Pack juridique KOVAS · v1.3 — 27 mai 2026
politique de gestion des traceurs et cookies.
Document 5/9 du pack juridique KOVAS
PRÉAMBULE
La présente Politique de Gestion des Traceurs et Cookies, ci-après dénommée « Politique Cookies » ou « les présentes », a pour objet d'informer l'Utilisateur, de manière complète, claire et préalable à tout dépôt ou lecture de traceurs, des conditions dans lesquelles la Plateforme KOVAS utilise des cookies et autres technologies similaires, ainsi que des moyens dont l'Utilisateur dispose pour exercer un contrôle effectif sur ces dispositifs.
La présente Politique Cookies s'inscrit dans le respect des dispositions de l'article 82 de la loi n°78-17 du 6 janvier 1978 modifiée, transposant l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy », telle que modifiée par la directive 2009/136/CE du 25 novembre 2009, ainsi que des lignes directrices et recommandations relatives à l'utilisation des cookies et autres traceurs adoptées par la Commission nationale de l'informatique et des libertés (CNIL), notamment par la délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices.
ARTICLE 1. DÉFINITIONS TECHNIQUES
1.1. Définition générale du traceur
Aux fins de la présente Politique, on entend par « cookie » ou « traceur » toute information stockée ou consultée sur l'équipement terminal d'un Utilisateur dans le cadre de l'utilisation de la Plateforme, qu'il s'agisse :
a) De cookies HTTP au sens strict, à savoir de petits fichiers texte déposés sur le terminal et lus à chaque visite ;
b) De stockage local du navigateur (local storage et session storage) ;
c) De balises web (web beacons), pixels invisibles et autres traceurs assimilables ;
d) D'empreintes numériques (fingerprinting) reposant sur la combinaison de caractéristiques techniques du terminal ;
e) De toute autre technologie similaire permettant l'identification, le suivi ou la reconnaissance de l'Utilisateur d'une session à l'autre.
1.2. Cookies de session et cookies persistants
Les traceurs déposés peuvent être classés en deux grandes catégories selon leur durée :
a) Cookies de session : déposés temporairement pendant la durée de la visite et automatiquement supprimés à la fermeture du navigateur ;
b) Cookies persistants : conservés sur l'équipement de l'Utilisateur pour une durée déterminée n'excédant pas treize (13) mois en application des recommandations CNIL.
1.3. Cookies de première et de tierce partie
Selon leur émetteur, les traceurs peuvent être qualifiés de :
a) Cookies de première partie : déposés directement par le domaine de la Plateforme (kovas.fr) ;
b) Cookies de tierce partie : déposés par un domaine tiers (par exemple un prestataire de mesure d'audience ou un réseau publicitaire).
ARTICLE 2. CATÉGORIES DE TRACEURS UTILISÉS
KOVAS utilise, sur la Plateforme, les catégories suivantes de traceurs, classées selon leur finalité et leur exigence en matière de recueil du consentement :
2.1. Traceurs strictement nécessaires au fonctionnement de la Plateforme
Régime juridique : ces traceurs sont dispensés du recueil préalable du consentement de l'Utilisateur en application de la seconde exemption prévue à l'article 82 de la loi du 6 janvier 1978 modifiée, étant strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'Utilisateur.
Finalités poursuivies : authentification de l'Utilisateur, maintien de la session de navigation, mémorisation de l'état du panier (le cas échéant), équilibrage de charge entre les serveurs, sécurité de la connexion (notamment lutte contre la falsification de requête inter-site CSRF), respect des préférences exprimées par l'Utilisateur au regard des autres catégories de traceurs.
Exemples : cookie d'authentification de session (durée : session), cookie CSRF (durée : session), cookie de mémorisation des préférences cookies (durée : six mois).
2.2. Traceurs de mesure d'audience exemptés de consentement
Régime juridique : sous réserve du strict respect des critères cumulatifs énumérés par la CNIL dans ses lignes directrices, ces traceurs peuvent également être dispensés du recueil préalable du consentement, à savoir notamment l'absence de recoupement des données avec d'autres traitements, la configuration ne permettant pas le suivi de la navigation sur d'autres sites, l'anonymisation effective des adresses IP, et l'absence de transmission à des tiers à des fins commerciales.
