Avec les législations comme le RGPD, la Loi Cookies et le CCPA, les plateformes de gestion du consentement (CMP) sont devenues indispensables pour les entreprises opérant dans l’UE et aux États-Unis, notamment les éditeurs. Ce guide explique en détail ce qu’est une plateforme de gestion du consentement, pourquoi les éditeurs en ont besoin, et comment activer le Cadre de transparence et de consentement dans notre outil Privacy Controls and Cookie Solution.
CMP est l’acronyme de Consent Management Platform (Plateforme de gestion du consentement) ou, plus rarement, de Consent Management Provider (Fournisseur de gestion du consentement). Les CMP sont également chargées de transmettre le consentement de l’utilisateur au sein du Cadre de transparence et de consentement (TCF) . À ce titre, ils doivent donc être enregistrés et respecter les normes et les politiques du TCF.
En d’autres termes, une CMP vous aide à respecter l’obligation de transparence vis-à-vis de vos utilisateurs concernant l’accès et le stockage de leurs informations personnelles (au moyen de cookies et d’autres traqueurs), conformément aux principales législations relatives à la protection des données (RGPD, directive ePrivacy, CCPA, etc.).
Plus précisément, les CMP vous aident à collecter, à conserver et à utiliser les préférences utilisateurs en matière de collecte et de traitement de leurs informations personnelles à des fins spécifiques (comme les analyses, la publicité et les stratégies de reciblage).
En tant que CMP agréée, iubenda vous permet de gérer les préférences de consentement conformément à la directive ePrivacy, au RGPD et au CCPA.
En résumé : oui, vous en avez probablement besoin.
A) Vous êtes soumis au RGPD, à la directive ePrivacy ou aux PECR/RGPD britanniques (vous n’en êtes pas certain ? Prenez une minute pour répondre à notre quiz et avoir la réponse), et votre site ou votre application (ou tout autre service tiers géré par votre site ou votre application) utilise des cookies et autres traqueurs pour traiter les informations personnelles.
Selon la directive ePrivacy (ainsi que les PECR, sa transposition au Royaume-Uni), vous devez informer les utilisateurs, de manière claire et bien visible, de l’utilisation par votre site ou votre application de quelque cookie ou traqueur que ce soit , et collecter leur consentement explicite avant que tout script concernant des cookies non exemptés ne soit exécuté.
Prenons le cas des éditeurs opérant en Europe. Les cookies et les traqueurs sont leur gagne-pain puisqu’ils s’en servent pour monétiser leur site ou leur application par le biais d’annonceurs tiers. Pour pouvoir utiliser des traqueurs à des fins de publicité comportementale, de remarketing ou de personnalisation des contenus, il faut obtenir le consentement éclairé de l’utilisateur avant de les installer.
D’une manière générale, un éditeur est un opérateur de site Internet ou d’application qui monétise ses contenus via des annonceurs publicitaires tiers. Par exemple, les blogs et les journaux en ligne qui affichent des publicités sur leur site ou leur application sont des éditeurs.
B) Vous êtes soumis au California Consumer Privacy Act (CCPA) (vous n’en êtes pas certain ? Prenez une minute pour répondre à notre quiz et avoir la réponse ) et vous partagez des données utilisateurs (comme l’adresse IP) avec des tiers, vous êtes légalement tenu :
Plus généralement, compte tenu de la multiplication partout dans le monde des législations relatives à la vie privée, difficile d’imaginer un site ou une application qui n’aurait pas besoin d’une plateforme de gestion du consentement.
En tant que CMP certifiée et grâce au produit Privacy Controls and Cookie Solution, nous avons rejoint le TCF et le cadre de conformité au CCPA de l’IAB Europe pour aider les éditeurs à se conformer à la loi tout en répondant aux exigences du secteur et en maximisant leurs revenus publicitaires.
Le Cadre de transparence et de consentement de l’IAB (TCF) est une initiative du secteur de la publicité numérique qui aide éditeurs, fournisseurs de technologies, agences et annonceurs à se conformer aux exigences du RGPD et de la directive ePrivacy en matière de transparence, de consentement et de choix quant au traitement de données personnelles des utilisateurs et à l’accès à des informations, ou à leur stockage, sur leurs appareils (cookies, identifiants publicitaires, identifiants de l’appareil et autres technologies de suivi).
