Dans l’attente de la finalisation par la Commission européenne du règlement e-Privacy, la CNIL a suspendu jusqu’à fin 2017 ses contrôles et les procédures en cours auprès des éditeurs médias concernant le recueil préalable du consentement de l’internaute avant la dépose des cookies publicitaires (sa recommandation de 2013). Mais la menace reste réelle pour les médias qui doivent être en mesure de connaître et gérer la présence sur leurs sites des tags tiers.

Quelles sont les solutions de conformité possibles pour gérer et maitriser les tags sur les sites ? Quel est le lien entre un tag manager et le module de gestion du consentement ? L’un et l’autre sont-ils indissociables ? Dans le cadre d’un atelier de travail organisé par Le Geste le 25 avril, Damien Mangin, CTO de CCM Benchmark Group, a livré quelques explications et ses recommandations. Mind Media reproduit le compte rendu de son intervention réalisée par Le Geste.

1e partie 

le Tag management system : la gestion des tags

Tag management : qu’est-ce que c’est ?

Les usages. Un tag est un bout de code JavaScript inséré dans une page web. Il peut avoir différentes finalités (publicitaires, tracking, mesure d’audience, A/B testing …). Le nombre de tags par page, sur le site d’un média, est évalué entre 10 et 50 en moyenne. Il y a deux ou trois ans, aucun site web majeur n’utilisait de solution de tag management. Les opérations se faisaient manuellement.

Les problématiques adressées par le Tag management system (TMS). L’intérêt principal du TMS est de centraliser les appels. Sa simplicité d’utilisation est également appréciée car elle permet aux directions non techniques, comme la direction marketing, d’être d’autonome dans l’utilisation de l’outil et de pouvoir déployer un tag facilement. Le TMS permet aussi d’obtenir des statistiques sur les tags, de mesurer les erreurs de chargement, de limiter la portée des tags, etc. L’éditeur peut par exemple limiter la publicité sur une page d’inscription, grâce à une suspension de l’exécution des tags de bannière. Le TMS sert par ailleurs à tester et adapter les tags dans différents environnements : mobile, desktop… 

 Le data layer. Il s’agit d’une couche qui permet à l’éditeur de faire transiter les données de son choix, afin qu’elles puissent être exploitées par les tags contenus dans le TMS. Le data layer ne doit pas être pas optionnel lorsqu’on décide d’implémenter un TMS. Par conséquent, l’éditeur doit réfléchir à sa configuration en amont.

Cas concrets.

Un TMS est utile dans les situations suivantes :

– La régie veut déployer un tag (lien sponsorisé) uniquement sur les pages de type Article de moins de 5000 signes.

– La direction Marketing veut déposer un tag d’affiliation uniquement sur desktop. 

– Pour faire de l’A/B Testing sur certaines catégories de pages. L’opération est plus délicate lorsque que le site est dynamique. Le Data Layer permet de faire des tests plus rapidement.  

– Pour mesurer des évènements. On peut savoir jusqu’à quelle hauteur (scroll) les visiteurs ont lu un article spécifique sur le site. Cette mesure permet de déterminer le taux de visiteurs qui scrollent sur une page, et qui ont donc exprimé leur consentement à la dépose de cookies.

Les questions à se poser.

Tous les TMS sont livrés avec une bibliothèque de tags à disposition. Il faut s’assurer que l’ensemble de ses outils sont nativement supportés et définir son besoin :

1.  Tags synchrones ou asynchrones ? 
   C’est une question essentielle car certains TMS ne supportent que les tags asynchrones. Pour rappel, en mode synchrone, la page reste blanche tant que l’ensemble du code n’est pas exécuté. De nombreux tags sont encore exécutés en synchrone, pour plusieurs raisons : pour faire de l’A/B testing, lorsque la version utilisée n’est pas très récente, ou encore dans une volonté marketing. En effet, le fait de se placer tout en haut d’une page en synchrone permet de récupérer toute la donnée qui va s’exécuter. Le tag asynchrone quant à lui est exécuté en parallèle du chargement de la page.
2. Tags isolés ou globaux ?
   L’insertion d’un code JavaScript sur une page ouvre à ce dernier un accès à toutes les informations agrégées dans les outils d’Analytics de l’éditeur. Certains iframes permettent toutefois de limiter l’accès à la data : le Data Layer va alors transmettre au tag uniquement les informations que l’éditeur accepte de partager. Certains tags ne devraient pas être isolés, par exemple les tags d’Analytics. A l’inverse il est recommandé d’isoler les tags d’acteurs commerciaux qui aspirent la data des tiers 
3. Avez-vous besoin de statistiques sur les tags ? 
   Google Tag Manager (GTM) n’intègre pas d’interface de statistiques sur les tags. Il ne peut donc faire office de tiers de confiance pour faire des vérifications, par exemple dans le domaine de l’affiliation. 
4. Avez-vous besoin d’une API (data governance) ? 

Les principaux acteurs du tag management

– GTM : il y a une version totalement gratuite, mais sans engagement de qualité et sans statistiques. Il existe une version payante (la suite 360) qui comporte un volet TMS gratuit. 

– Tealium tag management (payant, suite complète).

– Tag Commander de Commanders Acts (payant, suite complète).

– QuBit (payant, mais version open-source existante).

– Adobe Dynamic tag management (DTM : payant, suite complète).

– Rakuten DC Storm (payant).

– Ensighten (payant).

Depuis la montée de GTM, les acteurs payants ajoutent de la valeur à leurs produits (marketing, data-management, personnalisation …). 

