← Walityk

Documentation RGPD

Référence destinée aux clients, prospects et autorités. Chaque page indique sa date de dernière mise à jour ; tout changement matériel est notifié par email aux clients actifs au moins 30 jours avant prise d'effet.

Dernière mise à jour : 2026-05-06

1. Cookies déposés par le tag Walityk

Le tag JavaScript chargé sur le site du client peut déposer trois cookies first-party, tous techniques :

  • _tft_uid — identifiant pseudonyme persistant, HMAC-signé, durée 13 mois. Permet la continuité d'identité entre sessions.
  • _tft_sid — identifiant de session, durée 30 minutes. Permet le regroupement d'événements d'une même visite.
  • _tft_consent — encode l'état du Consent Mode v2 (4 caractères g/d). Indispensable pour respecter le choix de l'utilisateur sans le redemander à chaque page.

Aucun de ces cookies ne contient de PII en clair. Aucun cookie tiers n'est déposé.

2. Mode exemption CNIL — quand le bandeau n'est pas requis

Le tag peut fonctionner en mode exempté dès lors que la configuration respecte intégralement les lignes directrices CNIL sur les cookies de mesure d'audience (délibération du 17 mars 2022, mise à jour). En mode exempté :

  • La finalité est strictement limitée à la mesure d'audience du site du client (statistiques anonymes, A/B testing, optimisation de la performance).
  • Aucune donnée n'est croisée avec d'autres traitements ni transmise à des tiers (les destinations marketing GA4/Meta/Ads/TikTok sont désactivées ou n'envoient que les événements pour lesquels analytics_storage est consenti).
  • L'adresse IP est tronquée puis hachée, jamais stockée en clair.
  • Les identifiants pseudonymes ont une durée de vie maximale de 13 mois.
  • Les données brutes sont conservées au maximum 25 mois.
  • L'utilisateur final dispose d'un mécanisme d'opposition simple (lien dans la politique de confidentialité du client).

3. Quand un bandeau cookie reste obligatoire

Dès que le client active au moins une destination publicitaire (Meta CAPI, Google Ads, TikTok Events, ou GA4 avec signaux Google activés), un consentement explicite est requis avant l'envoi des conversions, conformément à la directive ePrivacy et au RGPD.

Walityk respecte ce contrat via le Consent Mode v2 de Google : les événements sont collectés mais transmis sans données publicitaires (ou pas du tout) tant que le consentement n'est pas accordé. L'intégration avec une CMP certifiée (Cookiebot, OneTrust, Axeptio, Didomi…) est documentée dans le guide d'installation.

4. Choix de l'utilisateur

L'état du consentement appliqué côté tag :

  • Refus / non-réponse → mode exempté si la configuration le permet, sinon aucun envoi vers les destinations publicitaires.
  • Consentement explicite → tous les flux activés par le client sont déclenchés, dans la limite de leurs paramètres respectifs (par exemple, désactivation d'une destination spécifique).

5. Suppression des cookies

L'utilisateur peut à tout moment supprimer les cookies depuis les paramètres de son navigateur. La page /dashboard du client expose un bouton « Réinitialiser mon identifiant Walityk » qui invalide le cookie _tft_uid (à venir, Lot 9).