Le TCF de l’IAB propose un processus standardisé de collecte du consentement de l’utilisateur conforme au RGPD et de transmission de ses préférences en matière de consentement à l’ensemble de la chaîne publicitaire (Pour consulter les politiques du TCF, cliquez ici).
À l’heure actuelle, les exigences posées par les deux législations britanniques, le General Data Protection Regulation (RGPD britannique) et les Privacy and Electronic Communications Regulations (PECR), sont identiques à celles posées par leurs équivalents européens (RGPD et ePrivacy). Le Cadre TCF permet donc également aux entreprises de se conformer à la législation britannique.
Le TCF fournit un système (une API JavaScript classique) qui donne aux différents acteurs de l’écosystème publicitaires un langage commun et leur permet de se transmettre entre eux les préférences des utilisateurs. Les principaux acteurs sont des éditeurs, des partenaires (des annonceurs tiers qui collectent les données des utilisateurs finaux depuis le site ou l’application de l’éditeur via des cookies ou autres traqueurs pour leur montrer des contenus), et des CMP comme iubenda.
Les éditeurs, les partenaires et les CMP qui choisissent de participer au TCF de l’IAB sont tous tenus de respecter le protocole et les politiques standard du Cadre. Les partenaires doivent également s’inscrire sur la liste globale des partenaires (GVL), une liste centralisée et en temps réel de partenaires, et y indiquer leurs finalités, la durée de stockage et d’accès maximum, et l’adresse URL de leurs politiques de confidentialité. Au sein du TCF et de la liste GVL, les finalités du traitement des données sont également standardisées. Chaque finalité, chaque partenaire a son propre identifiant. Cet identifiant partenaire unique permet à ces derniers de récupérer et d’interpréter les préférences utilisateur en matière de consentement concernant leurs services et ceux d’autres partenaires.
Les choix utilisateurs et les signaux des partenaires collectés via l’Interface utilisateur du CMP sont représentés par des valeurs binaires, compressés dans la plus petite structure de données possible (Base64), puis transmis à l’ensemble de l’écosystème de publicité en ligne par l’intermédiaire d’une connexion en chaîne (Daisy chain).
Les scripts des partenaires inscrits sur la GVL sont automatiquement bloqués tant que l’utilisateur n’a pas exprimé ses choix. Chaque partenaire peut vérifier son statut en émettant un ping vers la CMP, puis en attendant le signal retour positif pour ce numéro d’identification. Ainsi, il peut savoir s’il peut traiter les données personnelles ou non.
Bien que l’initiative soit relativement récente, le TCF 2.0 de l’IAB est en train de devenir la norme du secteur. De nombreux partenaires, dont Google, Adobe et AdRoll participent à son déploiement.
Certes, adhérer au TCF n’est pas à proprement parler obligatoire. Mais son activation offre bien des avantages, aux éditeurs comme aux utilisateurs : maximisation des revenus, collecte et transmission aisée des préférences utilisateur aux partenaires publicitaires tiers avec lesquels l’éditeur travaille, et meilleur contrôle de la manière dont les données utilisateurs sont traitées.
En choisissant d’autoriser de nombreux partenaires à accéder à cette transparence et en leur permettant d’établir une base juridique au sein du Cadre, vous réduisez la capacité des utilisateurs à faire des choix éclairés et vous augmentez les risques juridiques pour les partenaires. Cette situation pourrait amener des partenaires à refuser de travailler avec des éditeurs qui afficheraient un trop grand nombre de partenaires et pourrait ainsi affecter leurs revenus publicitaires.
L’APD belge, dans une décision relative à l’IAB Europe et au TCF, a explicitement jugé qu’appliquer la transparence à un trop grand nombre de partenaires requiert, pour l’utilisateur, un temps disproportionné pour lire ces informations et, partant, n’est pas compatible avec la condition de consentement suffisamment éclairé prévue par le RGPD.
Pour limiter le nombre de partenaires, sélectionnez « N’autoriser que les partenaires figurant dans votre politique de confidentialité et de cookies » dans les paramètres TCF du produit Privacy Controls and Cookie Solution.
Une base juridique est le fondement légal qui justifie le traitement des données personnelles. Le RGPD prévoit six bases juridiques possibles. Dans le secteur publicitaire, on utilise habituellement deux d’entre elles :
Le TCF prévoit les deux. Attention toutefois, certaines APD nationales, comme en Italie et en Belgique, ont exclu l’intérêt légitime des bases juridiques valables. Il est donc important de limiter les bases juridiques au « Consentement uniquement » si vous opérez dans ces pays (vous trouverez plus de détails sur les exigences spécifiques à chaque pays dans notre Aide-mémoire sur la conformité RGPD du consentement aux cookies).
