Tag management et consentement préalable aux cookies, point et panorama des solutions – 25 avril 2017

Propos introductifs : le moratoire sur le recueil préalable du consentement à la dépose des cookies publicitaires. En mars 2016, la CNIL a pris en compte les difficultés dapplication de sa recommandation de 2013 sur les cookies, et a donc concédé un moratoire aux mises en demeure des éditeurs non encore en conformité sagissant des cookies publicitaires. Ce moratoire doit en principe prendre fin en septembre. Lors de la présentation annuelle des résultats de la CNIL fin mars 2017, la Présidente IsabelleFalquePierrotin indiquait reporter la fin du moratoire jusquà une finalisation de la proposition de Règlement ePrivacy dévoilée le 10 janvier. Le moratoire courrait jusquà fin 2017. En revanche, les autres points de la recommandation de 2013 sur les cookies sont toujours susceptibles de faire lobjet de contrôles et de mises en demeure

1ère partie : Tag Management system I Tag Manager: kesako 

Les usages. Un tag est un bout de code JavaScript inséré dans une page web. Il peut avoir différentes finalités (publicitaires, tracking, mesure daudience, A/B Testing ....). Le nombre de tags par page, sur le site dun média, est évalué entre 10 et 50 en moyenne. Il y a deux ou trois ans, aucun site web majeur nutilisait de solution de Tag Management. Les opérations se faisaient manuellement

Les problématiques adressées par le Tag Management System (TMS). Lintérêt principal du TMS est de centraliser les appels. Sa simplicité dutilisation est également appréciée car elle permet aux directions non techniques, comme la direction Marketing, dêtre dautonome dans lutilisation de loutil et de pouvoir déployer un tag facilement. Le TMS permet aussi dobtenir des statistiques sur les tags, de mesurer les erreurs de chargement, de limiter la portée des tags. Léditeur peut par exemple limiter la publicité sur une page dinscription, grâce à une suspension de lexécution des tags de bannière. Le TMS sert par ailleurs à tester et adapter les tags dans différents environnements (mobile, desktop ...)

I Tag Manager : le Data Layer 

Le Data Layer. Il sagit dune couche qui permet à l’éditeur de faire transiter les données de son choix, afin quelles puissent être exploitées par les tags contenus dans le TMS. Le Data Layer nest pas optionnel lorsquon décide dimplémenter un TMS. Par conséquent, léditeur doit réfléchir à sa configuration en amont

Cas concrets. Le TMS est utile dans les situations suivantes

La régie veut déployer un tag (lien sponsorisé) uniquement sur les pages de type Article de moins de 5000 signes. La direction Marketing veut déposer un tag daffiliation uniquement sur desktop. Pour faire de lA/B Testing sur certaines catégories de pages. Lopération est plus délicate lorsque que le site est dynamique. Le Data Layer permet de faire des tests plus rapidement

Pour mesurer des évènements. On peut savoir jusquà quelle hauteur (scroll) les visiteurs ont lu un article spécifique sur le site. Cette mesure permet de déterminer le taux de visiteurs qui scrollent sur une page, et qui ont donc exprimé leur consentement à la dépose de cookies

I Tag Management: questions à se poser Pour information, tous les TMS sont livrés avec une bibliothèque de tags à disposition. Il doit sassurer que lensemble de ses outils sont nativement supportés

Tags synchrones ou asynchrones ? Cest une question essentielle car certains TMS ne supportent que les tags asynchrones. Pour rappel en mode synchrone, la page reste blanche tant que lensemble du code nest pas exécuté. De nombreux tags sont encore exécutés en synchrone, pour plusieurs raisons : pour faire de lA/B Testing, lorsque la version utilisée nest pas très récente, ou encore pour une volonté Marketing. En effet, le fait de se placer tout en haut dune page en synchrone permet de récupérer toute la donnée qui va sexécuter. Le tag asynchrone quant à lui est exécuté en parallèle du chargement de la page

Tags isolés ou globaux ? L’insertion dun code JavaScript sur une page ouvre à ce dernier un accès à toutes les informations agrégées dans les outils d‘Analytics de léditeur. Certains iframes permettent toutefois de limiter laccès à la data : le Data Layer va alors transmettre au tag uniquement les informations que léditeur accepte de partager. Certains tags ne devraient pas être isolés, par exemple les tags dAnalytics. A linverse il est recommandé disoler les tags dacteurs commerciaux qui aspirent la data des tiers

Avezvous besoin de statistiques sur les tags ? Google Tag Manager (GTM) nintègre pas dinterface de statistiques sur les tags. Il ne peut donc faire office de tiers de confiance pour faire des vérifications, par exemple dans le domaine de laffiliation

Avezvous besoin dune API (datagovernance)

I Tag Management : quelques acteurs 

GTM : il y a une version totalement gratuite mais sans engagement de qualité et sans statistiques. Il existe une version payante (la suite 360) qui comporte un volet TMS gratuit

Tealium Tag Management (payant, suite complète). Tag Commander de Commanders Acts (payant, suite complète). QuBit (payant, mais version opensource existante). Adobe Dynamic Tag Management (DTM: payant, suite complète). Rakuten DC Storm (payant). Ensighten (payant). 

