Test de l'outil de recueil de consentement RGPD de Quantcast

 

Depuis la mise en application du règlement gĂ©nĂ©ral pour la protection des donnĂ©es personnelles le 25 mai 2018, c'est la panique : le moindre petit site doit se mettre en conformitĂ© sous peine d'amendes colossales. Dès lors que votre site web utilise des services tels qu'un formulaire de contact, un reCaptcha, une newsletter, un espace membre, des boutons de partage sur les rĂ©seaux sociaux, Google Analytics, Google Adsense, les Google fonts, de l'affiliation… vous ĂŞtes concernĂ©.

Le texte de loi est – comme d'habitude – absolument imbouffable, la CNIL ne rĂ©pond pas aux mails de demande d'aide (merci les mecs !) et j'ai personnellement perdu près de 15 jours (non facturables bien sĂ»r) Ă  rĂ©diger des pages de politique de confidentialitĂ©, des registres de traitement des donnĂ©es et Ă  faire Ă©voluer mes scripts de newsletter pour permettre l'opt-in et l'opt-out.

Quant au simple bandeau avertissant de l'utilisation des cookies, il n'est plus suffisant ! Résultat on voit de plus en plus fleurir des popups proposant à l'utilisateur de choisir précisément comment ses données seront recueillies. Parfois très intrusifs, surtout en vue mobile. Et la solution qui semble avoir le plus de succès est celle proposée par Quantcast.

Quantcast est un spécialiste de la publicité programmatique et de la mesure d'audience sur internet. Basée sur le framework IAB (une architecture standardisée pour nous aider les  à respecter les exigences du RGPD), leur solution est responsive, et ils proposent même un plugin WordPress. Et surtout, l'outil est gratuit.

Dans leur documentation, leur solution est nommée CMP (Consent Management Provider) : c'est une entité qui centralise et gère le consentement des utilisateurs.

Voici Ă  quoi ressemble leur popup. Vous l'avez forcĂ©ment dĂ©jĂ  rencontrĂ©…

Popup Quantcast

Le clic sur le lien « show purposes » vous mène à cet écran qui vous permet de désactiver les usages.

Popup Quantcast

 

Par contre, je n'ai toujours pas compris exactement si le popup se chargeait de la tâche d'informer les diffĂ©rents services tiers du refus de l'utilisateur, en cas de refus…

 

Pour créer votre popup, rendez-vous sur cette page. Si c'est votre première visite, vous êtes accueilli par ce fameux popup. Sinon, cliquez sur Get started.

On arrive sur un formulaire d'inscription.

Assistant de création

Etape 1 – paramĂ©trage de la solution

Notez que tous ces paramètres peuvent ensuite être modifiés dans le code javascript qui sera fourni à la dernière étape.

 

Formulaire d'inscription Quantcast

« Which users should be asked for consent? » : correspond Ă  la valeur « Display UI » dans l'API. J'ai choisi de cibler uniquement les utilisateurs de l'Union EuropĂ©enne. Les ressortissants amĂ©ricains ne verront pas le popup…

« If a user consents and then the vendor list is updated with new vendors, how long do you want to wait before asking the user for consent again? » correspond à  « Min Days Between UI Displays ». On indique à quelle fréquence (en jours), le CMP doit vérifier s'il y a eu des changements à la liste des publicitaires, et si c'est le cas, présenter le popup à nouveau à l'utilisateur. Le consentement sera, de toutes façons, redemandé au bout de 13 mois.

« How will you use customer data? ». 5 options sont proposées (correspond à « Publisher Purpose IDs' » dans l'API)

  • Information storage and access (Conservation et accès aux informations)
  • Personalisation
  • Ad selection, delivery, reporting (SĂ©lection, diffusion et signalement de publicitĂ©s)
  • Content selection, delivery, reporting (SĂ©lection, diffusion et signalement de contenu)
  • Measurement (Évaluation)

Ce sont les options seront proposées au niveau de la 2e étape du popup, avec les boutons on/off.

