition de la présente Politique Cookies ne saurait être interprété comme une renonciation à se prévaloir ultérieurement de cette même disposition.
23.6 Entrée en vigueur
La présente Politique Cookies entre en vigueur à compter de sa date de publication sur la Plateforme. Elle s'applique à l'ensemble des utilisateurs de la Plateforme à compter de cette date, qu'ils soient nouveaux utilisateurs ou utilisateurs existants, étant précisé que les utilisateurs existants en seront informés selon les modalités prévues à l'article 20 de la présente Politique Cookies.
ANNEXE A. DISPOSITIONS COMPLÉMENTAIRES — TECHNOLOGIES AVANCÉES DE TRAÇAGE
A.1 Local Storage et Session Storage — Régime juridique détaillé
Le Local Storage et le Session Storage constituent des mécanismes de stockage côté navigateur distincts des cookies au sens technique du terme, mais soumis aux mêmes exigences juridiques en vertu de l'article 82 de la loi Informatique et Libertés et de la directive ePrivacy. En particulier, la CNIL a expressément confirmé dans ses lignes directrices du 17 septembre 2020 que le régime applicable aux cookies s'applique à toute opération d'écriture ou de lecture dans le Local Storage ou le Session Storage lorsque cette opération a pour finalité de collecter des informations sur l'utilisateur ou de le tracer.
À la différence des cookies, le Local Storage et le Session Storage ne disposent pas d'un mécanisme d'expiration automatique natif (pour le Local Storage) et ne sont pas automatiquement transmis au serveur avec chaque requête HTTP. Ces différences techniques n'ont toutefois pas d'incidence sur l'applicabilité des exigences légales en matière de consentement et d'information. MeilleurJour s'engage à soumettre toute utilisation du Local Storage ou du Session Storage à des fins autres que strictement nécessaires au fonctionnement de la Plateforme aux mêmes règles de consentement que celles applicables aux cookies.
A.2 Server-Side Tracking — Encadrement juridique
Le server-side tracking mis en œuvre par MeilleurJour est soumis aux mêmes obligations légales que le client-side tracking, notamment en ce qui concerne l'information préalable des utilisateurs, le recueil de leur consentement, les durées de conservation des données collectées et les transferts internationaux. En particulier, le fait que le traitement des données soit réalisé côté serveur plutôt que côté navigateur ne modifie pas la qualification juridique de ce traitement ni les bases légales qui lui sont applicables.
MeilleurJour met en œuvre le server-side tracking dans le respect des conditions suivantes : (i) le server-side tracking n'est activé que pour les catégories de cookies pour lesquelles l'utilisateur a préalablement exprimé son consentement via la CMP ; (ii) les données collectées via le server-side tracking sont traitées dans des conditions de sécurité équivalentes à celles applicables aux autres traitements de données de MeilleurJour ; (iii) les prestataires tiers vers lesquels des données sont transmises via le server-side tracking sont soumis aux mêmes exigences contractuelles que les prestataires recevant des données via le client-side tracking.
A.3 Consent Management Platform (CMP) — Spécifications techniques et conformité
La CMP mise en œuvre par MeilleurJour est conçue pour répondre aux exigences techniques définies par l'IAB Europe dans le cadre du Transparency and Consent Framework (TCF) 2.2 et aux recommandations de la CNIL en matière de recueil du consentement. La CMP de MeilleurJour remplit les fonctions suivantes :
Présentation d'un bandeau de consentement conforme aux exigences de la CNIL, offrant des
options d'acceptation et de refus d'égale accessibilité ; Interface de gestion granulaire des préférences par catégorie de cookies et par prestataire tiers ;
Enregistrement horodaté des consentements et refus exprimés par les utilisateurs, avec
conservation de la preuve de consentement pendant cinq (5) ans ;
Transmission des signaux de consentement aux prestataires tiers via le protocole TCF 2.2 ou via
des intégrations bilatérales (notamment Google Consent Mode v2) ;
Mécanisme de réinitialisation du consentement en cas de modification significative de la Politique
Cookies ; Interface accessible aux personnes en situation de handicap, conformément aux normes WCAG
2.1 niveau AA.
A.4 Attribution publicitaire multi-touch — Cadre de conformité
L'attribution publicitaire multi-touch mise en œuvre par MeilleurJour repose sur l'analyse du parcours de l'utilisateur depuis la première exposition à une publicité jusqu'à la réalisation d'une conversion sur la Plateforme. Cette attribution peut impliquer la collecte et le traitement de données relatives à plusieurs points de contact successifs de l'utilisateur avec les campagnes publicitaires de MeilleurJour (impressions, clics, visites) sur différents canaux et plateformes.
