18 Oct Tag management et consentement préalable aux cookies, point et panorama des solutions – 25 avril 2017
Propos introductifs : le moratoire sur le recueil préalable du consentement à la dépose des cookies publicitaires. En mars 2016, la CNIL a pris en compte les difficultés d‘application de sa recommandation de 2013 sur les cookies, et a donc concédé un moratoire aux mises en demeure des éditeurs non encore en conformité s‘agissant des cookies publicitaires. Ce moratoire doit en principe prendre fin en septembre. Lors de la présentation annuelle des résultats de la CNIL fin mars 2017, la Présidente IsabelleFalque–Pierrotin indiquait reporter la fin du moratoire jusqu‘à une finalisation de la proposition de Règlement e–Privacy dévoilée le 10 janvier. Le moratoire courrait jusqu‘à fin 2017. En revanche, les autres points de la recommandation de 2013 sur les cookies sont toujours susceptibles de faire l‘objet de contrôles et de mises en demeure.
1ère partie : Tag Management system I Tag Manager: kesako
Les usages. Un tag est un bout de code JavaScript inséré dans une page web. Il peut avoir différentes finalités (publicitaires, tracking, mesure d‘audience, A/B Testing ....). Le nombre de tags par page, sur le site d‘un média, est évalué entre 10 et 50 en moyenne. Il y a deux ou trois ans, aucun site web majeur n‘utilisait de solution de Tag Management. Les opérations se faisaient manuellement.
Les problématiques adressées par le Tag Management System (TMS). L‘intérêt principal du TMS est de centraliser les appels. Sa simplicité d‘utilisation est également appréciée car elle permet aux directions non techniques, comme la direction Marketing, d‘être d‘autonome dans l‘utilisation de l‘outil et de pouvoir déployer un tag facilement. Le TMS permet aussi d‘obtenir des statistiques sur les tags, de mesurer les erreurs de chargement, de limiter la portée des tags. L‘éditeur peut par exemple limiter la publicité sur une page d‘inscription, grâce à une suspension de l‘exécution des tags de bannière. Le TMS sert par ailleurs à tester et adapter les tags dans différents environnements (mobile, desktop ...).
I Tag Manager : le Data Layer
Le Data Layer. Il s‘agit d‘une couche qui permet à l’éditeur de faire transiter les données de son choix, afin qu‘elles puissent être exploitées par les tags contenus dans le TMS. Le Data Layer n‘est pas optionnel lorsqu‘on décide d‘implémenter un TMS. Par conséquent, l‘éditeur doit réfléchir à sa configuration en amont.
Cas concrets. Le TMS est utile dans les situations suivantes :
– La régie veut déployer un tag (lien sponsorisé) uniquement sur les pages de type Article de moins de 5000 signes. – La direction Marketing veut déposer un tag d‘affiliation uniquement sur desktop. – Pour faire de l‘A/B Testing sur certaines catégories de pages. L‘opération est plus délicate lorsque que le site est dynamique. Le Data Layer permet de faire des tests plus rapidement.
– Pour mesurer des évènements. On peut savoir jusqu‘à quelle hauteur (scroll) les visiteurs ont lu un article spécifique sur le site. Cette mesure permet de déterminer le taux de visiteurs qui scrollent sur une page, et qui ont donc exprimé leur consentement à la dépose de cookies.
I Tag Management: questions à se poser Pour information, tous les TMS sont livrés avec une bibliothèque de tags à disposition. Il doit s‘assurer que l‘ensemble de ses outils sont nativement supportés.
Tags synchrones ou asynchrones ? C‘est une question essentielle car certains TMS ne supportent que les tags asynchrones. Pour rappel en mode synchrone, la page reste blanche tant que l‘ensemble du code n‘est pas exécuté. De nombreux tags sont encore exécutés en synchrone, pour plusieurs raisons : pour faire de l‘A/B Testing, lorsque la version utilisée n‘est pas très récente, ou encore pour une volonté Marketing. En effet, le fait de se placer tout en haut d‘une page en synchrone permet de récupérer toute la donnée qui va s‘exécuter. Le tag asynchrone quant à lui est exécuté en parallèle du chargement de la page.
Tags isolés ou globaux ? L’insertion d‘un code JavaScript sur une page ouvre à ce dernier un accès à toutes les informations agrégées dans les outils d‘Analytics de l‘éditeur. Certains iframes permettent toutefois de limiter l‘accès à la data : le Data Layer va alors transmettre au tag uniquement les informations que l‘éditeur accepte de partager. Certains tags ne devraient pas être isolés, par exemple les tags d‘Analytics. A l‘inverse il est recommandé d‘isoler les tags d‘acteurs commerciaux qui aspirent la data des tiers.
Avez–vous besoin de statistiques sur les tags ? Google Tag Manager (GTM) n‘intègre pas d‘interface de statistiques sur les tags. Il ne peut donc faire office de tiers de confiance pour faire des vérifications, par exemple dans le domaine de l‘affiliation.
Avez–vous besoin d‘une API (data–governance) ?
I Tag Management : quelques acteurs
– GTM : il y a une version totalement gratuite mais sans engagement de qualité et sans statistiques. Il existe une version payante (la suite 360) qui comporte un volet TMS gratuit.
– Tealium Tag Management (payant, suite complète). – Tag Commander de Commanders Acts (payant, suite complète). – QuBit (payant, mais version open–source existante). – Adobe Dynamic Tag Management (DTM: payant, suite complète). – Rakuten DC Storm (payant). – Ensighten (payant).
