Test de l'outil de recueil de consentement RGPD de Quantcast

 

Depuis la mise en application du r√®glement g√©n√©ral pour la protection des donn√©es personnelles le 25 mai 2018, c'est la panique : le moindre petit site doit se mettre en conformit√© sous peine d'amendes colossales. D√®s lors que votre site web utilise des services tels qu'un formulaire de contact, un reCaptcha, une newsletter, un espace membre, des boutons de partage sur les r√©seaux sociaux, Google Analytics, Google Adsense, les Google fonts, de l'affiliation… vous √™tes concern√©.

Le texte de loi est – comme d'habitude – absolument imbouffable, la CNIL ne r√©pond pas aux mails de demande d'aide (merci les mecs !) et j'ai personnellement perdu pr√®s de 15 jours (non facturables bien s√Ľr) √† r√©diger des pages de politique de confidentialit√©, des registres de traitement des donn√©es et √† faire √©voluer mes scripts de newsletter pour permettre l'opt-in et l'opt-out.

Quant au simple bandeau avertissant de l'utilisation des cookies, il n'est plus suffisant ! Résultat on voit de plus en plus fleurir des popups proposant à l'utilisateur de choisir précisément comment ses données seront recueillies. Parfois très intrusifs, surtout en vue mobile. Et la solution qui semble avoir le plus de succès est celle proposée par Quantcast.

Quantcast est un spécialiste de la publicité programmatique et de la mesure d'audience sur internet. Basée sur le framework IAB (une architecture standardisée pour nous aider les  à respecter les exigences du RGPD), leur solution est responsive, et ils proposent même un plugin WordPress. Et surtout, l'outil est gratuit.

Dans leur documentation, leur solution est nommée CMP (Consent Management Provider) : c'est une entité qui centralise et gère le consentement des utilisateurs.

Voici √† quoi ressemble leur popup. Vous l'avez forc√©ment d√©j√† rencontr√©…

Popup Quantcast

Le clic sur le lien ¬ę¬†show purposes¬†¬Ľ vous m√®ne √† cet √©cran qui vous permet de d√©sactiver les usages.

Popup Quantcast

 

Par contre, je n'ai toujours pas compris exactement si le popup se chargeait de la t√Ęche d'informer les diff√©rents services tiers du refus de l'utilisateur, en cas de refus…

 

Pour créer votre popup, rendez-vous sur cette page. Si c'est votre première visite, vous êtes accueilli par ce fameux popup. Sinon, cliquez sur Get started.

On arrive sur un formulaire d'inscription.

Assistant de création

Etape 1 Рparamétrage de la solution

Notez que tous ces paramètres peuvent ensuite être modifiés dans le code javascript qui sera fourni à la dernière étape.

 

Formulaire d'inscription Quantcast

¬ę¬†Which users should be asked for consent?¬†¬Ľ :¬†correspond √† la valeur¬†¬ę¬†Display UI¬†¬Ľ dans l'API. J'ai choisi de cibler uniquement les utilisateurs de l'Union Europ√©enne. Les ressortissants am√©ricains ne verront pas le popup…

¬ę¬†If a user consents and then the vendor list is updated with new vendors, how long do you want to wait before asking the user for consent again?¬†¬Ľ correspond √†¬† ¬ę¬†Min Days Between UI Displays¬†¬Ľ. On indique √† quelle fr√©quence (en jours), le CMP doit v√©rifier s'il y a eu des changements √† la liste des publicitaires, et si c'est le cas, pr√©senter le popup √† nouveau √† l'utilisateur. Le consentement sera, de toutes fa√ßons, redemand√© au bout de 13 mois.

¬ę¬†How will you use customer data?¬†¬Ľ. 5 options sont propos√©es (correspond √† ¬ę¬†Publisher Purpose IDs'¬†¬Ľ dans l'API)

  • Information storage and access (Conservation et acc√®s aux informations)
  • Personalisation
  • Ad selection, delivery, reporting (S√©lection, diffusion et signalement de publicit√©s)
  • Content selection, delivery, reporting (S√©lection, diffusion et signalement de contenu)
  • Measurement (√Čvaluation)

Ce sont les options seront proposées au niveau de la 2e étape du popup, avec les boutons on/off.

