MenuMenu

Vérifiez l'integration de votre CMP en analysant les requetes du réseau

Depuis 2018 et l’instauration du RGPD en Europe, il est obligatoire pour un site de demander le consentement de ses utilisateurs pour déposer des cookies dans leur navigateur.

Mais demander ne suffit pas, il faut également s’assurer que le choix soit bien pris en compte. Et ce n’est pas toujours le cas … C'est ce qu'on appelle le consentement de façade. Vous pensez faire un choix, mais quoi qu'il arrive, les scripts tiers et donc cookies sont exécutés.

On pourrait établir trois typologies de consentement :

  • Le consentement en règle : demandé et respecté
  • Le consentement de façade : demandé et non respecté
  • L’absence de consentement demandé

Le fait de ne pas demander le consentement n’est pas forcément signe d’un non respect des règles. Il existe de nombreux sites qui ne mettent en place aucun traqueur, il n’ont donc aucun intérêt à mettre en place une CMP comme Axeptio (Consent Management Platform).

Le cas le plus problématique est le consentement de façade. Celui-ci n’est souvent pas volontaire et est la conséquence d’un manque de connaissance technique lors de l’installation du module de consentement. Les conséquences peuvent tout de même être importantes pour un site concerné par cette catégorie. Outre le manque de transparence et la perte potentielle de confiance des utilisateurs envers la marque, celle-ci risque une mise en demeure ou des sanctions de la CNIL.

Mais alors comment vérifier si le choix de l’utilisateur est pris en compte ou non ?

On peut utiliser deux méthodes :

  • Basée sur les cookies
  • Basée sur les requêtes

1. Méthode basée sur les cookies

A. Utiliser l’inspecteur Web

Pour ouvrir l’inspecteur web vous devez faire un clic droit + Inspecter sur Chrome (clic droit + Inspecter l’élément sur Safari).

image_content

Allez ensuite dans Appli (ou Stockage sur Safari) et selectionnez votre domaine dans la section Cookies.

image_content

Pour tester si le consentement est respecté sur un site, supprimez tous les cookies puis ne donnez pas le consentement. Si vous voyez alors des cookies comme _ga, _fbc, _fbp, gid, cela signifie que le site n’est pas en conformité vis-à-vis du RGPD.

B. Utiliser EditThisCookie

Une autre solution est d’utiliser le plugin Chrome EditThisCookie. Il remplit la même fonction que l’inspecteur web, mais de manière plus simplifiée. De plus, vous pouvez supprimez tous vos cookies d’un seul coup en cliquant sur la corbeille.

image_content

2. Méthode basée sur les requêtes

A. Analyser les requêtes sortantes

Autre méthode pour analyser si des traqueurs analytics ou marketing sont présent sur le site : les requêtes sortantes.

Une nouvelle fois, ouvrez l’inspecteur et allez dans la section Réseau. Vous pouvez alors rechercher un par un des vendors tels que :

  • Google
  • Facebook
  • LinkedIn
  • Snapchat
  • TikTok
  • Youtube
image_content

S’il y a une requête associée alors que vous refusé le consentement, il est possible que le site ne respecte pas législation en vigueur. Mais attention, il existe des exceptions détaillées ci-après.

B. Le cas du server-side

Certains sites décident de configurer leur tracking côté serveur. Il se peut alors que malgré le refus des cookies une requête Google Analytics sorte tout de même. Cela ne veut pas nécessairement dire que le site ne respecte pas le RGPD. Pour s’en assurer il faut réaliser des contrôles supplémentaires :

  • La requête sortante doit être à destination d’un sous-domaine de tracking (measure.mondomain.com par exemple) et non de Google Analytics.
  • Il ne faut pas des cookies soient déposés dans le navigateur, cela voudrait dire que le consentement n’est pas géré côté serveur (et nous sommes donc dans un cas de consentement de façade).

Afin d’en savoir plus sur la gestion du consentement dans le cadre d’un tracking serveur vous pouvez lire notre article dédié.

C. Le cas du Google Consent Mode

Le Google Consent Mode est un dispositif qui permet de déclencher des balises de tracking à destination de Google Analytics et Google Ads, même lorsque que l’utilisateur ne donne pas son consentement. La CNIL n’a pas statué sur cette fonctionnalité, qui certes ne dépose pas de cookie, mais qui envoie tout de même des informations (anonymisées) sur les serveurs de Google.

Chez Axeptio nous ne recommandons pas d’installer le Google Consent Mode.

Vous pouvez détecter un site qui l’utilise grâce au paramètre gcs dans le contenu d’une requête Google Analytics ou Google Ads. Ce gcs peut avoir plusieurs codes selon le choix de l’utilisateur :

G100 : L’utilisateur a refusé le consentement.

G101 : L’utilisateur a refusé le suivi publicitaire mais a accepté les cookies analytics

G110 : L’utilisateur a accepté le suivi publicitaire mais a refusé les cookies analytics

G111 : L’utilisateur a donné son consentement pour les publicités et l’analytics

Conclusion

Installer un module de consentement ne suffit pas à rendre un site conforme aux yeux de la CNIL. Il faut s’assurer que la CMP soit bien reliée au déclenchement des scripts de tracking. Comme vous avez pu le voir, contrôler que l’utilisateur est bien respecté dans son choix est simple, c’est pourquoi il est essentiel d’installer son module jusqu’au bout. N’hésitez pas à contacter les équipes Axeptio, si vous souhaitez vous faire accompagner dans l’installation de votre module.

Tag
CMP, Check, Network
Problème résolu
Vérifiez si l'integration de votre CMP est correctement faite.
Temps de mise en place
1h