2e partie 

la Cookie consent solution : le consentement préalable à la dépose de cookies

Rappel

La réglementation applicable aux cookies et autres traceurs impose de recueillir le consentement de l’internaute préalablement à la dépose de certains cookies, notamment publicitaires. Certaines actions valent consentement, par exemple le scroll conséquent sur la page, la fermeture du message par un clic sur la croix “fermer”, et l’interaction avec la page. Il n’est pas certain que ces actions valent encore consentement avec l’adoption du Règlement général sur la protection des données (RGPD) et de la proposition de Règlement e-Privacy qui doivent entrer en application au 25 mai 2018. 

Cookie consent solution (CCS) : les étapes

A la première visite d’un internaute, l’éditeur doit afficher sur son site un bandeau d’information “cookies” contenant un lien vers une page d’information complète non trackée (y compris sur l’analytics). Si l’internaute quitte le site sans effectuer une action, il est réputé avoir refusé les cookies. Le bandeau s’affichera donc à sa prochaine visite. S’il clique sur le lien “en savoir plus”, cette action ne signifie pas qu’il consent à la dépose des cookies.  Les options sélectionnées par l’utilisateur sont mémorisées grâce à la dépose d’un cookie.

S’il scrolle significativement, s’il clique sur la croix “fermer”, il est réputé avoir accepté la dépose de l’ensemble des cookies. En revanche, s’il refuse les cookies, son choix est mémorisé grâce à la dépose d’un cookie technique.

Les grandes fonctions du CCS.

Tag management system (TMS) et Cookie consent solution (CCS)  sont deux choses différentes. Les principales fonctions de la CCS sont les suivantes :

– Information de l’internaute sur l’utilisation des cookies.

– Contrôle du type de cookies en “opt-out” (par défaut activé, mais l’internaute a la possibilité de demander à les supprimer)

– Respect des réglementations locales. L’éditeur doit s’assurer que la  CSS qu’on choisit est compliant.

– Le CCS autorise ou non l’exécution des tags en fonction des options retenues par l’internaute.

Le CSS faut donc être capable de distinguer les tags (publicitaires, tracking, social, fonctionnel …). 

CCS : les questions à se poser  

– Pays ciblés (les règles actuelles varient d’un pays à l’autre)

– Web mobile (site responsive ou dédié, PWA, …)

– Applications mobiles ?

– Les tags implémentés sont-ils compatibles avec la CCS retenue ? (attention aux tags synchrones par exemple. Si ce tag dépose un cookie préalablement au recueil du consentement lorsqu’il est requis, alors la CCS n’est pas compliant)

– L’éditeur de la CCS prend-il l’engagement d’adapter son produit aux évolutions de réglementation à venir ?

– Attention aux solutions “sorties de nulle part”, gratuites et sans garantie sur le vol de données.

CCS : quelques exemples

– Cookie Consent by 55 (compatible GTM). 

– Tealium tag management (payant, suite complète).

– Tag Commander de Commanders Acts (payant, suite complète).

– QuBit Opentag Privacy Management.

– TRUSTe.

– Cookie Consent Kit de l’Union Européenne.

– CookieBot

A savoir : un bon outil de CCS n’a pas besoin de déposer un cookie au moment où il s’exécute.

Quel est le lien entre le cookie consent et le TMS ? 

Le TMS n’est pas indispensable lorsqu’on souhaite déployer une CCS. Sans TMS, l’implémentation de la CCS est compliquée mais reste possible. Toutefois, certaines CCS obligent à l’utilisation d’un TMS particulier. Dans les deux cas, pour implémenter un TMS ou une CCS, il faudra passer sur toutes les pages de ses sites. Il est donc plus judicieux de commencer par implémenter un TMS, avant de déployer une CCS. Si l’éditeur veut implémenter GTM, il devra le cas échéant choisir une CCS compatible.  Deux cas de figure se dessinent :

1 – Soit l’éditeur utilise déjà un TMS : il peut d’abord vérifier que son TMS n’intègre pas de CCS en option. Si ce n’est pas le cas, il peut choisir une CCS compatible ou développer sa propre CCS. La plupart des TMS permettent de catégoriser les tags dans un ou plusieurs containers différents. GTM recommande de ne pas multiplier les containers.

2 – Soit l’éditeur n’utilise pas de TMS : il est recommandé de choisir un produit “tout en un” (QuBit, Tag Commander, Ensighten, …), ou alors intégrer un TMS existant et une CCS compatible (GTM + 55 …). Mais il peut aussi tout développer en “in house” (ex : partir de QuBit Open source, et développer sa propre CCS). 

Pour aller plus loin :

Consultez le “Baromètre webanalyse et tag management 2016” du cabinet Converteo sur les usages des différents outils de tag management systems et de la webanalyse. Il a été produit à partir du top 200 des sites d’Alexa en France : disponible ici sur Slideshare https://fr.slideshare.net/Converteo/baromtre-webanalyse-et-tag-management-2016

Liens utiles :

QuBit open-source : https://github.com/QubitProducts/OpenTag

QuBit : http://www.qubit.com/fr/solutions/tag-management

Tealium : http://tealium.com/products/tealium-iq-tag-management-system/

Tag Commander : https://www.commandersact.com/en/

Adobe DTM : http://www.adobe.com/fr/marketing-cloud/activation.html

Rakuten DC Storm : https://dc-storm.com/en-uk/approach-technology/storm-platform/storm-tag-manager/index.html

55 : http://www.fifty-five.fr/

Ensighten : https://www.ensighten.com/tag-management-fundamentals/

TRUSTe : https://www.truste.com/business-products/dpm-platform/consent-manager/

EU CCK : http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5

Cookie Consent by Insites : https://cookieconsent.insites.com/

CookieBot : https://www.cookiebot.com/fr/start

Cookie Control : https://www.civicuk.com/cookie-control/index