Cette politique décrit l’usage des témoins (« cookies ») et technologies similaires sur les sites publics de Conformaze (conformaze.com, conformaze.app) et dans la plateforme authentifiée. Elle complète notre politique de confidentialité et répond aux exigences de l’article 8.1 LPRPSP (témoins activés par défaut interdits) et des lignes directrices du European Data Protection Board.
Posture actuelle (mai 2026) : Conformaze ne dépose aujourd’hui aucun témoin non essentiel sur ses sites publics ni dans l’espace authentifié. Aucun outil de mesure d’audience (Plausible, Google Analytics, Hotjar, Mixpanel, etc.) n’est chargé. Cette posture a été validée par le Responsable de la protection des renseignements personnels (RPRP / DPO) le 1er mai 2026 (cf. section 7 « Décision DPO et engagement »).
1. Qu’est-ce qu’un témoin ?
Un témoin est un petit fichier déposé par votre navigateur lorsque vous consultez un site. Il permet, entre autres, de mémoriser vos préférences (langue, session) ou de mesurer l’audience.
2. Témoins effectivement utilisés aujourd’hui
Seuls des témoins strictement nécessaires au fonctionnement du service sont déposés. Ils sont exemptés de consentement préalable au titre de l’article 8.1 LPRPSP (Loi 25) et du considérant 32 du RGPD. Conformaze ne dépose aucun témoin de préférences, de mesure d’audience ou de marketing au moment de la rédaction de cette politique.
| Catégorie | Finalité | Consentement | Durée |
|---|---|---|---|
| Strictement nécessaires | Authentification, sécurité (CSRF), équilibrage de charge, maintien de session. | Aucun requis (exemption Loi 25 art. 8.1) | Session ou 30 jours max |
3. Bandeau d’information
Lors de votre première visite, un bandeau vous informe que seuls des témoins strictement nécessaires sont déposés. Conformément au principe de transparence, ce bandeau ne propose pas de bouton « Accepter / Refuser » : il n’y a en effet rien à consentir tant qu’aucun témoin non essentiel n’est utilisé. Vous pouvez à tout moment relire le message :
4. Témoins déposés par les sous-traitants
Application Insights (Microsoft) est utilisé par Conformaze uniquement à des fins de monitoring technique (suivi des erreurs JavaScript, exceptions, appels AJAX, performance, corrélation frontend/backend). Le SDK est configuré avec l’option disableCookiesUsage activée : aucun témoin n’est déposé par Application Insights, ni sur le site public ni dans l’espace authentifié, et aucune mesure d’audience (pages vues, durée de visite) n’est collectée.
Stripe, lorsqu’il est sollicité pour traiter un paiement, peut déposer ses propres témoins techniques sur ses interfaces de paiement (par exemple un module de checkout intégré). Ces témoins relèvent de la politique de confidentialité de Stripe. Voir la liste complète des sous-traitants sur la page Sous-traitants.
5. Cookies futurs (préférences, mesure d’audience, marketing)
Lorsqu’une nouvelle catégorie de témoins (préférences, mesure d’audience cookieless ou avec témoin, marketing, etc.) sera activée, cette politique sera mise à jour avant tout dépôt et la bannière d’information sera remplacée par une bannière de consentement complète, avec choix explicite par catégorie et journalisation côté serveur de votre choix. Aucun témoin non essentiel ne sera déposé tant que ce dispositif ne sera pas livré.
6. Configuration de votre navigateur
Vous pouvez également configurer votre navigateur pour bloquer ou supprimer les témoins. Notez que la désactivation des témoins strictement nécessaires peut empêcher le bon fonctionnement de la plateforme (impossibilité de se connecter, par exemple).
7. Décision DPO et engagement
Le 1er mai 2026, le RPRP / DPO de Conformaze a formellement validé que la posture « cookies strictement nécessaires uniquement » décrite ci-dessus est conforme à l’article 8.1 LPRPSP (Loi 25) et au considérant 32 du RGPD, et qu’aucun mécanisme de consentement utilisateur n’est requis tant que cette posture est maintenue. La note de décision détaillée est archivée dans docs/pre-prod-2026-05/signatures/CM-R1-plan-b-dpo.md.
Conformaze s’engage à ré-ouvrir le chantier de consentement complet (table consent_logs côté serveur, bannière avec choix par catégorie) avant toute ré-activation d’un cookie non essentiel, avec une date butoir interne de reprise fixée au 12 mai 2026.
8. Vos droits et nous joindre
Pour toute question relative aux témoins ou à l’exercice de vos droits : dpo@conformaze.com.