Google est entièrement compatible avec le TCF 2.0 (et ses versions ultérieures), et est inscrit sur la liste globale des partenaires du TCF: ainsi, si vous utilisez AdSense, AdMob ou Ad Manager, vous n’avez plus besoin de paramètres de personnalisation des publicités Google séparés (vous pouvez consulter ici le communiqué de Google sur l’intégration du TCF 2.0 de l’IAB pour l’éditeur).
Qu’en est-il des partenaires qui ne font pas encore partie du TCF ?
Malgré une liste de partenaires publicitaires en augmentation permanente, certains annonceurs ne font pas encore partie du TCF. C’est le cas pour certains partenaires de Google. Pour y remédier, Google a défini une spécification technique temporaire appelée Mode Consentement supplémentaire. Elle est destinée à être utilisée en parallèle au TCF 2.0 et à servir de passerelle pour les partenaires Ad Tech de Google non encore inscrits sur la liste globale de partenaires du TCF 2.0.
📌 La CMP iubenda est pleinement compatible avec les exigences posées par Google en matière d’intégration TCF, y compris le Mode Consentement supplémentaire.
Notre gestionnaire de consentement aux cookies pour la directive ePrivacy, le RGPD et le CCPA vous permet d’afficher un bandeau cookies entièrement personnalisable, de collecter le consentement aux cookies et d’appliquer le blocage préalable.
En outre, en tant que Plateforme de gestion du consentement certifiée (nº ID 123), Privacy Controls and Cookie Solution iubenda permet aux utilisateurs de paramétrer leurs préférences en matière de publicités et est compatible avec le Cadre de transparence et de consentement RGPD de l’IAB. Cette fonctionnalité permet aux utilisateurs de configurer plus en détail leurs préférences en matière de publicité pour chaque fournisseur de services publicitaires figurant sur la liste globale des partenaires de l’IAB.
Pour activer le TCF 2.0+ dans Privacy Controls and Cookie Solution, rendez-vous sur votre tableau de bord et cliquez sur le site web ou sur l’application que vous souhaitez mettre à jour. Ensuite, cliquez sur le bouton Modifier dans l’espace Privacy Controls and Cookie Solution (si vous n’avez pas encore activé Privacy Controls and Cookie Solution, vous trouverez ici un guide de démarrage).
En outre, vous pourrez activer l’option Mode consentement supplémentaire de Google . Grâce à cette fonctionnalité, vous pouvez recueillir le consentement pour les partenaires publicitaires de Google qui ne font pas partie du Cadre de transparence et de consentement, mais qui figurent sur la liste des fournisseurs Ad Tech (ATP) de Google.
N’oubliez pas que l’activation du TCF annule les modifications apportées précédemment au texte du bandeau. Si vous aviez changé le HTML ou le texte du bandeau, faites un nouveau test avec le texte par défaut et les boutons activés.
Si vous voulez modifier le HTML, vous devez le faire à partir de notre texte par défaut en incluant le code % {banner_content}
dans l’input, un élément avec l’attribut class=" iubenda-cs-accept-btn"
et un autre élément class=" iubenda-cs-customize-btn"
.
Après avoir activé le TCF, vous ne pourrez modifier le texte du bandeau cookies que sur demande. Pour ce faire, vérifiez que vous respectez bien les exigences de l’IAB puis contactez-nous par le chat ou par e-mail pour faire approuver vos modifications.
Une fois le TCF activé, votre code d’intégration Privacy Controls and Cookie Solutionpassera de ceci :
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>
À cela (remarquez le script stub-v2.js
, "enableTcf": true
et les autres options du TCF) :
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"enableTcf": true,
"googleAdditionalConsentMode": true,
"tcfPurposes": {
"1": true,
"2": "consent_only",
"3": "consent_only",
"4": "consent_only",
"5": "consent_only",
"6": "consent_only",
"7": "consent_only",
"8": "consent_only",
"9": "consent_only",
"10": "consent_only"
},
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/tcf/stub-v2.js"></script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>
Vous avez collé le code Privacy Controls and Cookie Solution dans le corps
de vos pages. Maintenant, voyons comment bloquer préalablement les scripts des partenaires.
La CMP iubenda utilise la fonction __tcfapi
pour permettre aux partenaires de lire le consentement correctement.
