Volver a los artículos
Analytics
Analytics RGPD Cookies

Exención CNIL (autoridad francesa de protección de datos) analytics: condiciones y herramientas elegibles

7 de enero de 2026 11 min de lectura DPLIANCE

La exención CNIL (autoridad francesa de protección de datos) analytics es probablemente el tema peor entendido de la web francesa. Muchos editores de sitios piensan que basta con usar una herramienta “RGPD-friendly” para prescindir del banner de cookies. Es falso. La exención existe, pero está enmarcada por condiciones estrictas que la mayoría de las implementaciones no respetan.

En DPLIANCE, creemos que la conformidad no debería ser un rompecabezas. Pero tampoco debería ser una ilusión. Aquí está todo lo que hay que saber sobre la exención de consentimiento para las herramientas de medición de audiencia.

¿Qué es la exención CNIL (autoridad francesa de protección de datos)?

En Francia, la directiva ePrivacy, transpuesta por el artículo 82 de la ley Informatique et Libertés, impone un principio claro: todo depósito de rastreador (cookie u otro) en el terminal de un usuario requiere su consentimiento previo.

Existe sin embargo una excepción: los rastreadores “estrictamente necesarios” para el funcionamiento del servicio o aquellos que tienen como “finalidad exclusiva permitir o facilitar la comunicación por vía electrónica”. La CNIL (autoridad francesa de protección de datos) ha interpretado esta excepción para incluir, bajo condiciones estrictas, las herramientas de medición de audiencia.

La idea es simple: medir cuántas personas visitan un sitio, qué páginas se consultan y cómo mejorar el servicio es una finalidad legítima que puede estar exenta de consentimiento, a condición de que esta medición no sirva más que para eso.

Lo que dice la CNIL (autoridad francesa de protección de datos)

La CNIL (autoridad francesa de protección de datos) ha publicado directrices detalladas sobre cookies y rastreadores, regularmente actualizadas. Respecto a la medición de audiencia, precisa que los rastreadores pueden estar exentos de consentimiento si cumplen condiciones acumulativas y estrictas.

La CNIL (autoridad francesa de protección de datos) también lanzó un programa de evaluación de las soluciones de medición de audiencia, que permitió constituir una lista de herramientas que pueden configurarse para beneficiarse de la exención. Este programa ha sido reemplazado desde entonces por una herramienta de autoevaluación destinada a los proveedores de soluciones.

Las condiciones de la exención

Las condiciones son acumulativas. Hay que respetarlas todas. Faltar a una sola basta para perder el beneficio de la exención.

1. Finalidad estrictamente limitada a la medición de audiencia

Los rastreadores deben tener una finalidad estrictamente limitada a la medición de audiencia del sitio o de la aplicación. Esto incluye:

  • La medición del rendimiento del sitio
  • La detección de problemas de navegación
  • La optimización del rendimiento técnico o de la ergonomía
  • La estimación de la capacidad de servidor necesaria
  • El análisis de los contenidos consultados

Todo otro uso invalida la exención. Si los datos se utilizan para marketing, segmentación, personalización u optimización comercial, la exención ya no se aplica.

2. Producción exclusiva de datos estadísticos anónimos

Los rastreadores deben servir para producir exclusivamente datos estadísticos anónimos. Los resultados de la medición de audiencia deben ser agregados y no deben permitir identificar, directa o indirectamente, a un individuo.

3. Sin cruce con otros tratamientos

Los datos recopilados no deben cruzarse con otros tratamientos de datos. Concretamente:

  • Sin cruce con datos CRM
  • Sin vinculación con perfiles de usuarios
  • Sin enlace con campañas de marketing
  • Sin enriquecimiento con datos de terceros

Es la condición más a menudo violada en la práctica. Muchas herramientas de analytics están conectadas a plataformas publicitarias, CRM o herramientas de marketing automation. Estas conexiones invalidan la exención.

4. Sin transmisión a terceros

Los datos no anónimos no deben transmitirse a terceros. La herramienta de medición debe funcionar exclusivamente por cuenta del editor del sitio.

Es la razón por la cual Google Analytics nunca ha podido beneficiarse de la exención: los datos recopilados transitan por los servidores de Google y alimentan su ecosistema publicitario.

5. Sin seguimiento multi-sitios

Los rastreadores no deben permitir el seguimiento global de la navegación de una persona utilizando diferentes aplicaciones o navegando en diferentes sitios web. Cada sitio debe medirse de forma independiente.

6. Duración de vida limitada

  • Duración de vida de los rastreadores: limitada a una duración que permita una comparación pertinente de las audiencias en el tiempo. La CNIL (autoridad francesa de protección de datos) recomienda una duración máxima de 13 meses, sin prolongación automática en cada visita.
  • Conservación de los datos brutos: los datos recopilados deben conservarse durante un máximo de 25 meses.

