La Consent Management Platform, ou CMP, ou Plateforme de Gestion de Consentement est l’étape indispensable pour gérer correctement les données personnelles de vos visiteurs internet. Plusieurs solutions clé-en-main existent. Elles font économiser du temps, mais sont-elles pertinentes ?

1- Définition de la Consent Management Platform ou CMP

Notons que l’anglicisme est suffisamment neuf pour ne pas avoir encore d’entrée sur Wikipedia ! Nous sommes donc allés chercher une définition sur le site bien-nommé Définitions marketing.

 

C’est quoi une CMP ?

Une Consent Management Platform est une « plateforme technologique dédiée spécifiquement à la collecte, à l’enregistrement et à la restitution / attestation des consentements donnés par les consommateurs dans le domaine de la gestion des données personnelles. »

Dans sa vision la plus basique, c’est le bandeau cookies que nous avons sur les sites. Sauf que ce bandeau est le plus souvent un « avertissement » (un refus est rarement accepté). Et surtout il n’est plus suffisant depuis l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles, le fameux RGPD.

2- Pourquoi la CMP est d’actualité

Avec le RGPD, la notion de consentement est renforcée. On pense bien sûr aux formulaires ou à tous les process qui embasent et exploitent nos données personnelles. Mais RGPD ne se limite pas aux formulaires. En effet le règlement concerne également les consultations des sites internet, où vous devez laisser le choix des cookies à vos visiteurs.

En effet sur un site les cookies servent au moins 3 usages :

• tout d’abord les cookies de préférences, qui permettent de stocker votre choix de langue, certains paramètres de consultation, …
• puis les cookies Analytics – Google Analytics bien souvent, mais aussi Matomo, ou HotJar et Egghead pour des analyses plus précises, entre autres;
• et bien sûr les cookies publicitaires – Google Ads, Facebook, Twitter, et tous les autres.

Pendant longtemps, la plupart des bandeaux cookies étaient « tout-ou-rien ». Les nouveaux Consent Management Platform travaillent donc sur cette granularité.

Et l’actualité récente, c’est la mise à disposition de solutions clé-en-main, qui permettent aux gestionnaires de sites de se mettre en conformité avec le RGPD sans noeuds au cerveau.

3- Les plateformes de gestion de consentement existantes

Citons trois solutions particulièrement visibles sur les sites internet Français : Quantcast Choice de Quantcast, Cookiebot, et Tarte au Citron, le projet Open Source d’Amaury Champeaux. Avec son positionnement « gratuit », Quantcast Choice s’est rapidement diffusé sur une majorité de sites en France et en Europe. En octobre 2020, Quantcast annonçait être installé sur 26 000 domaines internet. Et avoir reçu le consentement des visiteurs dans 90% des cas. Un chiffre assez impressionnant de plus de 10 Milliards de consentements recueillis !

Paradoxalement, malgré leur large diffusion, les CMP ont été longtemps absentes des grands sites d’information français. Ainsi, dans un article du 3 octobre 2018, le Journal du Net rapportait que seuls 2 des 20 premiers sites d’infos avaient installé une CMP. 6 mois plus tard, en mars 2019, le chiffre atteignait 64% selon mind news. Mais avec très souvent des paramétrages jugés non conformes au RGPD.

En même temps, est-ce vraiment respecter l’utilisateur en affichant une liste de 200 prestataires parfaitement inconnus du grand public et lui demander un consentement éclairé ? Soyons sérieux ! (vu dans DNA.fr)

4- Les risques

> Un choix éclairé mais pas de refus possible ?

Sur la plupart des bandeaux, le bouton « refus » n’est pas proposé. Et la gestion des consentements se transforme en un enième « OK », comme pour le bandeau cookies classique. Au final si le bandeau est nouveau, les possibilités ne changent pas. Et comme l’a souligné la CNIL dans sa communication du 1er octobre 2020 :

L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement

D’ailleurs la CNIL a rappelé en novembre 2020 4 principes directeurs pour un recueil valable de consentement :

• le consentement doit être préalable au dépôt et/ou à la lecture de cookies
• le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairé. La validité du consentement est donc notamment liée à la qualité de l’information reçue
• Le consentement n’est valide que si la personne exerce un choix réel
• Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur

A l’opposé de ces recommandations, un article du Blog du Modérateur explique que, sur le bandeau Quantcast, la visibilité du bouton « Je refuse » était laissée au choix des éditeurs. Qui ont choisi au départ en majorité de ne pas le mettre… Avec un tel non-choix, le risque est de voir se développer des bloqueurs de cookies automatiques, à l’image des AdBlockers.

Les choses évoluent, et pas toujours dans le bon sens… Lors de la première publication de cet article, en octobre 2018, nous avions salué l’initiative des sites arobasenet et e-marketing.fr qui présentaient dès le départ la version « double bouton » de cet écran, avec le choix « Je refuse » bien en évidence. En octobre 2020 ce n’est plus le cas. 

À l’inverse, nous notons l’effort du site CNET, qui a pris soin de préciser la finalité des cookies

… tout en ne proposant pas de bouton « refuser » …

> Trop d’info tue l’info

Deuxième risque identifié, l’effet pervers d’un surcroît d’information. Le postulat « Informer pour mieux décider » est un objectif sain. Mais on peut craindre un effet anxiogène contre-productif dans certains cas. Ainsi le Consent Management Platform du site Indiegogo, propulsé par Cookiebot, montre 1390 cookies marketing, et 465 « non classifiés » ! Et comme peu de personnes prendront le temps de lire les détails, la seule conclusion sera que ce site est beaucoup trop curieux.