Nous nous servons d’un script (safe-tcf-v2.js
) dont la seule fonction est de lire le cookie TCF et d’activer la fonction __tcfapi
, et non de bloquer directement les scripts des partenaires. Il s’agit d’un activateur asynchrone qui se lance au tout début de la page, garantissant que le consentement est lu dans les 500 ms suivant l’exécution des scripts du partenaire.
C’est le comportement par défaut dès lors que les options TCF de l’IAB sont activées dans notre configurateur.
Il fonctionne à partir de la seconde page vue, une fois que le consentement est déjà présent sur la page. Il permet une vitesse de chargement extrêmement rapide.
Il peut toutefois entraîner des incompatibilités avec Google Ad Manager, AdSense et AdMob. Pour bloquer directement les scripts des partenaires, voir plus bas.
Le délai maximum de réponse de la CMP pour l’envoi du consentement aux partenaires est généralement de l’ordre de 500 ms (le plus souvent non configurable).
Si la CMP ne répond pas dans ce laps de temps, la SSP du partenaire utilise le statut « opt-out » de l’utilisateur à la place, ce qui signifie alors que vos utilisateurs finaux verront s’afficher des publicités non personnalisées.
Cela peut arriver lorsque vous utilisez des services publicitaires de Google tels que Ad Manager, AdSense et AdMob.
Pour l’éviter, vous pouvez directement bloquer les scripts des partenaires à l’aide des méthodes de blocage préalable prises en charges par Privacy Controls and Cookie Solution, puis les exécuter une fois le consentement recueilli.
Cette possibilité vous permet de contrôler plus directement la conformité et d’adresser des publicités personnalisées dès la première page vue, lorsque le consentement n’a pas encore été recueilli. Cela vous permet également d’éviter l’ erreur 2.1a (pour les utilisateurs de Google Ad Manager, d’Adsense et d’AdMob).
Notre produit Privacy Controls and Cookie Solution propose plusieurs outils permettant de bloquer préalablement les scripts susceptibles d’installer des cookies. Pour en savoir plus, consultez notre Introduction au blocage préalable des scripts. Pour bloquer les scripts de Google, vous pouvez directement consulter nos exemples pour Google AdSense et Google Publisher Tag.
Remarque : si vous avez activé la fonctionnalité Consentement par catégorie dans Privacy Controls and Cookie Solution, il vous faudra utiliser le tag « Finalité 1 » (Nécessaires) pour les scripts du TCF.
Si nécessaire, les scripts stub-v2.js
et safe-tcf-v2.js
peuvent également être intégrés en ligne ou par l’hébergeur. Vous trouverez plus d’astuces d’optimisation dans ce guide .
Pour lire le consentement depuis la fonction __tcfapi
, ouvrez la console du navigateur et exécutez ces commandes :
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) });
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) }, [1,2]);
window.__tcfapi('ping', 2, function(result) { console.log(result) });
Enfin, conformément à l’IAB, vous devez afficher un lien ou un bouton (p. ex. en pied de page) qui permet à vos visiteurs de modifier leurs préférences en matière de suivi publicitaire une fois le bandeau cookies fermé.
Voyons comment procéder.
Pour l’activer, ajoutez simplement la classe iubenda-advertising-preferences-link
à un lien ou à un bouton personnalisé :
<a href="#" class="iubenda-advertising-preferences-link">
Update your advertising tracking preferences
</a>
Placez-le où vous voulez sur votre site (en général, dans le pied de page). Lorsque l’utilisateur clique dessus, le lien ci-dessus ouvrira la boîte de dialogue des paramètres de suivi publicitaire :
Remarque : pour être en conformité avec les exigences de l’IAB, nous afficherons automatiquement un petit widget flottant sur vos pages si vous n’activez pas la classe iubenda-advertising-preferences-link
:
Plus bas dans l’encadré
TCF de l’IAB , vous trouverez des options éditeur détaillées :
Plus bas dans l’encadré IAB TCF , vous trouverez des options éditeur avancées :
Pour ce faire, sélectionnez « N’autoriser que les annonceurs figurant dans votre politique de confidentialité et de cookies » dans la section « Restrictions » de vos paramètres TCF.