« URL to which the user will be redirected to in case they do not give consent » : on peut mentionner l'URL d'une page vers laquelle rediriger l'utilisateur qui refuse tous les choix. Correspond Ă  la valeur « Post Consent Page ». Ce champ n'est pas obligatoire. On peut par exemple rediriger l'utilisateur vers la page de politique de confidentialitĂ©, dans laquelle on explique quel est le bĂ©nĂ©fice de l'utilisation des cookies (ne pas avoir Ă  re-saisir son mot de passe Ă  chaque fois, profiter des services gratuitement…). Ou vers une page « merci pour votre choix ».

« When users set consent preferences on your site, those settings should apply to » (correspond à la valeur Consent Scope) propose les choix suivants :

  • Votre site et les autres sites qu'ils visiteront (valeur « global ») : si l'utilisateur, après avoir visitĂ© votre site, arrive sur un autre site utilisant le mĂŞme système de recueil de consentement, les mĂŞmes paramètres seront appliquĂ©s. Son choix s'appliquera donc partout oĂą il naviguera sur internet. Un cookie tiers stockĂ© sur le domaine consensu.org de IAB Europe central est utilisĂ©.
  • Votre site seulement (valeur « service »)
  • Un groupe de vos sites et d'autres sites qu'ils visiteront (valeur « global group »). Si on choisit l'option « groupe de sites », on doit fournir un nom de domaine pour ce groupe. Il faut prĂ©voir Ă©galement du temps de dĂ©veloppement supplĂ©mentaire pour coder une API JSON capable de gĂ©rer et de stocker les valeurs de consentement. Afin d'Ă©viter les erreurs de type cross-origin, le plus simple est de rester dans le cadre du mĂŞme nom de domaine et ses sous-domaines.
  • Un groupe de vos sites seulement (valeur « service group »)

« Select your UI langauge » : la langue par défaut est l'anglais, mais le CMP de Quantcast supporte une dizaine de langues, dont le Français.

 

Etape 2 – personnalisation de l'interface

On va paramĂ©trer les couleurs du popup (par dĂ©faut, c'est blanc et bleu), sa position dans la page (centrĂ© ou en bas)… une multitude d'options ! Avec des aperçus pour voir Ă  quoi cela ressemblera.

Personnalisation de l'interface

 

Par exemple, pour changer la couleur des boutons (texte, contour et fond), j'ai renseigné le code hex de la couleur dans les champs PRIMARY BUTTON COLOR, SECONDARY BUTTON COLOR, SECONDARY BUTTON TEXT COLOR, ce qui donne ceci :

Personnalisation de la couleur des boutons

 

Pour les toggle, j'ai renseigné TOGGLE ACTIVE COLOR. Voici le résultat :

Toggles personnalisés

 

Et pour terminer, il faut donner quelques informations sur nous (nom, email, URL du site qui utilisera l'outil)… Cela ne crĂ©e pas de compte sur Quantcast.

Ensuite, on obtient le code javascript. Un énoooorme pavé !

Code d'installation

En parallèle, un email nous est envoyĂ©. Dans le cas de ma boĂ®te Outlook, il a atterri dans le dossier spam. Dans le cas de ma boĂ®te Free.fr, il n'est jamais arrivĂ©…  Mais on peut faire sans : en effet, il aurait Ă©tĂ© souhaitable que ce mail explique simplement quoi faire avec le code au lieu de se contenter de donner un lien vers le guide d'implĂ©mentation technique, qui est un poil trop dĂ©taillĂ© pour un simple dĂ©marrage.

Installation du code

ATTENTION dans la version française, Quantcast a oublié d'échapper les apostrophes dans les textes. Ce qui fait que le code ne fonctionnera tout simplement pas, même si vous l'avez correctement installé. Il vous faut aller dans la partie correspondant à la valeur pour le champ « Initial Screen Body Text » et échapper tous les apostrophes de la phrase (changer d\'avis au lieu de changer d'avis)

 'Initial Screen Body Text': 'Nos partenaires et nous-mêmes utilisent différentes technologies, telles que les cookies, pour personnaliser les contenus et les publicités, proposer des fonctionnalités sur les réseaux sociaux et analyser le trafic. Merci de cliquer sur le bouton ci-dessous pour donner votre accord. Vous pouvez changer d\'avis et modifier vos choix à tout moment',