Depuis la montée de GTM, les acteurs payants ajoutent de la valeur à leurs produits (marketing, data–management, personnalisation ...).
2e partie : Consentement préalable à la dépose de cookies
Rappel. La réglementation applicable aux cookies et autres traceurs impose de recueillir le consentement de l‘internaute préalablement à la dépose de certains cookies, notamment publicitaires. Certaines actions valent consentement, par exemple le scroll conséquent sur la page, la fermeture du message par un clic sur la croix « fermer », l‘interaction avec la page. Il n‘est pas certain que ces actions valent encore consentement sous l‘empire du Règlement général sur la protection des données (RGPD) et de la proposition de Règlement e–Privacy qui doivent entrer en application au 25 mai 2018.
Cookie consent solution : les étapes. A la première visite d‘un internaute, l‘éditeur doit afficher sur son site un bandeau d‘information « Cookies > contenant un lien vers une page d‘information complète non trackée (y compris sur l‘Analytics). Si l‘internaute quitte le site sans effectuer une action, il est réputé avoir refusé les cookies. Le bandeau s‘affichera donc à sa prochaine visite. S‘il clique sur le lien a en savoir plus », cette action ne signifie pas qu‘il consent à la dépose des cookies.
Les options sélectionnées par l‘utilisateur sont mémorisées grâce à la dépose d‘un cookie. S‘il scrolle significativement, s‘il clique sur la croix a fermer », il est réputé avoir accepté la dépose de l‘ensemble des cookies. En revanche s‘il refuse les cookies, son choix est mémorisé grâce à la dépose d‘un cookie technique.
Les grandes fonctions du CCS :TMS et CCS sont deux choses différentes. Les principales fonctions de la CCS sont les suivantes :
– Information de l‘internaute sur l’utilisation des cookies. – Contrôle du type de cookies en « opt–out » (par défaut activé, mais l‘internaute a la possibilité de demander à les supprimer).
– Respect des réglementations locales. L’éditeur doit s‘assurer que la CSS qu‘on choisit est compliant.
– Le CCS autorise ou non l‘exécution des tags en fonction des options retenues par l‘internaute.
Il faut donc être capable de distinguer les tags (publicitaires, tracking, social, fonctionnel ...).
CCS : questions à se poser
–Pays ciblés (les règles actuelles varient !) – Web mobile (site responsive ou dédié, PWA, ...) – Applications mobiles ? – Les tags implémentés sont–ils compatibles avec la CCS retenue ? (attention aux tags synchrones par exemple. Si ce tag dépose un cookie préalablement au recueil du consentement lorsqu‘il est requis, alors la CCS n‘est pas compliant!) –L‘éditeur de la CCS prend–il l‘engagement d‘adapter son produit aux évolutions de réglementation à venir ?
– Attention aux solutions « sorties de nulle part gratuites et sans garantie sur le vol de données.
CCS : quelques exemples
Cookie Consent by 55 (compatible GTM).
Tealium Tag Management (payant, suite complète). Tag Commander de Commanders Acts (payant, suite complète). QuBit Opentag Privacy Management. TRUSTe. Cookie Consent Kit de l‘Union Européenne. CookieBot.
Un bon outil de CCS n‘a pas besoin de déposer un cookie au moment où il s‘exécute.
Ok, c‘est quoi le lien entre le Cookie consent et le TMS ? Le TMS n‘est pas indispensable lorsqu‘on souhaite déployer une CCS. Sans TMS, l‘implémentation de la CCS est compliquée mais reste possible. Toutefois, certaines CCS obligent à l‘utilisation d‘un TMS particulier. Dans les deux cas, pour implementer un TMS ou une CCS, il faudra passer sur toutes les pages de ses sites. Il est donc plus judicieux de commencer par implementer un TMS, avant de déployer une CCS.
Si l‘éditeur veut implémenter GTM, il devra le cas échéant choisir une CCS compatible. 2 cas de figure se dessinent :
– Soit l‘éditeur utilise déjà un TMS : il peut d‘abord vérifier que son TMS n‘intègre pas de CCS en option. Si ce n‘est pas le cas, il peut choisir une CCS compatible ou développer sa propre CCS. La plupart des TMS permettent de catégoriser les tags dans un ou plusieurs containers différents. GTM recommande de ne pas multiplier les containers.
– Soit l‘éditeur n‘utilise pas de TMS : il est recommandé de choisir un produit « tout en un » (QuBit, Tag Commander, Ensighten, ...), ou alors intégrer un TMS existant et une CCS compatible (GTM + 55 ...). Autrement, il peut tout développer en « in house » (ex: partir de QuBit Open source, et développer sa propre CCS).
Liens utiles :
QuBit open–source : https://github.com/Qubit Products/Open Tag QuBit : http://www.qubit.com/fr/solutions/tag–management Tealium : http://tealium.com/products/tealium–iq–tag–management–system/ Tag Commander : https://www.commandersact.com/en/ Adobe DTM : http://www.adobe.com/fr/marketing–cloud/activation.html Rakuten DC Storm : https://dc–storm.com/en–uk/approach–technology/storm platform/storm–tag–manager/index.html 55 : http://www.fifty–five.fr/ Ensighten: https://www.ensighten.com/tag–management–fundamentals/ TRUSTe : https://www.truste.com/business–products/dpm–platform/consent–manager/ EU CCK : http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5 Cookie Consent by Insites : https://cookieconsent.insites.com/ CookieBot : https://www.cookiebot.com/fr/start Cookie Control : https://www.civicuk.com/cookie–control/index