RGPD : intérêt des CMP (Consent Management Platform) et de TCF

Cet article fait partie de mon dossier sur la gestion du consentement des cookies. Voici la liste des articles :

• Les nouvelles directives cookies 2021
• L'intérêt des CMP et de TCF (article que vous consultez)
• Consentement pour Google Analytics et autres outils
• Les CMP ayant participé à ce dossier (ordre alphabétique) :
  • Axeptio
  • ConsentManager
  • SFBX
  • Sirdata
• Suite à la publication initiale du dossier, Didomi a également fourni ses réponses (alors que celles des autres CMP avaient été publiées). Il était prévu que Didomi fasse partie du dossier dès le début, mais ça ne fut finalement pas possible.

Ne ratez pas également ma liste des alternatives à Google Analytics exemptées de consentement ou n'utilisant pas de cookies

Qu'est-ce qu'une CMP ?

Une CMP (Consent Management Platform) est comme son nom l'indique une plateforme de gestion du consentement. Elle permet à l'éditeur d'un site de recueillir le consentement des utilisateurs pour ensuite conditionner certaines fonctionnalités (publicité, tracking, etc.) à l'acceptation par l'internaute.

On trouve parfois l'appellation Plateforme de Gestion du Consentement (PGC)

Liste des principales CMP

L'IAB Europe propose une liste officielle des CMP compatibles TCF V2. Il convient de regarder les CMP dites de "Service". Certaines CMP sont payantes (c'est le cas ici d'Axeptio, ConsentManager, Didomi et SFBX), d'autres sont offertes en contrepartie de données par exemple, comme certaines solutions d'Analytics bien connues (c'est le cas de Sirdata).

Parmi les autres CMP connues en France, citons Quantcast, Commanders Act, SourcePoint Technologie ou OneTrust (liste non exhaustive).

Pour rappel, IAB = Interactive Advertising Bureau. L'IAB France est une association dont la mission est de représenter les acteurs de la publicité digitale auprès de son écosystème et d'accompagner le développement d'une économie de la publicité digitale vertueuse et génératrice de valeur pour toutes les parties prenantes.

Faut-il utiliser une CMP ou un simple bandeau de consentement des cookies ?

Question :

Est-on obligé d'utiliser une CMP ou peut-on développer nous-mêmes un script, ou utiliser un truc simple comme tarteaucitron ?

SFBX :

Non, vous n’êtes pas obligés d’utiliser une CMP. Cependant, le développement d'une solution de consentement n'est pas une tâche simple et nécessite une équipe de développement aux compétences avancées et variées en JavaScript, en lecture/écriture de cookies et autres traceurs, une solide connaissance des différences entre les navigateurs, notamment en ce qui concerne les paramètres de sécurité par défaut et le rendu UX responsive.

Vous devez également en interne avoir des compétences juridiques afin de respecter toutes les obligations liées au RGPD : durée de conservation et d’utilisation du consentement, preuve, exercice des droits des visiteurs, etc… Une CMP peut vous apporter une solution clé en mains répondant à toutes ces problématiques et vous apporter leur expertise.

Vous pouvez utiliser des solutions simples comme tarteaucitron, veillez cependant à définir au préalable vos besoins en termes de conformité sur ce périmètre afin de choisir une CMP qui répondra à vos exigences tant de marché que de conformité. Le but étant que vous soyez en conformité tout en maintenant un taux de consentement assez fort pour que vous puissiez maintenir vos revenus et votre business.

Sirdata :

Si vous êtes un site de service public ou équivalent, fonctionnant en cycle fermé et qui ne dépend pas de la collaboration avec l'écosystème publicitaire, l'exercice est tout à fait possible. Dans le cas contraire et si vous êtes seul cela ne sera probablement pas suffisant car de nombreux traitements vous échapperont et il vous manquera différents volets comme le juridique par exemple. Un logiciel seul, même avec un manuel, n'est pas une garantie de conformité et seule votre responsabilité est engagée : les CGV de tarteaucitron.js par exemple, indique que "le Client s'engage à utiliser le service tarteaucitron.js à ses risques et sous sa seule responsabilité." tandis que chez Sirdata nous vous accompagnerons en cas de contrôle par exemple.

