CMP : choisir et configurer votre plateforme de gestion du consentement

CMP : choisir et configurer votre plateforme de gestion du consentement

La CMP (Consent Management Platform) est devenue un élément incontournable de la conformité des sites web. Depuis les recommandations de la CNIL du 1er octobre 2020, tout site déposant des traçeurs non essentiels doit recueillir le consentement préalable de l’utilisateur de manière conforme. Le choix et la configuration de la CMP déterminent la conformité juridique, l’expérience utilisateur et les taux de consentement qui conditionnent l’efficacité des campagnes marketing.

Qu’est-ce qu’une CMP et pourquoi est-elle indispensable ?

Rôle fonctionnel

Une CMP gère le cycle complet du consentement aux traçeurs :

• Affichage du bandeau : présentation des finalités avec possibilité d’accepter, refuser ou paramétrer ses choix.
• Blocage conditionnel des scripts : les traçeurs soumis à consentement (Google Analytics, pixels publicitaires, retargeting) ne sont pas déclenchés avant consentement.
• Stockage des préférences : les choix sont enregistres via un cookie de consentement pour éviter de solliciter l’utilisateur à chaque page.
• Retrait du consentement : l’utilisateur peut modifier ses choix à tout moment, aussi facilement qu’il les a donnés.
• Conservation de la preuve : registre horodate des consentements recueillis, démontrant la conformité en cas de contrôle.

L’obligation juridique

L’article 82 de la loi Informatique et Libertés (transposant l’article 5, paragraphe 3 de la directive ePrivacy) posé le principe du consentement préalable pour tout accès ou inscription d’informations dans le terminal d’un utilisateur, sauf exceptions (traçeurs strictement nécessaires). La CNIL a précisé que ce consentement doit être recueilli avant le dépôt de tout traceur non essentiel, ce que seule une CMP correctement configurée peut garantir techniquement.

Pour le cadre juridique complet applicable aux cookies, consultez notre guide sur les cookies et la conformité RGPD.

Le TCF v2.2 : le standard du marché publicitaire

Présentation du framework

Le TCF (Transparency and Consent Framework) est un standard technique développé par l’IAB Europe pour harmoniser la gestion du consentement dans l’écosystème publicitaire programmatique. La version actuellement en vigueur est le TCF v2.2, qui a remplacé la version 2.0 en novembre 2023. Le TCF définit un vocabulaire commun (finalités, fonctionnalités spéciales, bases légales) et un mécanisme technique (la TC String) permettant de transmettre les choix de consentement de l’utilisateur à l’ensemble de la chaîne programmatique : éditeur, SSP, DSP, DMP et autres intermédiaires.

Les finalités du TCF v2.2

Le TCF v2.2 définit onze finalités standardisées, de l’accès aux informations sur l’appareil à la mesure de performance en passant par la création de profils publicitaires. Un changement majeur par rapport à la version 2.0 : la suppression du recours à l’intérêt légitime pour les finalités de profilage et personnalisation (finalités 3, 4, 5, 6), désormais soumises au consentement obligatoire.

TCF et conformité CNIL

La CNIL a souligné que la conformité au TCF ne garantit pas automatiquement la conformité au droit français. Points d’attention : la granularité des choix (nombre élevé de finalités et vendeurs pouvant nuire au caractère éclairé du consentement), les listes de centaines de vendeurs partenaires, et l’effectivité du respect des choix par l’ensemble de la chaîne.

Critères de choix d’une CMP

Conformité juridique

Le premier critère de sélection doit être la capacité de la CMP à garantir la conformité aux exigences de la CNIL :

• Blocage effectif des scripts : la CMP doit bloquer tous les traçeurs non essentiels avant obtention du consentement. Un simple bandeau d’information qui n’empêche pas le dépôt de cookies est non conforme, et c’est le défaut le plus fréquemment constate lors des contrôles.
• Refus aussi simple que l’acceptation : la CNIL exigé qu’un bouton “Tout refuser” soit propose au même niveau que le bouton “Tout accepter”, avec le même degré de visibilité et d’accessibilité.
• Absence de dark patterns : la CMP ne doit pas recourir à des interfaces trompeuses (bouton d’acceptation plus visible, parcours de refus plus long, couleurs orientées vers l’acceptation). La CNIL a sanctionné plusieurs acteurs majeurs pour ces pratiques.
• Renouvellement périodique : la CNIL recommandé que le consentement soit renouvelé tous les 6 mois maximum, ce qui impose une gestion de l’expiration du cookie de consentement.
• Preuve du consentement : la CMP doit conserver un enregistrement horodate et détaillé des choix de chaque utilisateur, accessible en cas de contrôle.

