CMP cookies TCF
Portrait Olivier Duffez

Olivier Duffez

Créateur de WebRankInfo,
consultant en référencement

RGPD : intérêt des CMP (Consent Management Platform) et de TCF

Pour tout savoir sur les CMP (Consent Management Platform) pour gérer le consentement aux cookies : définition, intérêt, cela suffit-il pour la CNIL et le RGPD ? Et TCF ?

Cet article fait partie de mon dossier sur la gestion du consentement des cookies. Voici la liste des articles :

Si vous avez des questions sur cette partie (les CMP), posez-les dans cette discussion du forum : Questions-réponses sur les Consent Management Platform (CMP).

Qu’est-ce qu’une CMP ?

Une CMP (Consent Management Platform) est comme son nom l’indique une plateforme de gestion du consentement. Elle permet à l’éditeur d’un site de recueillir le consentement des utilisateurs pour ensuite conditionner certaines fonctionnalités (publicité, tracking, etc.) à l’acceptation par l’internaute.

On trouve parfois l’appellation Plateforme de Gestion du Consentement (PGC)

Liste des principales CMP

L’IAB Europe propose une liste officielle des CMP compatibles TCF V2. Il convient de regarder les CMP dites de « Service ». Certaines CMP sont payantes (c’est le cas ici d’Axeptio, ConsentManager, Didomi et SFBX), d’autres sont offertes en contrepartie de données par exemple, comme certaines solutions d’Analytics bien connues (c’est le cas de Sirdata).

Parmi les autres CMP connues en France, citons Quantcast, Commanders Act, SourcePoint Technologie ou OneTrust (liste non exhaustive).

Pour rappel, IAB = Interactive Advertising Bureau. L’IAB France est une association dont la mission est de représenter les acteurs de la publicité digitale auprès de son écosystème et d’accompagner le développement d’une économie de la publicité digitale vertueuse et génératrice de valeur pour toutes les parties prenantes.

Faut-il utiliser une CMP ou un simple bandeau de consentement des cookies ?

Question :

Est-on obligé d’utiliser une CMP ou peut-on développer nous-mêmes un script, ou utiliser un truc simple comme tarteaucitron ?

SFBX :

Non, vous n’êtes pas obligés d’utiliser une CMP. Cependant, le développement d’une solution de consentement n’est pas une tâche simple et nécessite une équipe de développement aux compétences avancées et variées en JavaScript, en lecture/écriture de cookies et autres traceurs, une solide connaissance des différences entre les navigateurs, notamment en ce qui concerne les paramètres de sécurité par défaut et le rendu UX responsive.

Vous devez également en interne avoir des compétences juridiques afin de respecter toutes les obligations liées au RGPD : durée de conservation et d’utilisation du consentement, preuve, exercice des droits des visiteurs, etc… Une CMP peut vous apporter une solution clé en mains répondant à toutes ces problématiques et vous apporter leur expertise.

Vous pouvez utiliser des solutions simples comme tarteaucitron, veillez cependant à définir au préalable vos besoins en termes de conformité sur ce périmètre afin de choisir une CMP qui répondra à vos exigences tant de marché que de conformité. Le but étant que vous soyez en conformité tout en maintenant un taux de consentement assez fort pour que vous puissiez maintenir vos revenus et votre business.

Sirdata :

Si vous êtes un site de service public ou équivalent, fonctionnant en cycle fermé et qui ne dépend pas de la collaboration avec l’écosystème publicitaire, l’exercice est tout à fait possible. Dans le cas contraire et si vous êtes seul cela ne sera probablement pas suffisant car de nombreux traitements vous échapperont et il vous manquera différents volets comme le juridique par exemple. Un logiciel seul, même avec un manuel, n’est pas une garantie de conformité et seule votre responsabilité est engagée : les CGV de tarteaucitron.js par exemple, indique que « le Client s’engage à utiliser le service tarteaucitron.js à ses risques et sous sa seule responsabilité. » tandis que chez Sirdata nous vous accompagnerons en cas de contrôle par exemple.

Aucune obligation donc, mais il est plutôt recommandé aux éditeurs ne se faisant pas accompagner par un avocat ou un juriste de se tourner vers une CMP compatible TCF.

Didomi :

Aucun éditeur n’est obligé d’utiliser une CMP, ça n’est ni une exigence réglementaire ni une nécessité technique. Un bandeau de consentement « fait maison » ou open source peut suffire, mais il faut pouvoir s’assurer de sa conformité, de sa mise à jour régulière et pouvoir se passer d’un service d’accompagnement en cas de questions (implémentation, mise à jour face à la réglementation, débugage…).

Axeptio :

La CMP n’est pas obligatoire. En revanche, c’est un choix plus judicieux pour plusieurs raisons :

  • Ce chantier surcharge votre roadmap : Vos développeurs sont déjà énormément sollicités par les différents services de votre société. Vous priorisez alors naturellement les développements ayant un impact immédiat sur votre business.
  • Le tiers de confiance : un argument de com’ : Dans la même veine que les avis certifiés, la plupart des marques mettent de côté les fonctionnalités natives de leur outil eCommerce pour privilégier des solutions comme TrustPilot ou TrustedShop. La raison est simple : il s’agit là de garantir l’authenticité et la traçabilité des opinions clients. Pour vos consentements, c’est la même logique.
  • La validation juridique, un surcoût à ne pas négliger : Notre avocat vous le confiait dans un précédent post : Le RGPD est un véritable tsunami juridique. Par ailleurs, on trouve sur internet des informations complètement erronées participant activement au flou actuel sur le sujet. En vous engouffrant seul dans l’adaptation de vos outils internes, vous risquez de passer à côté de l’essentiel. Seul un avocat peut vous aider à identifier ce que vous devez faire … Là encore, c’est un nouveau devis que vous trouverez sur votre bureau venant ainsi s’ajouter aux jours de développements nécessaires.