Sinon, l'installation en elle-même est très simple. Il suffit de placer le pavé de code dans le code source de notre site, avant les balises fermantes </body> et </html>. En ce qui me concerne, je l'ai placé tout en bas, à la fin du footer. Dans le cas d'un site en php, je conseille de le mettre dans un fichier à part (que j'ai nommé quantcast-consent.php et que j'ai mis dans mon répertoire /scripts, à vous d'adapter en fonction de vos habitudes), qu'on charge ensuite avec include()

<?php include("scripts/quantcast-consent.php"); ?>

Par contre, il faut éviter les logos carrés et en trop basse résolution, car ils sont déformés par défaut. La taille conseillée est de 170px de large et 90px de haut. Sinon, vous pouvez également surcharger la classe .qc-cmp-publisher-logo en remplaçant la valeur max-width: 170px; par max-width: 90px;

Vous pouvez aussi changer les paramètres et les textes affichĂ©s. Par exemple, renseigner un lien vers la politique de confidentialitĂ© que vous avez passĂ© tant de temps Ă  rĂ©diger, grâce au paramètre ‘Custom Links Displayed on Initial Screen' (et non pas ‘initScreenCustomLinks' comme prĂ©sentĂ© dans leur documentation…).

Voici un exemple sur le site de l'Encyclopédie de l'Eurodance

'Custom Links Displayed on Initial Screen': [
   "[Privacy policy](https://www.eurokdj.com/privacy_policy.php)",
   "[Contact us](https://www.eurokdj.com/contact.php)"
]

Quand on contacte le service technique, la rĂ©ponse arrive, mais au bout de plusieurs jours. Il vaut mieux s'armer de patience…

 

En conclusion, un outil très utile pour vous accompagner dans votre processus de mise en conformitĂ© avec le RGPD, dont la complexitĂ© peut  vite s'avĂ©rer un cauchemar, d'autant que la CNIL n'est d'aucune aide… Attention toutefois au petit bug de la version française, qui a depuis Ă©tĂ© corrigĂ©.

 

Comment ça fonctionne ?

L'outil de recueil du consentement enregistre les choix de consentement des internautes sous la forme de logs que Quantcast stocke sur ses serveurs. Un éditeur de site peut avoir besoin d'y avoir accès, dans le cadre d'un audit de la CNIL par exemple.

L'outil crypte également les choix de consentement en un signal appelé le « Consent String ». Ce signal est décrypté par les partenaires de l'éditeur du siteet les sociétés adtech (qui réalisent des opérations de traitement utilisant des données personnelles pour diffuser des publicités, ciblées ou non ciblées, sur le site, par exemple). Les partenaires sont responsables du respect des choix de l'internaute contenus dans le signal.

Ce Consent String suit des règles bien précises édictées par l'IAB (Interactive Advertising Bureau). Cet ensemble de règles est régie au sein du Transparency and Consent Framework (TCF).

Attention, toutes les régies, par exemple Facebook ou Google Analytics n'ont pas adhéré à l'IAB

L'outil de recueil du consentement ne bloque pas les cookies par défaut.

 

UPDATE (09/10/2020) : Quantcast a publié une nouvelle version de son API. Il faut désormais créer un profil et ajouter ses sites sous leur interface pleine de bugs. Par défaut, c'est l'onglet correspondant à leur outil de mesure qui est affiché, il faut chercher sous « Privacy » pour retrouver l'outil de consentement. Tout est rassemblé sous un « universal tag » qui vient remplacer l'ancien code.

Attention, le tracking ne se fait pas immĂ©diatement. Et pour l'un des sites qui a servi de test, la fenĂŞtre de l'outil n'apparaĂ®t jamais, tandis que la console de dĂ©bogage affiche une belle erreur 403. Entre-temps, le support client a disparu. En attendant de trouver un autre outil (pas celui de chez Didomi, c'est vĂ©ritable cauchemar pour les visiteurs des sites Ă  qui il fait perdre un temps fou… peut-ĂŞtre Axceptio ou Sirdata ?), j'ai remis l'ancien code.

Karine SANCHE

Partager cet article