Aucune obligation donc, mais il est plutôt recommandé aux éditeurs ne se faisant pas accompagner par un avocat ou un juriste de se tourner vers une CMP compatible TCF.

Didomi :

Aucun éditeur n'est obligé d'utiliser une CMP, ça n'est ni une exigence réglementaire ni une nécessité technique. Un bandeau de consentement "fait maison" ou open source peut suffire, mais il faut pouvoir s'assurer de sa conformité, de sa mise à jour régulière et pouvoir se passer d'un service d'accompagnement en cas de questions (implémentation, mise à jour face à la réglementation, débugage…).

Axeptio :

La CMP n'est pas obligatoire. En revanche, c'est un choix plus judicieux pour plusieurs raisons :

• Ce chantier surcharge votre roadmap : Vos développeurs sont déjà énormément sollicités par les différents services de votre société. Vous priorisez alors naturellement les développements ayant un impact immédiat sur votre business.
• Le tiers de confiance : un argument de com’ : Dans la même veine que les avis certifiés, la plupart des marques mettent de côté les fonctionnalités natives de leur outil eCommerce pour privilégier des solutions comme TrustPilot ou TrustedShop. La raison est simple : il s’agit là de garantir l’authenticité et la traçabilité des opinions clients. Pour vos consentements, c’est la même logique.
• La validation juridique, un surcoût à ne pas négliger : Notre avocat vous le confiait dans un précédent post : Le RGPD est un véritable tsunami juridique. Par ailleurs, on trouve sur internet des informations complètement erronées participant activement au flou actuel sur le sujet. En vous engouffrant seul dans l’adaptation de vos outils internes, vous risquez de passer à côté de l’essentiel. Seul un avocat peut vous aider à identifier ce que vous devez faire … Là encore, c’est un nouveau devis que vous trouverez sur votre bureau venant ainsi s’ajouter aux jours de développements nécessaires.

Pour le reste, Tarteaucitron est une CMP.

ConsentManager :

Une solution simple ou "maison" pourrait suffire pour un site dont les cookies et fournisseurs de cookies sont peu nombreux et changent rarement, qui n'affiche pas de pub, si vous aimez développer et si vous n'avez pas besoin de reporting, optimisation du taux d'acceptation et du taux de rebond, détection automatique des nouveaux cookies/fournisseurs, et autres fonctionnalités offertes par les CMP professionnelles.

Utiliser une CMP suffit-il ?

Question :

Une CMP est-elle suffisante pour se mettre en conformité avec la règlementation en vigueur ?

Sirdata :

Non, la simple utilisation d'une CMP, quelle qu'elle soit, ne permet pas d'être en conformité avec la réglementation en vigueur. Il faut également au minimum conditionner les tags impliquant des traceurs pour attendre le consentement des utilisateurs, et garantir à ces derniers le droit de pouvoir retirer leur consentement. Nous vous donnons les outils pour le faire simplement et vous accompagnons, mais nous ne pouvons pas le faire pour vous.

Didomi :

Non, une CMP ne suffit pas, parce que c'est l'implémentation conforme de la CMP qui compte dans la mise en conformité. Avec une CMP, c'est beaucoup plus simple, car on a un outil et un accompagnement qui facilitent la mise en conformité. Mais simplement signer un contrat avec une entreprise proposant une CMP ne suffit évidemment pas, puisque si l'implémentation est non-conforme (par exemple, sans possibilité de refuser ou de continuer sans accepter au premier niveau) cela ne protègera en aucun cas l'éditeur.

Axeptio :

Avec la directive sur les cookies, OUI. En revanche, le RGPD est beaucoup plus vaste. Pour un site internet, il faut :

• Sécuriser la transmissions des données (HTTPS/SSL)
• Mettre en place une politique de confidentialité
• Revoir éventuellement ses CGU
• Revoir ses formulaires (Privacy by Design)
• Mettre en place un consentement sur l'ensemble des canaux (newsletter, demande de rappel, …)

ConsentManager :

Non, il faut aussi paramétrer le CMP correctement et avoir des mentions légales et une politique de confidentialité.

