CMP : choisir et configurer votre plateforme de gestion du consentement

La CMP (Consent Management Platform) est devenue un element incontournable de la conformite des sites web. Depuis les recommandations de la CNIL du 1er octobre 2020, tout site deposant des traceurs non essentiels doit recueillir le consentement prealable de l’utilisateur de maniere conforme. Le choix et la configuration de la CMP determinent la conformite juridique, l’experience utilisateur et les taux de consentement qui conditionnent l’efficacite des campagnes marketing.

Qu’est-ce qu’une CMP et pourquoi est-elle indispensable ?

Role fonctionnel

Une CMP gere le cycle complet du consentement aux traceurs :

• Affichage du bandeau : presentation des finalites avec possibilite d’accepter, refuser ou parametrer ses choix.
• Blocage conditionnel des scripts : les traceurs soumis a consentement (Google Analytics, pixels publicitaires, retargeting) ne sont pas declenches avant consentement.
• Stockage des preferences : les choix sont enregistres via un cookie de consentement pour eviter de solliciter l’utilisateur a chaque page.
• Retrait du consentement : l’utilisateur peut modifier ses choix a tout moment, aussi facilement qu’il les a donnes.
• Conservation de la preuve : registre horodate des consentements recueillis, demontrant la conformite en cas de controle.

L’obligation juridique

L’article 82 de la loi Informatique et Libertes (transposant l’article 5, paragraphe 3 de la directive ePrivacy) pose le principe du consentement prealable pour tout acces ou inscription d’informations dans le terminal d’un utilisateur, sauf exceptions (traceurs strictement necessaires). La CNIL a precise que ce consentement doit etre recueilli avant le depot de tout traceur non essentiel, ce que seule une CMP correctement configuree peut garantir techniquement.

Pour le cadre juridique complet applicable aux cookies, consultez notre guide sur les cookies et la conformite RGPD.

Le TCF v2.2 : le standard du marche publicitaire

Presentation du framework

Le TCF (Transparency and Consent Framework) est un standard technique developpe par l’IAB Europe pour harmoniser la gestion du consentement dans l’ecosysteme publicitaire programmatique. La version actuellement en vigueur est le TCF v2.2, qui a remplace la version 2.0 en novembre 2023. Le TCF definit un vocabulaire commun (finalites, fonctionnalites speciales, bases legales) et un mecanisme technique (la TC String) permettant de transmettre les choix de consentement de l’utilisateur a l’ensemble de la chaine programmatique : editeur, SSP, DSP, DMP et autres intermediaires.

Les finalites du TCF v2.2

Le TCF v2.2 definit onze finalites standardisees, de l’acces aux informations sur l’appareil a la mesure de performance en passant par la creation de profils publicitaires. Un changement majeur par rapport a la version 2.0 : la suppression du recours a l’interet legitime pour les finalites de profilage et personnalisation (finalites 3, 4, 5, 6), desormais soumises au consentement obligatoire.

TCF et conformite CNIL

La CNIL a souligne que la conformite au TCF ne garantit pas automatiquement la conformite au droit francais. Points d’attention : la granularite des choix (nombre eleve de finalites et vendeurs pouvant nuire au caractere eclaire du consentement), les listes de centaines de vendeurs partenaires, et l’effectivite du respect des choix par l’ensemble de la chaine.

Criteres de choix d’une CMP

Conformite juridique

Le premier critere de selection doit etre la capacite de la CMP a garantir la conformite aux exigences de la CNIL :

• Blocage effectif des scripts : la CMP doit bloquer tous les traceurs non essentiels avant obtention du consentement. Un simple bandeau d’information qui n’empeche pas le depot de cookies est non conforme, et c’est le defaut le plus frequemment constate lors des controles.
• Refus aussi simple que l’acceptation : la CNIL exige qu’un bouton “Tout refuser” soit propose au meme niveau que le bouton “Tout accepter”, avec le meme degre de visibilite et d’accessibilite.
• Absence de dark patterns : la CMP ne doit pas recourir a des interfaces trompeuses (bouton d’acceptation plus visible, parcours de refus plus long, couleurs orientees vers l’acceptation). La CNIL a sanctionne plusieurs acteurs majeurs pour ces pratiques.
• Renouvellement periodique : la CNIL recommande que le consentement soit renouvele tous les 6 mois maximum, ce qui impose une gestion de l’expiration du cookie de consentement.
• Preuve du consentement : la CMP doit conserver un enregistrement horodate et detaille des choix de chaque utilisateur, accessible en cas de controle.