7. Información del usuario

Incluso con la exención, el usuario debe ser informado del uso de rastreadores y de la posibilidad de oponerse. La exención se refiere al consentimiento previo, no al derecho de información ni al derecho de oposición.

¿Qué herramientas son elegibles?

El programa de evaluación de la CNIL (autoridad francesa de protección de datos)

Desde 2021, la CNIL (autoridad francesa de protección de datos) ha evaluado varias soluciones de medición de audiencia para verificar su capacidad de ser configuradas en conformidad con las condiciones de exención. Este programa produjo una lista de herramientas evaluadas, disponible en el sitio de la CNIL (autoridad francesa de protección de datos).

Entre las soluciones evaluadas favorablemente:

  • Analytics Suite Delta (AT Internet / Piano)
  • SmartProfile (Net Solution Partner)
  • Wysistat Business
  • Matomo (con configuración específica)
  • Abla Analytics
  • Beyable Analytics

Desde el 1 de enero de 2026, el programa de evaluación ha sido reemplazado por una herramienta de autoevaluación. Los proveedores de soluciones son invitados a verificar ellos mismos la conformidad de su herramienta sobre la base de los criterios publicados por la CNIL (autoridad francesa de protección de datos).

Matomo: el caso mejor documentado

Matomo es la herramienta para la cual la CNIL (autoridad francesa de protección de datos) publicó la guía de configuración más detallada. Para beneficiarse de la exención con Matomo, hay que:

  • Usar Matomo autoalojado o en Cloud con alojamiento en Europa
  • Desactivar el seguimiento multi-sitios
  • Anonimizar las direcciones IP
  • Limitar la duración de conservación de datos a 25 meses
  • No exportar los datos hacia herramientas de terceros
  • Configurar el config_id para una duración máxima de 24 horas
  • No activar los plugins de heatmap o session replay (que pueden requerir un consentimiento específico)

La configuración es técnica y requiere rigor. Un error de parametrización puede hacer perder el beneficio de la exención.

Google Analytics: nunca exento

Google Analytics (ni Universal Analytics, ni GA4) nunca ha beneficiado de la exención de consentimiento de la CNIL (autoridad francesa de protección de datos). Las razones son múltiples:

  • Los datos se envían hacia los servidores de Google (tercero)
  • Google utiliza los datos con fines propios (publicidad)
  • Los datos son susceptibles de ser transferidos fuera de la UE
  • El modelo de Google no permite garantizar la ausencia de cruce con otros tratamientos

Ninguna configuración de Google Analytics permite cumplir las condiciones de exención.

Mirage Analytics y la exención

Mirage Analytics fue concebido para ser compatible con las condiciones de exención de la CNIL (autoridad francesa de protección de datos). Su arquitectura responde a los criterios fundamentales:

  • Sin cookie de terceros, sin rastreador persistente: el tracking se basa en las sesiones, sin identificador persistente
  • Alojamiento soberano en Scaleway (Francia): ninguna transferencia de datos fuera de la UE
  • Datos tratados exclusivamente por cuenta del editor: DPLIANCE no utiliza los datos con fines propios
  • Sin cruce con otros tratamientos: los datos analíticos permanecen aislados

Para las funcionalidades de session replay y de heatmaps, que van más allá de la estricta medición de audiencia, un análisis específico debe realizarse caso por caso. La medición de audiencia pura (páginas vistas, sesiones, fuentes, etc.) es compatible con la exención.

Los errores comunes

Error 1: “Mi herramienta es sin cookies, así que estoy exento”

Falso. La ausencia de cookies es una condición necesaria pero no suficiente. Una herramienta sin cookies que transmite datos a un tercero, que permite el seguimiento multi-sitios o que se utiliza con fines de marketing no se beneficia de la exención.

Error 2: “La herramienta está en la lista CNIL (autoridad francesa de protección de datos), así que no tengo nada que hacer”

Falso. La lista de la CNIL (autoridad francesa de protección de datos) (ahora reemplazada por la autoevaluación) indicaba que la herramienta podía configurarse para beneficiarse de la exención. No certificaba que toda instalación de la herramienta fuera automáticamente conforme. La configuración es responsabilidad del responsable del tratamiento (usted).

Error 3: “La exención me dispensa de informar a los usuarios”

Falso. La exención se refiere al consentimiento previo, no al derecho de información. Debe informar siempre a sus usuarios de la existencia de la medición de audiencia y de su derecho a oponerse (opt-out).

Error 4: “Puedo usar los datos para optimizar mis campañas de marketing”

Falso. Si utiliza los datos de medición de audiencia para optimizar sus campañas, segmentar su publicidad o personalizar su contenido, sale del perímetro de la exención. La exención cubre únicamente la medición de audiencia stricto sensu.