SFBX :

Non une CMP seule ne vous permettra pas de vous assurer une totale conformité à la réglementation en vigueur. La CMP vous permettra de recueillir les consentements en toute conformité sur vos canaux digitaux pour les traceurs, de les stocker et de les prouver. Elle ne couvre pas la totalité du périmètre du RGPD comme par exemple la conformité des politiques de confidentialité ou l’utilisation des données conformément aux choix de l’utilisateur.

Comment ajouter une CMP sur un site ?

Question :

Comment s'installe en général une CMP ? est-ce facile à installer ?

Axeptio :

Une CMP marche généralement en synergie avec un TMS (Tag Management System), la plus connue étant Google Tag Manager. En quelques minutes, la CMP peut envoyer des évènements personnalisés aux tags pour qu'ils se bloquent ou se lancent en fonction des préférences enregistrés par l'utilisateur sur le site.

ConsentManager :

Au départ ça ressemble beaucoup à Google Analytics : il faut créer son compte sur la plateforme, copier un bout de code et le coller dans ses pages web. Ce code ne change jamais. On fait tout sur la plateforme, paramétrer l'outil, consulter les rapports, etc. Dans le cas d'une CMP, il faut ensuite :

• définir les différents interrupteurs (finalités) que le visiteur va pouvoir activer ou désactiver (par exemple, fonctionnement du site, publicité personnalisée, personnalisation du contenu, outils de mesure, …), soit librement, soit en utilisant les finalités standard de l'IAB (recommandé si on affiche des publicités)
• associer chaque "fournisseur" détecté (par exemple Google Analytics), à une finalité/interrupteur
• associer chaque cookie ou domaine détecté au fournisseur correspondant
• paramétrer l'apparence des fenêtres de consentement (optionnel mais recommandé)
• et enfin la partie un peu plus technique et délicate, mais recommandée dans la plupart des cas : modifier les scripts des fournisseurs pour qu'ils ne s'exécutent pas lorsque la page s'affiche et que le CMP puisse les débloquer en cas de consentement

SFBX :

Concernant, l’installation de la CMP, tout d’abord vous devez générer dans votre interface la CMP de recueil de consentement en fonction de vos usages, finalités et partenaires. Ensuite vous intégrez le code JavaScript dans le header et le body de votre site internet ou via un SDK pour les applications mobiles. Une fois que c'est fait, tout se passe à distance et vous pouvez piloter la CMP sans jamais retoucher au code. D'une façon générale, le niveau de difficulté d’installation peut varier en fonction des CMP.

Sirdata :

Pour ce qui est de Sirdata CMP, tout a été fait pour que la procédure soit la plus simple et rapide possible pour l'éditeur. Voici les différentes étapes pour déployer Sirdata CMP sur votre/vos site(s), en moins de 10 minutes :

1. Créer un compte (1min)
2. Créer une configuration (5min max) : Tout est paramétré par défaut mais vous pouvez tout à fait faire évoluer les paramétrages graphiques (couleurs, logo, police, …) et fonctionnels (choix de la mécanique de refus en 1er écran, ajout de partenaires/vendors, …)
3. Récupérer le script (5min) de la CMP à copier-coller en dur sur vos pages (dans la section Head) ainsi que 2 mentions obligatoires à copier-coller dans votre page de vie privée. Il ne doit pas être délivré via un Tag Manager et doit être le premier script chargé sur la page.

Précision importante, en cas de compte multi-sites, vous pouvez tout à fait utiliser la même configuration sur plusieurs sites ou dupliquer une configuration puis la personnaliser aux couleurs de chacun de vos sites.

Didomi :

L'intégration d'un simple bout de code sur votre site (direct, ou dans le TMS) suffit. Le paramétrage se fait ensuite dans la "Console Didomi" à laquelle les clients ont accès.

Avant/après installation d'une CMP

Question :

Peut-on consulter une étude de cas qui montre AVANT et APRES afin que ce soit plus parlant aux noobs comme moi en la matière. Je comprends l'utilité, mais je ne vois pas concrètement comment le mettre en place et quelle(s) forme(s) (visuels, techniques…) ça doit avoir.