MeilleurJour met en œuvre l'attribution publicitaire uniquement avec le consentement préalable de l'utilisateur, obtenu via sa CMP pour chaque catégorie de cookies marketing concernée. Les données
d'attribution sont conservées pendant une durée maximale de treize (13) mois à compter de leur collecte et ne sont pas utilisées à d'autres fins que l'optimisation des campagnes publicitaires de MeilleurJour. Les prestataires tiers participant à l'attribution publicitaire sont soumis aux exigences contractuelles décrites à l'article 16 de la présente Politique Cookies.
A.5 Mesure des conversions — Conformité RGPD
La mesure des conversions permet à MeilleurJour de déterminer si une action réalisée par un utilisateur sur la Plateforme (notamment l'achat d'un rapport) fait suite à l'exposition à une campagne publicitaire de MeilleurJour. Cette mesure implique la collecte de données relatives aux actions de conversion effectuées sur la Plateforme et leur transmission à des prestataires tiers de publicité (Google Ads, Meta Ads, etc.) aux fins de mesure et d'optimisation des campagnes.
MeilleurJour recourt à plusieurs techniques de mesure des conversions, dont notamment : (i) le suivi des conversions par cookie, qui consiste à déposer un cookie sur le terminal de l'utilisateur lors de son exposition à une publicité et à lire ce cookie lors de la réalisation de la conversion ; (ii) le suivi des conversions hors ligne (offline conversion tracking), qui consiste à importer dans les plateformes publicitaires des données de conversion issues des systèmes internes de MeilleurJour, sous forme hashée et anonymisée ; et (iii) la modélisation des conversions, qui consiste à estimer de manière statistique les conversions non observables en raison du refus de consentement de certains utilisateurs, sans recours à des données personnelles individualisées.
A.6 Détection de fraude — Traitement fondé sur l'intérêt légitime
MeilleurJour met en œuvre des traitements de détection et de prévention de la fraude fondés sur son intérêt légitime à protéger la sécurité de sa Plateforme, de ses utilisateurs et de ses transactions commerciales, conformément à l'article 6(1)(f) du RGPD. Ces traitements incluent notamment la collecte et l'analyse de données techniques relatives aux terminaux et comportements de navigation des utilisateurs (device fingerprinting à des fins de sécurité), la mise en place de systèmes de détection d'anomalies et de comportements suspects, et la coopération avec des prestataires spécialisés dans la prévention de la fraude en ligne.
La mise en balance entre l'intérêt légitime de MeilleurJour à prévenir la fraude et les droits et libertés des utilisateurs a conduit MeilleurJour à considérer que cet intérêt légitime prédomine dans la mesure où : (i) les traitements de détection de fraude visent à protéger les intérêts des utilisateurs eux-mêmes contre les usurpations d'identité et les transactions frauduleuses ; (ii) les données collectées à cette fin sont limitées au strict minimum nécessaire et ne sont pas utilisées à d'autres fins ; et (iii) les mesures de sécurité mises en œuvre sont proportionnées aux risques identifiés. MeilleurJour informe les utilisateurs de ces traitements dans la présente Politique Cookies et leur offre la possibilité d'exercer leur droit d'opposition conformément à l'article 22.1.
A.7 Journalisation de sécurité et traçabilité des accès
MeilleurJour conserve des journaux de sécurité (logs) permettant de tracer les accès à la Plateforme, les opérations réalisées sur les comptes utilisateurs et les événements de sécurité significatifs. Ces journaux peuvent contenir des données à caractère personnel, notamment les adresses IP, les identifiants de session, les horodatages et les données relatives aux actions réalisées. Ils sont conservés pendant une durée maximale de douze (12) mois à des fins de sécurité et de détection d'incidents, et jusqu'à cinq (5) ans en cas d'incident de sécurité ayant donné lieu à une notification à la CNIL ou à une procédure judiciaire. L'accès aux journaux de sécurité est strictement limité aux membres de l'équipe de MeilleurJour en charge de la sécurité informatique et aux autorités compétentes en cas de réquisition judiciaire.
— Fin de la Politique Cookies MeilleurJour —
Document rédigé à des fins de conformité RGPD / ePrivacy / CNIL