Error 5: “La exención es permanente”

Falso. Las condiciones de la exención pueden evolucionar con las directrices de la CNIL (autoridad francesa de protección de datos). En 2025, la CNIL (autoridad francesa de protección de datos) lanzó una consulta pública sobre nuevas recomendaciones. En 2026, se prevén trabajos sobre el consentimiento multi-propiedades (cross-domain). Hay que mantener una vigilancia regular.

Cómo implementar la exención correctamente

Etapa 1: Elegir una herramienta compatible

Seleccione una herramienta de medición de audiencia que pueda configurarse para respetar todas las condiciones de exención. Verifique como prioridad:

  • Dónde están alojados los datos (UE obligatorio)
  • Si la herramienta transmite datos a terceros
  • Si la herramienta permite limitar la duración de conservación
  • Si la herramienta puede funcionar sin cookies o con rastreadores limitados a 13 meses

Etapa 2: Configurar la herramienta estrictamente

Aplique las configuraciones necesarias:

  • Desactivar todo intercambio de datos con terceros
  • Anonimizar las direcciones IP
  • Limitar la conservación de datos brutos a 25 meses
  • Desactivar el seguimiento multi-sitios si tiene varios dominios
  • Configurar la duración de vida de los rastreadores a 13 meses máximo

Etapa 3: Documentar

Documente su configuración y su base jurídica en su registro de tratamientos. Indique claramente que la medición de audiencia se funda en la exención de consentimiento y detalle las medidas tomadas para respetar las condiciones.

Etapa 4: Informar a los usuarios

Incluso sin banner de cookies, debe:

  • Mencionar la medición de audiencia en su política de privacidad
  • Proponer un mecanismo de opt-out (oposición a la medición)
  • Explicar qué datos se recopilan y por qué

Etapa 5: Auditar regularmente

Verifique periódicamente que su configuración no haya sido modificada (actualizaciones de la herramienta, cambios de parámetros) y que las condiciones de exención sigan respetándose.

FAQ

¿La exención CNIL (autoridad francesa de protección de datos) es válida en toda Europa?

No. La exención es una interpretación de la directiva ePrivacy por la CNIL (autoridad francesa de protección de datos), aplicable en Francia. Otras autoridades europeas tienen posiciones diferentes. Si su sitio se dirige a visitantes en varios países de la UE, verifique las posiciones de las autoridades locales.

¿Cuántas herramientas son hoy elegibles para la exención?

El programa de evaluación de la CNIL (autoridad francesa de protección de datos) evaluó favorablemente una decena de herramientas antes de ser reemplazado por la autoevaluación. Entre las más conocidas: Analytics Suite Delta (AT Internet), Matomo (con configuración específica), SmartProfile, Wysistat Business, Abla Analytics. Desde enero de 2026, cualquier proveedor puede autoevaluar su solución.

¿Puedo usar el session replay con la exención?

El session replay va más allá de la estricta medición de audiencia y puede requerir un consentimiento específico. Sin embargo, si el session replay se implementa sin identificador persistente y sin recopilación de datos personales, un análisis caso por caso es necesario. La CNIL (autoridad francesa de protección de datos) no ha publicado una posición específica sobre el session replay en el marco de la exención.

¿Qué pasa si pierdo el beneficio de la exención?

Si su configuración ya no respeta las condiciones de exención, debe obtener el consentimiento previo de los usuarios antes de depositar rastreadores. En la práctica, esto significa implementar un banner de cookies conforme. La falta de consentimiento constituye una infracción sancionable por la CNIL (autoridad francesa de protección de datos).

¿La exención cubre los tests A/B?

No, en principio. Los tests A/B tienen una finalidad de optimización comercial, no de medición de audiencia stricto sensu. Generalmente requieren el consentimiento del usuario.

Fuentes: CNIL (autoridad francesa de protección de datos), “Cookies: solutions pour les outils de mesure d’audience” (cnil.fr); CNIL (autoridad francesa de protección de datos), “Solutions de mesure d’audience exemptées de consentement: la CNIL lance un programme d’évaluation” (cnil.fr); CNIL (autoridad francesa de protección de datos), directrices modificativas y recomendación cookies y otros rastreadores (cnil.fr); CNIL (autoridad francesa de protección de datos), guía de configuración Matomo para la exención (cnil.fr); Artículo 82 de la ley n.º 78-17 del 6 de enero de 1978 relativa a la informática, los ficheros y las libertades.

¿Busca una herramienta de analytics compatible con la exención de la CNIL (autoridad francesa de protección de datos), alojada en Francia? Descubra Mirage Analytics: analytics web sin cookies, session replay y heatmaps integrados. A partir de 19 EUR sin impuestos/mes.

Escríbanos

contact@dpliance.com
Contáctenos