SFBX :

Après l’installation conforme d’une CMP, le résultat attendu est le suivant :

• Aucun traceur non exempté ne doit être lu ou écrit avant le consentement de l’utilisateur
• Un écran de consentement doit être présenté à l’utilisateur afin qu'il fasse un choix éclairé, non ambigu et univoque : en d’autre terme, il doit être informé de qui et pourquoi sa donnée va être traitée s’il donne son consentement et ça doit être aussi facile de le donner que de le retirer. Par exemple le même nombre d’action doit pouvoir conduire au refus ou à l’acceptation. La CMP doit pouvoir lui rappeler où il peut modifier ses choix. Ainsi que d’autres obligations légales.
• En cas de refus totale ou partiel, seuls les partenaires ayant encore le droit de déposer des traceurs ou de traiter la donnée personnelle devront être actif après que l’utilisateur ait validé ses choix.
• Sur votre site, un lien "Paramétrer mes cookies" ou équivalent doit être présent et visible, en général dans les premières lignes du pied de page.

Sirdata :

Vous en voyez très certainement tous les jours sans le savoir, au fil de votre navigation sur internet (si vous êtes localisé en Europe évidement, sinon il vous faudra utiliser un VPN). :enhancement-139" class="textannotation">Pour voir la CMP de Sirdata sur un site, vous pouvez vous rendre en navigation privée sur le site de WebRankInfo qui est l'un des milliers de sites équipés de Sirdata CMP. Voici également un exemple d'une CMP TCF V2 proposée par Sirdata.

Axeptio :

Consultez quelques usecases sur notre site

Qu'est-ce que le TCF ?

Question :

Qu'est-ce que le Transparency & Consent Framework de l'IAB Europe ?

SFBX :

Le Transparency & Consent Framework (TCF) de l’IAB Europe propose des règles communes pour aider les éditeurs, annonceurs et fournisseurs de technologies à se conformer au RGPD et à la directive EPannotation">rivacy. Ces règles sont à adopter lors du traitement de données à caractère personnel ou de l’accès et/ou stockage d’informations sur le terminal d’un internaute/mobinaute, tels que les cookies, les identifiants publicitaires et autres technologies de tracking.

Le TCF permet de générer des consentString qui sont directement utilisables par des centaines de partenaires, dont Google, afin de pouvoir leur fournir les choix des utilisateurs. Cela permet de fluidifier et de simplifier la configuration des CMP et d'éviter des paramétrage trop lourds de conditionnement des tags. Avec le TCF, ce sont les acteurs qui doivent s'adapter au signaux du framework, et pas l'inverse.

Sirdata :

Le Transparency and Consent Framework est une initiative de l'IAB Europe souhaitant proposer un standard aux acteurs du digital et notamment de la publicité en ligne. Ce standard est aujourd'hui massivement adopté par 2 typologies d'acteurs : les éditeurs, pour recueillir et partager le consentement et les vendors pour connaître les traitements de données qui leurs sont possibles en fonction du choix de l'utilisateur. Certaines CMP (Consent Management Platform) sont compatibles avec le TCF (aujourd'hui dans sa version 2.1), c'est notamment le cas de Sirdata CMP.

Quel intérêt pour les éditeurs de choisir une CMP TCF ? Le travail à fournir en est grandement simplifié, plutôt que d'échanger avec chacun de vos partenaires sur comment leur fournir un signal de consentement et sur quelles activités et quelles bases légales, vous pouvez utiliser le standard du TCF (massivement adopté en Europe) et ainsi whitelister vos partenaires ("Vendors") pour afficher automatiquement la CMP avec la configuration adaptée à leurs besoins et finalités. La CMP, une fois déployée sur votre site, est totalement autonome pour la collecte et le partage des consentements en fonction des choix des utilisateurs. Concrètement, un signal de consentement lisible par tous est rendu disponible (TCString sur Cookie EU.Consent).

Conclusion : Choisir une CMP TCF vous facilitera la vie car il s'agit d'un standard massivement adopté par les acteurs du digital dont Google) !