Critères techniques

• Performance : l’impact de la CMP sur le temps de chargement du site est un critère important. Certaines CMP ajoutent plusieurs centaines de millisecondes au chargement initial, ce qui affecte les Core Web Vitals et donc le référencement naturel.
• Compatibilité : la CMP doit être compatible avec votre stack technique (tag managers, frameworks JavaScript, applications mobiles) et avec les plateformes publicitaires utilisées.
• Google Consent Mode v2 : le support natif de ce mécanisme est devenu indispensable pour les sites utilisant l’écosystème Google (voir section dédiée ci-dessous).
• APIs et personnalisation : la possibilité de personnaliser l’apparence du bandeau et d’accéder à des APIs pour des intégrations spécifiques.

Critères économiques

Le coût varie de solutions gratuites à plusieurs dizaines de milliers d’euros annuels, généralement base sur le nombre de pages vues, de domaines ou d’utilisateurs uniques.

Comparatif des principales CMP

Tarteaucitron

Solution open source française et gratuité, très utilisée par les petits et moyens sites. Points forts : gratuité, simplicité, bonne conformité CNIL. Limites : absence de support commercial, interface d’administration basique, pas de support natif TCF v2.2. Adaptee aux sites a budget limite avec des besoins publicitaires simples.

Axeptio

CMP française avec une expérience utilisateur soignée et une approche visuelle originale. Conforme CNIL, TCF v2.2, Google Consent Mode v2. Tarif à partir de 19 euros par mois. Adaptee aux sites soucieux de maximiser les taux de consentement grâce à une interface engageante.

Didomi

CMP française positionnée enterprise. Gestion multi-canal (web, mobile, CTV), conformité multi-juridiction (RGPD, CCPA, LGPD), TCF v2.2, reporting avance. Prix sur devis, à partir de plusieurs centaines d’euros par mois. Référence pour les grands groupes media et entreprises internationales.

Cookiebot (Usercentrics)

CMP d’origine danoise intégrée au groupé Usercentrics. Scan automatique des cookies, génération automatique de la politique cookies, TCF v2.2, Google Consent Mode v2. À partir de 12 euros par mois. Solution équilibrée pour les PME recherchant un bon rapport qualité-prix.

OneTrust

Acteur américain dominant sur le marché mondial de la privacy compliance. CMP intégrée à une suite complète (registre, DPIA, gestion des droits, gouvernance). Robuste, TCF v2.2, hautement personnalisable. Coût élevé (plusieurs milliers d’euros par an), ciblé grands comptes.

Synthèse

Critere	Tarteaucitron	Axeptio	Didomi	Cookiebot	OneTrust
Prix	Gratuit	Des 19 EUR/mois	Sur devis	Des 12 EUR/mois	Sur devis
TCF v2.2	Non	Oui	Oui	Oui	Oui
Consent Mode v2	Partiel	Oui	Oui	Oui	Oui
Open source	Oui	Non	Non	Non	Non
Cible	TPE/PME	PME/ETI	Grands comptes	PME/ETI	Grands comptes

Google Consent Mode v2

Contexte

Depuis mars 2024, Google exigé l’implémentation du Consent Mode v2 pour les sites utilisant ses services publicitaires dans l’EEE, au Royaume-Uni et en Suisse.

Fonctionnement

Le Consent Mode v2 permet aux balises Google de s’adapter au statut de consentement via quatre signaux :

• ad_storage : stockage d’informations publicitaires.
• analytics_storage : stockage d’informations de mesure.
• ad_user_data : envoi de données utilisateur a Google à des fins publicitaires.
• ad_personalization : publicité personnalisée.

Sans consentement, les balises fonctionnent en mode degrade avec des pings sans cookies permettant à Google une modélisation statistique des conversions.

Impact sur le choix de la CMP

Le Consent Mode v2 doit être supporte nativement. Axeptio, Didomi, Cookiebot et OneTrust le proposent en natif. Tarteaucitron le supporte partiellement avec configuration manuelle. Pour les sites dépendant de l’écosystème Google Ads, ce support est un critère déterminant : son absence entraîne une perte de données de conversion.

Les exigences CNIL : points de contrôle

Points de contrôle prioritaires

1. Bouton de refus au premier niveau. Le bouton “Tout refuser” doit être présent au même degré de visibilité que “Tout accepter”. Google (150 millions d’euros) et Facebook (60 millions d’euros) ont été sanctionnés en janvier 2022 pour l’absence d’un tel bouton.