Finalités poursuivies : production de statistiques anonymes ou pseudonymisées sur la fréquentation de la Plateforme, en ce compris notamment le nombre de visiteurs, les pages les plus consultées, les sources de trafic, les durées de visite, à seule fin d'amélioration de la Plateforme.
Outil utilisé par KOVAS : Plausible Analytics (société de droit estonien) ou Matomo en configuration auto-hébergée, lesquels sont, dans leurs configurations standard adoptées par KOVAS, considérés par la CNIL comme conformes aux exemptions susvisées.
Données traitées : nombre de visiteurs, pages consultées, durée moyenne des visites, sources de trafic, type de navigateur, type de système d'exploitation, pays approximatif déduit de l'adresse IP anonymisée. Aucune adresse IP complète n'est conservée.
2.3. Traceurs nécessitant un consentement explicite préalable
Sont expressément soumis à recueil préalable du consentement explicite, libre, éclairé, spécifique et univoque de l'Utilisateur, manifesté par une action positive claire, l'ensemble des traceurs ne relevant pas des deux catégories précédentes, en ce compris notamment :
a) Traceurs publicitaires : utilisés pour la diffusion de publicités ciblées sur la Plateforme ou hors de celle-ci en fonction de la navigation de l'Utilisateur. À la date des présentes, KOVAS ne diffuse aucune publicité de cette nature sur sa Plateforme.
b) Traceurs de réseaux sociaux : déposés à l'occasion de l'intégration de modules sociaux tiers (boutons de partage, vidéos intégrées, etc.). À la date des présentes, KOVAS n'intègre pas de tels modules nécessitant un consentement préalable, les éventuels liens vers les réseaux sociaux étant constitués de liens HTML simples ne déclenchant aucun dépôt préalable de traceur.
c) Traceurs de mesure d'audience non exemptés : utilisés à des fins de mesure d'audience mais ne respectant pas les critères d'exemption posés par la CNIL. KOVAS s'efforce de ne pas utiliser de tels outils.
d) Tout autre traceur déposé à des fins non strictement nécessaires au service ou non exemptées par les lignes directrices CNIL.
ARTICLE 3. RECUEIL ET GESTION DU CONSENTEMENT
3.1. Mécanisme de recueil du consentement (mis à jour au 27 mai 2026)
Lors de la première visite de l'Utilisateur sur la Plateforme, et à chaque visite ultérieure intervenant après l'expiration du délai de conservation du choix précisé à l'article 3.4 ci-après, ou en cas de modification substantielle des traceurs utilisés, un bandeau d'information apparaît en bas de page de la Plateforme. Ce bandeau, implémenté sous la forme d'un composant React intégré à la Plateforme, comporte :
a) Une information claire, complète et apparente sur les traceurs utilisés et leurs finalités, ainsi qu'un renvoi vers la présente Politique Cookies ;
b) Trois options exprimées avec une mise en forme identique et offrant un choix réellement équivalent, conformément aux lignes directrices CNIL :
— « Tout accepter » : autorisation du dépôt des traceurs de mesure d'audience (PostHog) et des cookies fonctionnels (session replay Sentry déclenché uniquement en cas d'erreur) ; — « Tout refuser » : seuls les cookies strictement nécessaires au fonctionnement de la Plateforme sont conservés ; — « Personnaliser » : ouverture d'un panneau granulaire permettant de sélectionner, catégorie par catégorie, les traceurs autorisés.
3.2. Caractéristiques du consentement
Conformément aux exigences du RGPD et des lignes directrices CNIL, le consentement recueilli par KOVAS présente les caractéristiques cumulatives suivantes :
a) Libre : aucune conséquence défavorable n'est attachée au refus du consentement, l'accès à la Plateforme demeurant possible ;
b) Éclairé : l'Utilisateur dispose, préalablement à toute manifestation de son consentement, d'une information complète sur les traceurs utilisés ;
c) Spécifique : le consentement est recueilli par finalité, l'Utilisateur pouvant accepter certaines catégories et en refuser d'autres ;
d) Univoque : le consentement résulte d'une action positive claire de l'Utilisateur, à l'exclusion de toute manifestation tacite ou par défaut.