Didomi :

Le TCF (v1) a été créé par l'IAB Europe dans le but d’aider les acteurs de la publicité en ligne à se conformer au RGPD. Bien que remplissant cet objectif, la première version du TCF présentait un certain nombre de lacunes, ne donnant pas un contrôle suffisant aux éditeurs sur la manière dont les informations de leurs utilisateurs pouvaient être utilisées par des tiers.

En outre, cette première version ne permettait pas de traiter correctement l’intérêt légitime comme base légale. De plus, certains grands acteurs de la publicité en ligne, tels que Google, n’ont pas adopté la première version du TCF, créant un attentisme chez certains acteurs.

Enfin, la mise en œuvre du cadre au sein des plateformes de gestion du consentement (CMPs) était moins stricte, posant davantage de problèmes de conformité. Tirant les leçons de cette expérience, l’IAB a publié l’an dernier une nouvelle version du Transparency and Consent Framework, TCF v2, afin de résoudre ces problèmes et inciter les éditeurs et les partenaires à l’adopter.

Axeptio :

Le TCF, ou transparency consent framework, est un standard mis sur pied par l'industrie publicitaire, à l'initiative de l'IAB Europe et de l'IAB Tech Lab, pour permettre à un éditeur équipé d'une CMP de transmettre à l'ensemble de ses partenaires les finalités (publicité ciblée, personnalisation du contenu, mesure analytics…) pour lesquelles il a obtenu le consentement de l'utilisateur.

ConsentManager :

Le TCF de l'IAB Europe est une traduction du RGPD en termes techniques, une spécification pour implémenter le RGPD. C'est le standard de l'industrie.

La CMP doit-elle obligatoirement être compatible TCF ?

Question :

Est-ce obligatoire d'utiliser TCF ? Pourquoi choisir une solution qui lui est compatible ?

Sirdata :

Non, le TCF n'est absolument pas obligatoire, en revanche, il a de nombreux avantages : intégration simple et rapide, outil d'aide à la mise en conformité, monétisation simplifiée et optimisée, etc. Si vous savez dire pour chacun de vos partenaires si vous êtes responsable conjointement ou individuellement des traitements, ou encore qui est sous-traitant ou simple destinataire, et avez bien référencé toutes leurs pages de vie privée, vous n'avez pas besoin d'adopter une CMP compatible TCF. Dans le cas contraire, nous vous recommandons de vous simplifier la vie :)

Didomi :

Non, il n'est pas obligatoire d'y adhérer. C'est un cadre non contraignant qui a été conçu par l'IAB Europe et qui s'adresse à tout éditeur qui souhaite faciliter la collecte, la transmission et l'utilisation du consentement. Selon Didomi, il y a plusieurs raisons pour lesquelles il est utile d’adopter du TCF v2 :

• Un cadre établi par l’industrie pour l’industrie : presque toute l'industrie digitale européenne l'utilise, c'est un standard commun qui facilite la gestion du consentement
• Plus de contrôle pour les éditeurs : au-delà de la simplification mentionnée ci-dessus, le TCF leur permet de créer différentes règles et de poser des limitations concernant le traitement de ces données
• La prise en compte de l’intérêt légitime : Les éditeurs peuvent utiliser l’intérêt légitime comme base juridique pour collecter et traiter des données - et les utilisateurs peuvent évidemment s'y opposer
• Une conformité facilitée par votre CMP : L’IAB a conçu des spécifications techniques en open source uniformisant la collecte et la transmission du consentement afin de rendre l’information disponible tout au long de la chaîne

Axeptio :

Non ce n'est pas obligatoire. Chez Axeptio, nous sommes d'ailleurs contre cette méthode qui consiste à afficher une liste de 1500 partenaires publicitaires à l'utilisateur alors qu'en réalité, seules 2 à 3 régies maximum sont réellement utilisées.

ConsentManager :

L'avantage de ce standard est de permettre à tous les acteurs de communiquer entre eux plus facilement et donc de travailler ensemble plus facilement. Il est particulièrement conseillé de mettre en place une CMP compatible avec le TCF IAB V2 si votre site génère des revenus publicitaires.