2. Information complète. Le bandeau doit mentionner l’identité du responsable, les finalités en langage clair, la possibilité de refuser et les modalités de retrait du consentement.

3. Absence de cookie wall. La CNIL considéré que le conditionnement de l’accès à un site web à l’acceptation des traçeurs (cookie wall) est contraire au principe de liberté du consentement, sauf dans certaines hypothèses très encadrées (alternatives payantes proportionnées). Le Conseil d’État a toutefois admis la licite des cookie walls sous certaines conditions dans sa décision du 19 juin 2020, ce qui cree une zone de flou juridique que les professionnels doivent naviguer avec prudence.

4. Pas de dépôt avant consentement. Aucun traceur soumis à consentement ne doit être déposé avant que l’utilisateur ait exprimé un choix positif. La CMP doit bloquer effectivement tous les scripts concernés par défaut. Ce point est le plus critique techniquement et le plus souvent défaillant lors des contrôles de la CNIL.

5. Retrait facilité. Un mécanisme accessible à tout moment (icône ou lien en pied de page) doit permettre de modifier les préférences.

6. Renouvellement périodique. Maximum 6 mois selon les recommandations CNIL.

Configuration conforme : guide pratique

Étape 1 : inventaire des traçeurs

Distinguez les traçeurs strictement nécessaires (exempts de consentement), les traçeurs de mesure d’audience pouvant bénéficier de l’exemption CNIL, et les traçeurs soumis à consentement (analytics tiers, publicité, retargeting, réseaux sociaux).

Étape 2 : catégorisation par finalité

Regroupez par catégorie : mesure d’audience, publicité et ciblage, personnalisation, réseaux sociaux. Chaque catégorie doit pouvoir être acceptée ou refusée individuellement.

Étape 3 : configuration du blocage

Configurez la CMP pour bloquer effectivement tous les scripts de traçeurs soumis à consentement avant l’expression du choix de l’utilisateur. Cette configuration dépend de la méthode technique utilisée par la CMP :

• Remplacement des balises script par des balises inactives (méthode Tarteaucitron).
• Intégration via Google Tag Manager avec des déclencheurs conditionnels bases sur l’état du consentement.
• Injection dynamique des scripts uniquement après obtention du consentement positif de l’utilisateur.

Étape 4 : test et audit

Vérifiez qu’aucun cookie non essentiel n’est déposé avant consentement (outils de développement du navigateur), que le refus bloqué effectivement tous les traçeurs, que le retrait supprimé les cookies et que les préférences sont correctement transmises. Des outils comme Legiscope permettent d’automatiser ces vérifications et de maintenir un suivi continu.

Les coûts

Fourchettes de prix

• Faible trafic (moins de 50 000 pages vues/mois) : solutions gratuites (Tarteaucitron) ou entrée de gamme (Cookiebot 12 EUR/mois, Axeptio 19 EUR/mois).
• Trafic moyen (50 000 à 1 million) : offres intermédiaires (100 à 500 EUR/mois). Axeptio, Cookiebot et Didomi couvrent ce segment.
• Fort trafic ou multi-domaines : offres enterprise à partir de 1 000 EUR/mois. Didomi et OneTrust sont les références.

Couts cachés

• Intégration : de quelques heures (Tarteaucitron) à plusieurs jours (intégration enterprise).
• Maintenance : mise à jour de l’inventaire, ajout de scripts, adaptation réglementaire.
• Impact sur les revenus : un bandeau conforme (refus visible) entraîne une baisse du taux de consentement de 20 à 40 %, avec réduction proportionnelle des revenus publicitaires ciblés.

Conclusion

Le choix d’une CMP conditionné la conformité de votre site aux exigences CNIL, l’expérience utilisateur et la performance marketing. Les solutions françaises (Axeptio, Didomi, Tarteaucitron) offrent une conception nativement conforme aux recommandations CNIL. Les solutions internationales (Cookiebot, OneTrust) apportent des capacités multi-juridiction.

La configuration est au moins aussi importante que le choix de l’outil. Bandeau conforme, blocage effectif avant consentement et preuve robuste constituent le socle minimal. Pour la mise en conformité globale de votre stratégie cookies, consultez notre guide sur les cookies et la conformité RGPD. Les outils comme Legiscope facilitent l’audit initial et le suivi continu de votre conformité.