3.3. Retrait du consentement
L'Utilisateur peut, à tout moment et avec la même facilité que celle avec laquelle il a exprimé son consentement, modifier ses choix ou retirer son consentement, par l'intermédiaire d'un lien permanent intitulé « Préférences cookies » accessible dans le pied de page de toutes les pages publiques de la Plateforme.
3.4. Conservation des choix exprimés
Le choix exprimé par l'Utilisateur est enregistré dans le stockage local (localStorage) du navigateur sous la clé kovas_consent_v1 pour une durée maximale de treize (13) mois, conformément à la durée recommandée par la CNIL en matière de conservation du choix de l'Utilisateur en matière de traceurs. À l'expiration de cette durée, le bandeau réapparaît afin de recueillir un consentement renouvelé.
3.5. Traitement du signal « Do Not Track »
Lorsque le navigateur de l'Utilisateur émet le signal HTTP « Do Not Track » (DNT), le bandeau de consentement est néanmoins présenté à l'Utilisateur, le signal DNT seul n'étant pas considéré par la CNIL comme une manifestation de refus explicite au sens de l'article 82 de la loi du 6 janvier 1978 modifiée. Toutefois, dans cette hypothèse, les sélecteurs du panneau « Personnaliser » sont, par défaut, positionnés sur l'option « refusé », afin de respecter au mieux la préférence implicitement exprimée par l'Utilisateur.
ARTICLE 4. PARAMÉTRAGE DES COOKIES DANS LE NAVIGATEUR
Indépendamment du mécanisme de gestion offert par KOVAS, l'Utilisateur peut paramétrer son navigateur internet aux fins de refuser tout ou partie des cookies, voire de les supprimer après dépôt. Les modalités de paramétrage varient selon le navigateur utilisé. À titre indicatif, les principaux navigateurs offrent les fonctionnalités suivantes :
Mozilla Firefox : Menu « Outils » > « Options » > onglet « Vie privée et sécurité »
Google Chrome : Menu > « Paramètres » > « Confidentialité et sécurité » > « Cookies et autres données des sites »
Microsoft Edge : Menu > « Paramètres » > « Cookies et autorisations de site »
Apple Safari : Menu « Safari » > « Préférences » > onglet « Confidentialité »
Opera : Menu > « Paramètres » > « Confidentialité et sécurité »
Il est précisé que le paramétrage du navigateur visant à refuser systématiquement tous les cookies est susceptible d'altérer l'expérience d'utilisation de la Plateforme, certaines fonctionnalités essentielles, notamment l'authentification et le maintien de la session, ne pouvant plus être assurées.
ARTICLE 5. LISTE DÉTAILLÉE DES TRACEURS UTILISÉS
La liste détaillée et actualisée de l'ensemble des traceurs effectivement utilisés sur la Plateforme, comportant pour chacun d'eux son nom, sa catégorie, sa finalité, sa durée de conservation et son émetteur, est accessible en permanence depuis le panneau « Préférences cookies » visé à l'article 3.3 ci-dessus. Cette liste est mise à jour à chaque évolution de la configuration technique de la Plateforme.
À la date des présentes, KOVAS utilise les traceurs et stockages local suivants, classés en trois (3) catégories :
5.1. Catégorie « Essentiels » — toujours actifs (dispensés de consentement)
| Identifiant | Type | Émetteur | Finalité | Durée | Attributs |
|---|---|---|---|---|---|
sb-* | Cookie | Supabase / kovas.fr | Tokens d'authentification (access_token, refresh_token) — maintien de la session connectée | jusqu'à 12 mois | HttpOnly, Secure, SameSite=Lax |
__stripe_* | Cookie | stripe.com | Prévention de la fraude lors des opérations de paiement (Stripe Checkout) | jusqu'à 12 mois selon la politique Stripe | Secure, SameSite |
kovas_consent_v1 | localStorage | kovas.fr | Mémorisation du choix exprimé par l'Utilisateur sur le bandeau de consentement | 13 mois maximum | Stockage local du navigateur |
kovas_2fa_admin | Cookie | kovas.fr | Validation HMAC de la double authentification (TOTP) des comptes administrateurs | 30 minutes | HttpOnly, Secure, SameSite=Strict |
kovas_ref_code | Cookie | kovas.fr | Mémorisation d'un code de parrainage saisi sur la Plateforme | 90 jours | HttpOnly, Secure, SameSite=Lax |
5.2. Catégorie « Mesure d'audience » — opt-in obligatoire (PostHog)
| Identifiant | Type | Émetteur | Finalité | Durée | Hébergement |
|---|---|---|---|---|---|
ph_* | Cookie + localStorage | PostHog (eu.posthog.com) | Identifiant anonyme de visiteur, mesure d'audience produit (pages vues, événements, parcours) | 24 mois | Union européenne (Francfort) |
Configuration spécifique adoptée par KOVAS pour minimiser la collecte de données :
— Sélecteur de masquage du texte : maskTextSelector: '*' (l'ensemble des textes affichés à l'écran sont masqués) ; — Respect du signal Do Not Track du navigateur Utilisateur (transmission désactivée si DNT) ; — Aucune collecte ne s'opère sans consentement préalable explicite.