En activant cette option, seuls les partenaires qui sont mentionnés dans votre Politique de Confidentialité et de Cookies iubenda seront affichés dans le panneau TCF. Veuillez noter que, pour que cette option fonctionne, au moins un partenaire TCF devra être ajouté à votre Politique de Confidentialité et de Cookies. L’ajout de partenaires peut se faire facilement depuis le Générateur de Politique de Confidentialité et de Cookies : cliquez sur « Ajouter un service », sélectionnez la section « Publicité » et ajoutez l’ensemble des services publicitaires avec lesquels vous travaillez.
Nous vous suggérons d’opter pour cette option, même si vous préférez utiliser votre propre document de confidentialité et de cookies. Si c’est le cas, vous pouvez toujours créer un bandeau de consentement avec iubenda et bénéficier de cette fonctionnalité sans devoir nécessairement lier votre politique dans la bannière ou sur votre site web/application. Toutefois, n’oubliez pas que, quel que soit le document de politique de confidentialité et de cookies que vous choisissez d’utiliser, celui-ci doit refléter ce qui est déclaré dans le bandeau cookies.
Veuillez remarquer : d’après les spécifications du TCF, « pour les partenaires relatifs aux finalités spéciales uniquement (et aucune autre finalité) et ont été affichés par la CMP avec une valeur définie sur 1 ». Le but est simplement de signaler que ces vendeurs ont été affichés et qu’ils peuvent donc poursuivre ces finalités spéciales (qui sont de nature technique) en vertu de l’intérêt légitime.
Les finalités spéciales, contrairement aux finalités normales, ne peuvent pas être limitées. Cependant, l’option « N’autoriser que les annonceurs figurant dans votre politique de confidentialité et de cookies » peut s’avérer utile même dans ce cas puisqu’elle vous permettra de ne pas afficher les vendeurs qui opèrent exclusivement à des fins spéciales, et par conséquent la valeur pour ceux-ci sera définie sur 0.
Les partenaires devront bientôt donner des informations supplémentaires dans la Liste globale de partenaires (GVL). Les éditeurs pourront donc plus facilement choisir avec lesquels travailler.
Pour ce faire, sélectionnez l’option « Délimiter les finalités », choisissez les finalités que vous souhaitez activer, puis sélectionnez la base juridique sur laquelle se fonde le traitement des données personnelles au titre des finalités activées.
Remarque : si vous n’êtes pas sûr de vous à ce propos, sachez qu’en général l’option « Consentement uniquement » est la plus sûre et certainement la meilleure pratique concernant les finalités relatives au profilage.
Nous avons déjà évoqué l’importance de limiter le nombre de partenaires avec lesquels vous voulez travailler. Limiter la transparence à un certain nombre de partenaires apporte un autre avantage : elle permet d’éviter de devoir demander un nouveau consentement à chaque fois que la liste globale des partenaires est mise à jour — soit presque chaque semaine. –
Si vous décidez néanmoins de ne pas limiter le nombre de partenaires avec lesquels vous travaillez, vous devriez tout de même choisir comment gérer les demandes de nouveau consentement, pour éviter d’afficher le bandeau cookies pour des utilisateurs qui ont déjà donné leur accord quelques jours ou quelques semaines auparavant.
Dans l’encadré TCF de l’IAB, vous trouverez une section intitulée Demander un consentement à nouveau suite à la mise à jour de la liste des partenaires, où vous pourrez choisir l’une de ces trois valeurs :
Cette fonctionnalité n’est pas accessible si vous ciblez directement une version particulière de Privacy Controls and Cookie Solution (p. ex. cdn.iubenda.com/cs/versions/iubenda_cs-1.7.0.js), mais uniquement via les points terminaux Current/Beta officiels.
Certains partenaires peuvent vous demander d’intégrer spécifiquement les paramètres gdpr
et gdpr_consent
à leur requête. Voici un aperçu de la procédure à suivre :
Une fois que vous avez remplacé la ligne console.log
dans la requête au partenaire par les variables gdpr
et gdpr_consent
, ajoutez ce code sous le script iubenda_cs.js
pour invoquer automatiquement le script du partenaire avec les bonnes données de consentement.
Désormais, lorsque vos utilisateurs souhaitant gérer leurs préférences cliqueront sur le bouton En savoir plus et personnaliser (ou sur le lien vers le panneau des préférences en matière publicitaire ) de votre bandeau cookies, ils verront s’afficher les options suivantes :
Remarque : lorsque l’utilisateur signale qu’il veut gérer ses préférences en ouvrant la fenêtre des préférences, tous les cookies sont « désactivés » par défaut, puisque le consentement valable requiert un acte positif d’acceptation.