¬ę¬†URL to which the user will be redirected to in case they do not give consent¬†¬Ľ : on peut mentionner l'URL d'une page vers laquelle rediriger l'utilisateur qui refuse tous les choix. Correspond √† la valeur ¬ę¬†Post Consent Page¬†¬Ľ. Ce champ n'est pas obligatoire. On peut par exemple rediriger l'utilisateur vers la page de politique de confidentialit√©, dans laquelle on explique quel est le b√©n√©fice de l'utilisation des cookies (ne pas avoir √† re-saisir son mot de passe √† chaque fois, profiter des services gratuitement…). Ou vers une page ¬ę¬†merci pour votre choix¬†¬Ľ.

¬ę¬†When users set consent preferences on your site, those settings should apply to¬†¬Ľ (correspond √† la valeur Consent Scope) propose les choix suivants :

  • Votre site et les autres sites qu'ils visiteront (valeur ¬ę¬†global¬†¬Ľ) : si l'utilisateur, apr√®s avoir visit√© votre site, arrive sur un autre site utilisant le m√™me syst√®me de recueil de consentement, les m√™mes param√®tres seront appliqu√©s. Son choix s'appliquera donc partout o√Ļ il naviguera sur internet. Un cookie tiers stock√© sur le domaine consensu.org de¬†IAB Europe central est utilis√©.
  • Votre site seulement (valeur ¬ę¬†service¬†¬Ľ)
  • Un groupe de vos sites et d'autres sites qu'ils visiteront (valeur ¬ę¬†global group¬†¬Ľ). Si on choisit l'option ¬ę¬†groupe de sites¬†¬Ľ, on doit fournir un nom de domaine pour ce groupe. Il faut pr√©voir √©galement du temps de d√©veloppement suppl√©mentaire pour coder une API JSON capable de g√©rer et de stocker les valeurs de consentement. Afin d'√©viter les erreurs de type cross-origin, le plus simple est de rester dans le cadre du m√™me nom de domaine et ses sous-domaines.
  • Un groupe de vos sites seulement (valeur ¬ę¬†service group¬†¬Ľ)

¬ę¬†Select your UI langauge¬†¬Ľ : la langue par d√©faut est l'anglais, mais le CMP de Quantcast supporte une dizaine de langues, dont le Fran√ßais.

 

Etape 2 – personnalisation de l'interface

On va param√©trer les couleurs du popup (par d√©faut, c'est blanc et bleu), sa position dans la page (centr√© ou en bas)… une multitude d'options ! Avec des aper√ßus pour voir √† quoi cela ressemblera.

Personnalisation de l'interface

 

Par exemple, pour changer la couleur des boutons (texte, contour et fond), j'ai renseigné le code hex de la couleur dans les champs PRIMARY BUTTON COLOR, SECONDARY BUTTON COLOR, SECONDARY BUTTON TEXT COLOR, ce qui donne ceci :

Personnalisation de la couleur des boutons

 

Pour les toggle, j'ai renseigné TOGGLE ACTIVE COLOR. Voici le résultat :

Toggles personnalisés

 

Et pour terminer, il faut donner quelques informations sur nous (nom, email, URL du site qui utilisera l'outil)… Cela ne cr√©e pas de compte sur Quantcast.

Ensuite, on obtient le code javascript. Un énoooorme pavé !

Code d'installation

En parall√®le, un email nous est envoy√©. Dans le cas de ma bo√ģte Outlook, il a atterri dans le dossier spam. Dans le cas de ma bo√ģte Free.fr, il n'est jamais arriv√©…¬† Mais on peut faire sans : en effet, il aurait √©t√© souhaitable que ce mail explique simplement quoi faire avec le code au lieu de se contenter de donner un lien vers le guide d'impl√©mentation technique, qui est un poil trop d√©taill√© pour un simple d√©marrage.

Installation du code

ATTENTION dans la version fran√ßaise, Quantcast a oubli√© d'√©chapper les apostrophes dans les textes. Ce qui fait que le code ne fonctionnera tout simplement pas,¬†m√™me si vous l'avez correctement install√©. Il vous faut aller dans la partie correspondant √† la valeur pour le champ ¬ę¬†Initial Screen Body Text¬†¬Ľ et √©chapper tous les apostrophes de la phrase (changer d\'avis au lieu de¬†changer d'avis)

 'Initial Screen Body Text': 'Nos partenaires et nous-mêmes utilisent différentes technologies, telles que les cookies, pour personnaliser les contenus et les publicités, proposer des fonctionnalités sur les réseaux sociaux et analyser le trafic. Merci de cliquer sur le bouton ci-dessous pour donner votre accord. Vous pouvez changer d\'avis et modifier vos choix à tout moment',