Est-ce un progrès dû à l’apparition des CMP ? Un an et demi plus tard, le même bandeau n’affiche plus « que » 47 cookies marketing, et un total de 105 cookies pour le site indiegogo.

5- Notre avis sur les CMP

La solution clé-en-main n’est qu’un outil. De votre côté, vous avez deux axes à respecter :

1. La conformité de vos actions avec le RGPD;
2. Votre stratégie de communication concernant les données personnelles.

La mise en place d’une Consent Management Platform doit vous permettre de travailler sur ces deux axes. Implémenter Quantcast est une solution facile, sans risque, gratuite … et probablement inutile. D’ailleurs, vous remarquerez que nos amis Outre-Rhin très à cheval sur le respect de la vie privée digitale, implémentent rarement ces fameux bandeaux cookies.

En tout état de cause, cela peut avoir un impact pour les performances de vos campagnes media. En tant qu’agence media, c’est un point que nous surveillons avec attention. Brand safety, RGPD et maintenant CMP, on n’a jamais fait autant pour la protection du consommateur, preuve que sa confiance a besoin d’être reconquise.

6- Comment nous avons combiné Tarte au Citron et Google Tag Manager

Que ce soit pour le site eficiens.com ou pour les sites que nous développons avec nos clients, nous utilisons bien souvent Google Tag Manager pour faciliter le déploiement du code Google Analytics et des pixels de reciblage Google Ads, Facebook, Twitter, LinkedIn, etc…

Nous avons choisi de déployer la solution Tarte au Citron, et aussi de continuer à utiliser Tag Manager pour faciliter la gestion des opérations de marketing digital. Or, par défaut, Tarte au Citron ne propose pas de réelle intégration avec Tag Manager.

Pour continuer à bien gérer nos sites et intégrer notre CMP, nous avons procédé en plusieurs étapes :

Etape 1 – rendre Analytics RGPD-compatible

Nous souhaitons continuer à pouvoir analyser le maximum de visites sur nos sites. Et moyennant certains règlages, nous pouvons avoir un Google Analytics respectueux des consignes du RGPD.

Avec notamment ces deux points d’attention :

1. Rendre les adresses IP anonymes
2. Supprimer toute donnée personnelle des remontées Analytics (par ex. une adresse email sur la page de désinscription de la newsletter, ou de suivi de commande)

Etape 2 – ajouter le code Tarte au Citron sur le site

C’est l’étape la plus classique, nous ajoutons simplement le code permettant de charger le bandeau, tel que décrit dans la procédure d’installation.

A ce stade nous ne changeons rien de plus sur le site, car le reste va être géré via Google Tag Manager

Etape 3 – modifier les balises remarketing dans Tag Manager

Dans Tarte au Citron, vous ajoutez tous vos cookies un par un. Ce sont les « services » qui sont intégrés dans Tarte au Citron. 92 services sont disponibles, à la fois des pixels marketing (Google Ads, Facebook), que des services intégrés qui posent aussi des cookies (boutons réseaux sociaux, players vidéos, …).

En théorie, chacun de ces services est ajouté directement sur la / les page(s), mais comme nous voulons continuer à utiliser Tag Manager, nous allons procéder différemment.

Dans un premier temps, nous copions le code du service, que nous intégrons en balise HTML dans Tag Manager.

Et nous supprimons notre balise Google Ads habituelle. La nouvelle balise va être détectée par Tarte au Citron, qui va l’intégrer dans sa liste de services.

Etape 4 – créer nos propres balises

Si Tarte au Citron propose bien 92 services, certaines balises sont absentes pour le moment. C’est le cas par exemple du pixel Twitter et du pixel LinkedIn Insight. Heureusement, on peut ajouter des services dans Tarte au Citron. Nous avons donc recréé ces deux balises pour les intégrer dans notre CMP.

<script type="text/javascript">
tarteaucitron.services.twitterpixel = {
"key": "twitterpixel",
"type": "ads",
"name": "Twitter Website Tag",
"uri": "https://business.twitter.com/fr/help/campaign-measurement-and-analytics/conversion-tracking-for-websites.html",
"needConsent": true,
"cookies": [],
"js": function () {
"use strict";
tarteaucitron.addScript('//static.ads-twitter.com/uwt.js');
twq('init','o1ydd');
twq('track','PageView');
}
};

Et voila ! Nous avons un bandeau cookies respectueux du RGPD, avec nos services marketing intégrés, et toujours gérés via Tag Manager.

Nos autres lectures sur le RGPD

Découvrez également nos autres articles :

• RGPD – le redoutable Article 20 peut profiter à vos concurrents : article fondamental sur la portabilité des données ou comment vos concurrents pourraient tirer partie de la RGPD
• Google Analytics RGPD – Les 4 actions à prendre ! : durée de vie et durée de rétention des cookies, vous avez des décisions et des actions à prendre
• RGPD il y a urgence | 3 points à ne pas oublier : découvrez dans cet article une mini-checklist sur 3 points peu connus