Depuis la montée de GTM, les acteurs payants ajoutent de la valeur à leurs produits (marketing, datamanagement, personnalisation ...)

2e partie : Consentement préalable à la dépose de cookies 

Rappel. La réglementation applicable aux cookies et autres traceurs impose de recueillir le consentement de linternaute préalablement à la dépose de certains cookies, notamment publicitaires. Certaines actions valent consentement, par exemple le scroll conséquent sur la page, la fermeture du message par un clic sur la croix « fermer », linteraction avec la page. Il nest pas certain que ces actions valent encore consentement sous lempire du Règlement général sur la protection des données (RGPD) et de la proposition de Règlement ePrivacy qui doivent entrer en application au 25 mai 2018

Cookie consent solution : les étapes. A la première visite dun internaute, léditeur doit afficher sur son site un bandeau dinformation « Cookies > contenant un lien vers une page dinformation complète non trackée (y compris sur lAnalytics). Si linternaute quitte le site sans effectuer une action, il est réputé avoir refusé les cookies. Le bandeau saffichera donc à sa prochaine visite. Sil clique sur le lien a en savoir plus », cette action ne signifie pas quil consent à la dépose des cookies

Les options sélectionnées par lutilisateur sont mémorisées grâce à la dépose dun cookie. Sil scrolle significativement, sil clique sur la croix a fermer », il est réputé avoir accepté la dépose de lensemble des cookies. En revanche sil refuse les cookies, son choix est mémorisé grâce à la dépose dun cookie technique

Les grandes fonctions du CCS :TMS et CCS sont deux choses différentes. Les principales fonctions de la CCS sont les suivantes

Information de linternaute sur l’utilisation des cookies. Contrôle du type de cookies en « optout » (par défaut activé, mais linternaute a la possibilité de demander à les supprimer)

Respect des réglementations locales. L’éditeur doit sassurer que la CSS quon choisit est compliant

Le CCS autorise ou non lexécution des tags en fonction des options retenues par linternaute

Il faut donc être capable de distinguer les tags (publicitaires, tracking, social, fonctionnel ...)

CCS : questions à se poser 

Pays ciblés (les règles actuelles varient !) Web mobile (site responsive ou dédié, PWA, ...) Applications mobiles ? Les tags implémentés sontils compatibles avec la CCS retenue ? (attention aux tags synchrones par exemple. Si ce tag dépose un cookie préalablement au recueil du consentement lorsquil est requis, alors la CCS nest pas compliant!) Léditeur de la CCS prendil lengagement dadapter son produit aux évolutions de réglementation à venir

Attention aux solutions « sorties de nulle part gratuites et sans garantie sur le vol de données

CCS : quelques exemples 

Cookie Consent by 55 (compatible GTM)

Tealium Tag Management (payant, suite complète). Tag Commander de Commanders Acts (payant, suite complète). QuBit Opentag Privacy Management. TRUSTe. Cookie Consent Kit de lUnion Européenne. CookieBot

Un bon outil de CCS na pas besoin de déposer un cookie au moment il sexécute

Ok, cest quoi le lien entre le Cookie consent et le TMS ? Le TMS nest pas indispensable lorsquon souhaite déployer une CCS. Sans TMS, limplémentation de la CCS est compliquée mais reste possible. Toutefois, certaines CCS obligent à lutilisation dun TMS particulier. Dans les deux cas, pour implementer un TMS ou une CCS, il faudra passer sur toutes les pages de ses sites. Il est donc plus judicieux de commencer par implementer un TMS, avant de déployer une CCS

Si léditeur veut implémenter GTM, il devra le cas échéant choisir une CCS compatible. 2 cas de figure se dessinent

Soit léditeur utilise déjà un TMS : il peut dabord vérifier que son TMS nintègre pas de CCS en option. Si ce nest pas le cas, il peut choisir une CCS compatible ou développer sa propre CCS. La plupart des TMS permettent de catégoriser les tags dans un ou plusieurs containers différents. GTM recommande de ne pas multiplier les containers

Soit léditeur nutilise pas de TMS : il est recommandé de choisir un produit « tout en un » (QuBit, Tag Commander, Ensighten, ...), ou alors intégrer un TMS existant et une CCS compatible (GTM + 55 ...). Autrement, il peut tout développer en « in house » (ex: partir de QuBit Open source, et développer sa propre CCS)

Liens utiles

QuBit opensource : https://github.com/Qubit Products/Open Tag QuBit : http://www.qubit.com/fr/solutions/tagmanagement Tealium : http://tealium.com/products/tealiumiqtagmanagementsystem/ Tag Commander : https://www.commandersact.com/en/ Adobe DTM : http://www.adobe.com/fr/marketingcloud/activation.html Rakuten DC Storm : https://dcstorm.com/enuk/approachtechnology/storm platform/stormtagmanager/index.html 55 : http://www.fiftyfive.fr/ Ensighten: https://www.ensighten.com/tagmanagementfundamentals/ TRUSTe : https://www.truste.com/businessproducts/dpmplatform/consentmanager/ EU CCK : http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5 Cookie Consent by Insites : https://cookieconsent.insites.com/ CookieBot : https://www.cookiebot.com/fr/start Cookie Control : https://www.civicuk.com/cookiecontrol/index