SFBX :

L’utilisation du TCF n'est pas obligatoire. Cependant, si vous souhaitez partager ou distribuer à vos partenaires les données à caractère personnel de vos visiteurs, le fait d’utiliser une norme commune via le TCF facilitera ces échanges et leurs utilisations/monétisations. Le TCF a été principalement conçu pour les éditeurs d'un site web, d'une application ou d'un autre contenu où des publicités numériques sont affichées ou des informations sur les utilisateurs sont collectées et utilisées pour la publicité numérique, la mesure et l'analyse, ou la personnalisation du contenu.

Ces éditeurs en lisant et suivant ce framework, plus précisément celui relatif à l'interface utilisateur, assurent une présentation commune de la finalité et de la base juridique pour lesquelles les partenaires (vendors) avec lesquels ils souhaitent travailler peuvent traiter des données personnelles sur la base de la visite d'un utilisateur sur le site Web, l'application ou tout autre contenu de l'éditeur.

Les éditeurs qui suivent le TCF peuvent :

• Sélectionner et contrôler les partenaires (vendors) avec lesquels ils souhaitent travailler ;
• Fournir aux utilisateurs une transparence sur les partenaires sélectionnés par l'éditeur, et les finalités pour lesquels ils traitent les données ;
• Demander et obtenir le consentement éclairé pour traiter les données, ou établir d'autres bases légales pour traiter les données ;
• Transmettre de manière transparente les informations relatives aux choix des utilisateurs à vos partenaires et/ou à l'écosystème ;
• Maintenir en toute conformité l'utilisation des données pour mesurer l'efficacité des campagnes et l'utilisation de la publicité contextuelle qui nécessite l'accès aux appareils des utilisateurs.

Monétiser l'audience même SANS consentement

Question :

Comment monétiser l'audience qui ne donne pas son consentement ?

Didomi :

Nous avons fait un webinar à ce sujet, en anglais. Nous y avons donné 3 solutions avancées (un peu techniques) mais il existe aussi des solutions plus simples, à savoir :

• vendre son inventaire publicitaire directement aux annonceurs sans collecte de données personnelles (mais sur la base du contexte par exemple),
• privilégier la souscription par abonnement,
• générer du revenu différemment qu'en faisant de la publicité (grâce à des dossiers spéciaux sponsorisés, de l'affiliation ou des événements).

Axeptio :

Les régies réfléchissent à de nouveaux systèmes face à la prochaine suppression des cookies tiers à commencer par Google qui a annoncé la sortie en Béta de son projet FLOC.

ConsentManager :

La publicité non ciblée ne rapporte pas grand chose... Pas de retargeting (type Critéo), pas de localisation, etc. A priori, aucune donnée ne peut être utilisée pour cibler la pub. Pour savoir si certaines données peuvent exceptionnellement être utilisées sans consentement il faudra faire un "LIA" (Legitimate Interest Assessment) qui aboutira le plus souvent à la réponse que c'est interdit.

SFBX :

Vous devez vous rapprocher de votre régie, si vous en avez une, qui pourra vous conseiller. De nombreuses solutions contextuelles sont en train de voir le jour comme Limited Ads de Google par exemple. Nous préparons une solution innovante, actuellement en phase de beta, qui sortira publiquement au cours du deuxième semestre 2021.

Sirdata :

C'est une excellente question : sûrement l'un des points les plus importants.

La CMP n'est pas simplement un outil de mise en conformité. Si vous voyez cette technologie uniquement sous ce prisme, vous risquez d'être déçus très rapidement car vous ne considérerez que la mesure du taux de consentement que la CMP payante que vous aurez choisie vous procurera, et ne pourrez que déplorer sa diminution dans le temps.