5.3. Catégorie « Fonctionnels — Session replay Sentry » — opt-in obligatoire
| Identifiant | Type | Émetteur | Finalité | Durée | Hébergement |
|---|---|---|---|---|---|
| Session replay Sentry | Stockage serveur (aucun cookie navigateur) | Sentry (de.sentry.io) | Enregistrement de la session uniquement lors de la survenue d'une erreur (replaysOnErrorSampleRate), aux fins de reproduction du contexte technique de l'incident | Conservation côté serveur Sentry — 90 jours | Union européenne (Francfort) |
Configuration spécifique adoptée par KOVAS pour minimiser la collecte de données :
— maskAllText: true — l'ensemble des textes affichés à l'écran sont masqués dans l'enregistrement ; — blockAllMedia: true — les médias (images, vidéos) sont bloqués dans l'enregistrement ; — Aucun enregistrement ne s'opère sans consentement préalable explicite ; — Les données personnelles éventuellement présentes dans les traces d'exécution font l'objet d'un scrubbing automatique préalable, conformément à l'article 8.7 de la Politique de Confidentialité (document n°4).
ARTICLE 6. SANCTIONS DU NON-RESPECT DE LA RÉGLEMENTATION
KOVAS rappelle que la méconnaissance des règles applicables aux cookies expose le responsable du traitement à des sanctions administratives prononcées par la CNIL pouvant atteindre vingt millions d'euros (20.000.000 €) ou quatre pour cent (4%) du chiffre d'affaires annuel mondial, en application de l'article 83 du RGPD. KOVAS s'engage à respecter scrupuleusement les obligations rappelées dans les présentes.
ARTICLE 7. MODIFICATIONS DE LA PRÉSENTE POLITIQUE
KOVAS se réserve la faculté de modifier la présente Politique Cookies à tout moment, afin de l'adapter à l'évolution de ses activités, des technologies utilisées, et du cadre légal et réglementaire applicable. Toute modification substantielle fait l'objet d'une nouvelle présentation de la bannière d'information et d'un renouvellement du consentement.
Document validé en sa version 1.3 le 27 mai 2026.
CHANGELOG
- v1.3 — 27 mai 2026 : refonte de l'article 3 « Recueil et gestion du consentement » pour refléter l'implémentation effective du bandeau de consentement déployé en mai 2026 (composant React custom, stockage
localStoragekovas_consent_v1, durée de conservation des choix portée à 13 mois conformément à la recommandation CNIL, traitement du signalDo Not Track). Refonte de l'article 5 « Liste détaillée des traceurs utilisés » en trois sous-catégories (essentiels / mesure d'audience PostHog / fonctionnels Sentry session replay), avec mention des durées exactes et de la configuration de minimisation (maskAllText, blockAllMedia, maskTextSelector). Les autres stipulations restent inchangées. - v1.2 — 21 mai 2026 : harmonisation de la datation avec l'édition v1.2 du pack juridique post-immatriculation NEXUS 1993. Aucune modification de fond des stipulations relatives aux traceurs.
- v1.1 — 2 juin 2026 : actualisation de l'en-tête de version, sans modification au fond des stipulations matérielles.
- v1.0 — 20 mai 2026 : version initiale.