Pour le reste, Tarteaucitron est une CMP.

ConsentManager :

Une solution simple ou « maison » pourrait suffire pour un site dont les cookies et fournisseurs de cookies sont peu nombreux et changent rarement, qui n’affiche pas de pub, si vous aimez développer et si vous n’avez pas besoin de reporting, optimisation du taux d’acceptation et du taux de rebond, détection automatique des nouveaux cookies/fournisseurs, et autres fonctionnalités offertes par les CMP professionnelles.

Si vous avez des questions sur cette partie (les CMP), posez-les dans cette discussion du forum : Questions-réponses sur les Consent Management Platform (CMP).

Utiliser une CMP suffit-il ?

Question :

Une CMP est-elle suffisante pour se mettre en conformité avec la règlementation en vigueur ?

Sirdata :

Non, la simple utilisation d’une CMP, quelle qu’elle soit, ne permet pas d’être en conformité avec la réglementation en vigueur. Il faut également au minimum conditionner les tags impliquant des traceurs pour attendre le consentement des utilisateurs, et garantir à ces derniers le droit de pouvoir retirer leur consentement. Nous vous donnons les outils pour le faire simplement et vous accompagnons, mais nous ne pouvons pas le faire pour vous.

Didomi :

Non, une CMP ne suffit pas, parce que c’est l’implémentation conforme de la CMP qui compte dans la mise en conformité. Avec une CMP, c’est beaucoup plus simple, car on a un outil et un accompagnement qui facilitent la mise en conformité. Mais simplement signer un contrat avec une entreprise proposant une CMP ne suffit évidemment pas, puisque si l’implémentation est non-conforme (par exemple, sans possibilité de refuser ou de continuer sans accepter au premier niveau) cela ne protègera en aucun cas l’éditeur.

Axeptio :

Avec la directive sur les cookies, OUI. En revanche, le RGPD est beaucoup plus vaste. Pour un site internet, il faut :

  • Sécuriser la transmissions des données (HTTPS/SSL)
  • Mettre en place une politique de confidentialité
  • Revoir éventuellement ses CGU
  • Revoir ses formulaires (Privacy by Design)
  • Mettre en place un consentement sur l’ensemble des canaux (newsletter, demande de rappel, …)

ConsentManager :

Non, il faut aussi paramétrer le CMP correctement et avoir des mentions légales et une politique de confidentialité.

SFBX :

Non une CMP seule ne vous permettra pas de vous assurer une totale conformité à la réglementation en vigueur. La CMP vous permettra de recueillir les consentements en toute conformité sur vos canaux digitaux pour les traceurs, de les stocker et de les prouver. Elle ne couvre pas la totalité du périmètre du RGPD comme par exemple la conformité des politiques de confidentialité ou l’utilisation des données conformément aux choix de l’utilisateur.

Comment ajouter une CMP sur un site ?

Question :

Comment s’installe en général une CMP ? est-ce facile à installer ?

Axeptio :

Une CMP marche généralement en synergie avec un TMS (Tag Management System), la plus connue étant Google Tag Manager. En quelques minutes, la CMP peut envoyer des évènements personnalisés aux tags pour qu’ils se bloquent ou se lancent en fonction des préférences enregistrés par l’utilisateur sur le site.

ConsentManager :

Au départ ça ressemble beaucoup à Google Analytics : il faut créer son compte sur la plateforme, copier un bout de code et le coller dans ses pages web. Ce code ne change jamais. On fait tout sur la plateforme, paramétrer l’outil, consulter les rapports, etc. Dans le cas d’une CMP, il faut ensuite :

  • définir les différents interrupteurs (finalités) que le visiteur va pouvoir activer ou désactiver (par exemple, fonctionnement du site, publicité personnalisée, personnalisation du contenu, outils de mesure, …), soit librement, soit en utilisant les finalités standard de l’IAB (recommandé si on affiche des publicités)
  • associer chaque « fournisseur » détecté (par exemple Google Analytics), à une finalité/interrupteur
  • associer chaque cookie ou domaine détecté au fournisseur correspondant
  • paramétrer l’apparence des fenêtres de consentement (optionnel mais recommandé)
  • et enfin la partie un peu plus technique et délicate, mais recommandée dans la plupart des cas : modifier les scripts des fournisseurs pour qu’ils ne s’exécutent pas lorsque la page s’affiche et que le CMP puisse les débloquer en cas de consentement

SFBX :

Concernant, l’installation de la CMP, tout d’abord vous devez générer dans nncement-109″ class= »textannotation »>otre interface la CMP de recueil de consentement en fonction de vos usages, finalités et partenaires. Ensuite vous intégrez le code Questions-réponses sur les Consent Management Platform (CMP).