Chez Sirdata, nous sommes dans le même bateau que nos éditeurs : nous ne facturons pas la CMP et avons besoin du meilleur taux de consentement possible pour financer notre service en déposant des cookies lorsque l'utilisateur y a donné son consentement. Mais pas question de tricher pour ça ! Nous avons au contraire énormément investi pour rendre possible la publicité non basée sur le consentement, y compris personnalisée, grâce à l'analyse contextuelle de la page par exemple lorsque l'utilisateur clique sur le fatal "Continuer sans accepter"…

La CMP de Sirdata n'est donc pas seulement une solution d'aide à la mise en conformité RGPD, ePrivacy et aux directives de la CNIL, c'est aussi un outil qui va constituer le premier bloc de votre stratégie digitale de (re)monétisation.

En effet, vous bénéficierez de notre double casquette d'experts en Vie Privée et de Data Provider pour monétiser mieux et plus lorsque l'utilisateur consent, et monétiser quand même et plus lorsque l'utilisateur refuse les cookies, grâce à nos données de ciblage et à notre API contextuelle.

Pourquoi les tiers ne font-ils pas leur boulot ?

Question :

Pourquoi les tiers ne conditionnent-ils pas eux-mêmes leurs scripts (au consentement) ?

ConsentManager :

Pour cela, il faudrait :

• que votre page appelle le script, donc fasse une requête au serveur du tiers qui va lui communiquer des données personnelles du visiteur
• que ce script s'exécute, ce qui est déjà un traitement par un tiers (sans accord du visiteur)
• que ce script sache s'il y a eu un consentement ou pas (paramètre consentstring à prévoir)

Tout ça pour trouver que le visiteur n'a pas donné son consentement et que le script ne doit pas s'exécuter. Ce serait non seulement pas conforme mais aussi coûteux en requêtes inutiles.

Ou alors il faudrait que le script lui-même, ou le navigateur, demande à l'utilisateur son consentement, comme c'est fait par exemple pour la localisation ou les notifications, mais pour les cookies et traitements tiers ce serait trop fastidieux pour l'utilisateur, il peut y en avoir plusieurs dizaines sur une page.

SFBX :

Le TCF permet d’avoir une brique commune qui sert à limiter les paramétrages entre tiers sans nécessité de compétences techniques spécifiques. C’est toute la raison de la création du TCF. La possibilité de reposer sur un signal normé du consentement positif ou négatif afin que chaque tiers/partenaires puissent lire ce signal sans avoir à créer son propre framework de consentement.

Le TCF impose aussi le respect d'un cadre juridique qui permet de sécuriser le recueil du consentement. Sans ça, chaque partenaire devrait auditer chaque site ou application sur lequel il serait susceptible de déposer ou d'utiliser des traceurs, ce qui dans l’industrie du marketing digital serais virtuellement impossible.

Grace à ce socle commun, les tags des tiers qui sont enregistrés au TCF se conditionnent donc bien d'eux-même sans intervention de votre part.

Sirdata :

C'est une excellente question. Malheureusement la jurisprudence Européenne est claire sur ce point, en particulier depuis l'Arrêt Fashion ID, et suit la jurisprudence Française et la logique du Conseil d'Etat dans l'Arrêt Croque futur : c'est l'éditeur qui déclenche tout en insérant le script. Lorsque ce dernier est exécuté les cookies existants sont envoyés automatiquement aux tiers et l'infraction est caractérisée avant même que les serveurs de ce dernier aient reçu l'appel.

Une alternative dont Sirdata est pionnière existe et consiste à utiliser un premier domaine sans cookie pour rediriger vers un domaine utilisant des cookies en cas de consentement. Ces Smart tags son encore rares mais ouvrent une voie nouvelle qui pourrait à terme faire baisser sensiblement voir quasi complètement la responsabilité de l'éditeur. D'autres acteurs comme Google ont adopté ce fonctionnement depuis, dans le cadre du TCF de l'IAB Europe, donc tout est envisageable.

Didomi :

Beaucoup le font, notamment dans le cadre du TCF et grâce aux "chaînes de consentement" (consent strings). Je pense que la raison pour laquelle ça n'est pas le cas est que, dans de nombreux pays, ça n'est pas obligatoire de le faire.

Axeptio :

Parce que ce n'est tout simplement pas dans leur intérêt. Aussi, en terme d'expérience utilisateur, ça serait vraiment catastrophique.