Sinon, l'installation en elle-même est très simple. Il suffit de placer le pavé de code dans le code source de notre site, avant les balises fermantes </body> et </html>. En ce qui me concerne, je l'ai placé tout en bas, à la fin du footer. Dans le cas d'un site en php, je conseille de le mettre dans un fichier à part (que j'ai nommé quantcast-consent.php et que j'ai mis dans mon répertoire /scripts, à vous d'adapter en fonction de vos habitudes), qu'on charge ensuite avec include()

<?php include("scripts/quantcast-consent.php"); ?>

Par contre, il faut éviter les logos carrés et en trop basse résolution, car ils sont déformés par défaut. La taille conseillée est de 170px de large et 90px de haut. Sinon, vous pouvez également surcharger la classe .qc-cmp-publisher-logo en remplaçant la valeur max-width: 170px; par max-width: 90px;

Vous pouvez aussi changer les param√®tres et les textes affich√©s. Par exemple, renseigner un lien vers la politique de confidentialit√© que vous avez pass√© tant de temps √† r√©diger, gr√Ęce au param√®tre¬†‘Custom Links Displayed on Initial Screen' (et non pas ‘initScreenCustomLinks' comme pr√©sent√© dans leur documentation…).

Voici un exemple sur le site de l'Encyclopédie de l'Eurodance

'Custom Links Displayed on Initial Screen': [
   "[Privacy policy](https://www.eurokdj.com/privacy_policy.php)",
   "[Contact us](https://www.eurokdj.com/contact.php)"
]

Quand on contacte le service technique, la r√©ponse arrive, mais au bout de plusieurs jours. Il vaut mieux s'armer de patience…

 

En conclusion, un outil tr√®s utile pour vous accompagner dans votre processus de mise en conformit√© avec le RGPD, dont la complexit√© peut¬†¬†vite s'av√©rer un cauchemar, d'autant que la CNIL n'est d'aucune aide… Attention toutefois au petit bug de la version fran√ßaise, qui a depuis √©t√© corrig√©.

 

Comment ça fonctionne ?

L'outil de recueil du consentement enregistre les choix de consentement des internautes sous la forme de logs que Quantcast stocke sur ses serveurs. Un éditeur de site peut avoir besoin d'y avoir accès, dans le cadre d'un audit de la CNIL par exemple.

L'outil crypte √©galement les choix de consentement en un signal appel√© le ¬ę¬†Consent String¬†¬Ľ. Ce signal est d√©crypt√© par les partenaires de l'√©diteur du siteet les soci√©t√©s adtech (qui r√©alisent des op√©rations de traitement utilisant des donn√©es personnelles pour diffuser des publicit√©s, cibl√©es ou non cibl√©es, sur le site, par exemple). Les partenaires sont responsables du respect des choix de l'internaute contenus dans le signal.

Ce Consent String suit des règles bien précises édictées par l'IAB (Interactive Advertising Bureau). Cet ensemble de règles est régie au sein du Transparency and Consent Framework (TCF).

Attention, toutes les régies, par exemple Facebook ou Google Analytics n'ont pas adhéré à l'IAB

L'outil de recueil du consentement ne bloque pas les cookies par défaut.

 

UPDATE (09/10/2020) : Quantcast a publi√© une nouvelle version de son API. Il faut d√©sormais cr√©er un profil et ajouter ses sites sous leur interface pleine de bugs. Par d√©faut, c'est l'onglet correspondant √† leur outil de mesure qui est affich√©, il faut chercher sous ¬ę¬†Privacy¬†¬Ľ pour retrouver l'outil de consentement. Tout est rassembl√© sous un ¬ę¬†universal tag¬†¬Ľ qui vient remplacer l'ancien code.

Attention, le tracking ne se fait pas imm√©diatement. Et pour l'un des sites qui a servi de test, la fen√™tre de l'outil n'appara√ģt jamais, tandis que la console de d√©bogage affiche une belle erreur 403. Entre-temps, le support client a disparu. En attendant de trouver un autre outil (pas celui de chez Didomi, c'est v√©ritable cauchemar pour les visiteurs des sites √† qui il fait perdre un temps fou… peut-√™tre Axceptio ou Sirdata ?), j'ai remis l'ancien code.

Karine SANCHE

Partager cet article