Autres outils et plugins de consentement

Question :

Peut-on lister les meilleures extensions WP pour gérer les cookies avec ces nouvelles règles 2021 ? Par exemple, que pensez-vous de Complianz ? Ce plugin est-il suffisant ? il semble très bien noté.

Sirdata :

Sirdata ne peut pas vous répondre à la place de Complianz. Il faudrait les contacter directement ou lire leurs CGV par exemple. Nous pouvons vous dire qu'en règle générale il est impossible qu'un outil, quel qu'il soit, utilisé seul, soit suffisant pour prétendre à une conformité complète. Un conseil d'ordre général : en cas de doute, ou si vous n'avez pas la certitude que l'outil permet d'être conforme, écrivez et demandez quelle est la procédure en cas de contrôle.

Axeptio :

Jamais testé. Mais forcément, je vais citer Axeptio qui peut facilement être intégrée dans WordPress.

ConsentManager :

Ce plugin ne semble pas du tout conforme, ni au RGPD, ni au PIPEDA canadien, contrairement à ce qu'il affirme. Sur leur propre site complianz.io, il manque beaucoup d'informations dans la fenêtre de consentement : coordonnées des fournisseurs, descriptions des finalités de traitement, etc. Ils utilisent des procédés considérés comme déloyaux et ils créent même des cookies (Google Analytics) sans consentement.

Outil pour tester les cookies d'un site

Question :

Existe-t-il un outil qui aide à vérifier que l'on est dans les clous ? Genre un crawler, une extension du navigateur, ou autre outil qui recense tous les cookies lors d'une navigation et qui les confronte à une liste de cookies dont on est sûr que l'on a déclarés.

Sirdata :

Chez Sirdata, nous réalisons des audits personnalisés, basés sur l'analyse d'une trentaine de points de contrôle, pour fournir des indices sur 100 pour le RGPD et pour ePrivacy ainsi que des scores sur 100 pour chaque caractère du consentement (éclairé, libre, spécifique et univoque). Cet audit permet également de connaitre le cadre légal associé à chaque point de contrôle ainsi qu'une liste des points positifs et des axes d'amélioration.

En ce qui concerne la question spécifique des cookies nous recommandons d'utiliser l'outil qu'a développé la CNIL et qu'elle utilise elle-même pour ses contrôles : Cookieviz. Il s'agit vulgairement d'un navigateur modifié qui log et vous indique les cookies potentiellement problématiques. C'est la méthode la plus sûre, et toute autre technique (crawler par exemple) peut aider mais peut passer à côté de certains éléments vitaux.

Didomi :

Voici quelques exemples (à retrouver dans la FAQ de cette page) :

• Blacklight est un “inspecteur de vie privée” automatique et gratuit, il suffit d’entrer l’URL de n’importe quel site
• Ghostery est une extension Chrome et Firefox vous permettant d’identifier quels traceurs utilisent les sites sur lesquels vous naviguez
• Didomi propose un “rapport de conformité” de vos sites web, mais celui-ci n’est accessible que via une demande de démo (gratuite)
• Cookieviz est un outil de la CNIL qui intègre des fonctionnalités d’analyses avancées des sites, le support multilingue ainsi que des options pour prédéfinir des parcours de visites.

Axeptio :

Oui. Pour ma part, j'utilise BuiltWith.

ConsentManager :

Oui, il en existe plusieurs. La CNIL en a développé un en open source. Vous pouvez aussi utiliser gratuitement celui de ConsentManager. La colonne "test A" indique les cookies créés lorsque le visiteur accepte tout et la colonne "test B" les cookies créés sans consentement (normalement aucun, sauf cookies strictement obligatoires dispensés de consentement RGPD).

SFBX :

Notre solution AppConsent contient un module qui vous permet de recenser les cookies ou autres traceurs sur votre site internet ou application et de les écarter de la liste des partenaires, si vous ne souhaitez pas leur partager de données à caractère personnel de vos utilisateurs.

Il existe également des solutions qui peuvent vous permettre de recenser les cookies lors d’une navigation et de vous donner leur caractéristiques en fonction de vos critères et vos besoins dont Cookieviz de la CNIL ou Agnostik.