Criteres techniques

• Performance : l’impact de la CMP sur le temps de chargement du site est un critere important. Certaines CMP ajoutent plusieurs centaines de millisecondes au chargement initial, ce qui affecte les Core Web Vitals et donc le referencement naturel.
• Compatibilite : la CMP doit etre compatible avec votre stack technique (tag managers, frameworks JavaScript, applications mobiles) et avec les plateformes publicitaires utilisees.
• Google Consent Mode v2 : le support natif de ce mecanisme est devenu indispensable pour les sites utilisant l’ecosysteme Google (voir section dediee ci-dessous).
• APIs et personnalisation : la possibilite de personnaliser l’apparence du bandeau et d’acceder a des APIs pour des integrations specifiques.

Criteres economiques

Le cout varie de solutions gratuites a plusieurs dizaines de milliers d’euros annuels, generalement base sur le nombre de pages vues, de domaines ou d’utilisateurs uniques.

Comparatif des principales CMP

Tarteaucitron

Solution open source francaise et gratuite, tres utilisee par les petits et moyens sites. Points forts : gratuite, simplicite, bonne conformite CNIL. Limites : absence de support commercial, interface d’administration basique, pas de support natif TCF v2.2. Adaptee aux sites a budget limite avec des besoins publicitaires simples.

Axeptio

CMP francaise avec une experience utilisateur soignee et une approche visuelle originale. Conforme CNIL, TCF v2.2, Google Consent Mode v2. Tarif a partir de 19 euros par mois. Adaptee aux sites soucieux de maximiser les taux de consentement grace a une interface engageante.

Didomi

CMP francaise positionnee enterprise. Gestion multi-canal (web, mobile, CTV), conformite multi-juridiction (RGPD, CCPA, LGPD), TCF v2.2, reporting avance. Prix sur devis, a partir de plusieurs centaines d’euros par mois. Reference pour les grands groupes media et entreprises internationales.

Cookiebot (Usercentrics)

CMP d’origine danoise integree au groupe Usercentrics. Scan automatique des cookies, generation automatique de la politique cookies, TCF v2.2, Google Consent Mode v2. A partir de 12 euros par mois. Solution equilibree pour les PME recherchant un bon rapport qualite-prix.

OneTrust

Acteur americain dominant sur le marche mondial de la privacy compliance. CMP integree a une suite complete (registre, DPIA, gestion des droits, gouvernance). Robuste, TCF v2.2, hautement personnalisable. Cout eleve (plusieurs milliers d’euros par an), cible grands comptes.

Synthese

Critere	Tarteaucitron	Axeptio	Didomi	Cookiebot	OneTrust
Prix	Gratuit	Des 19 EUR/mois	Sur devis	Des 12 EUR/mois	Sur devis
TCF v2.2	Non	Oui	Oui	Oui	Oui
Consent Mode v2	Partiel	Oui	Oui	Oui	Oui
Open source	Oui	Non	Non	Non	Non
Cible	TPE/PME	PME/ETI	Grands comptes	PME/ETI	Grands comptes

Google Consent Mode v2

Contexte

Depuis mars 2024, Google exige l’implementation du Consent Mode v2 pour les sites utilisant ses services publicitaires dans l’EEE, au Royaume-Uni et en Suisse.

Fonctionnement

Le Consent Mode v2 permet aux balises Google de s’adapter au statut de consentement via quatre signaux :

• ad_storage : stockage d’informations publicitaires.
• analytics_storage : stockage d’informations de mesure.
• ad_user_data : envoi de donnees utilisateur a Google a des fins publicitaires.
• ad_personalization : publicite personnalisee.

Sans consentement, les balises fonctionnent en mode degrade avec des pings sans cookies permettant a Google une modelisation statistique des conversions.

Impact sur le choix de la CMP

Le Consent Mode v2 doit etre supporte nativement. Axeptio, Didomi, Cookiebot et OneTrust le proposent en natif. Tarteaucitron le supporte partiellement avec configuration manuelle. Pour les sites dependant de l’ecosysteme Google Ads, ce support est un critere determinant : son absence entraine une perte de donnees de conversion.

Les exigences CNIL : points de controle

Points de controle prioritaires

1. Bouton de refus au premier niveau. Le bouton “Tout refuser” doit etre present au meme degre de visibilite que “Tout accepter”. Google (150 millions d’euros) et Facebook (60 millions d’euros) ont ete sanctionnes en janvier 2022 pour l’absence d’un tel bouton.

2. Information complete. Le bandeau doit mentionner l’identite du responsable, les finalites en langage clair, la possibilite de refuser et les modalites de retrait du consentement.

3. Absence de cookie wall. La CNIL considere que le conditionnement de l’acces a un site web a l’acceptation des traceurs (cookie wall) est contraire au principe de liberte du consentement, sauf dans certaines hypotheses tres encadrees (alternatives payantes proportionnees). Le Conseil d’Etat a toutefois admis la licite des cookie walls sous certaines conditions dans sa decision du 19 juin 2020, ce qui cree une zone de flou juridique que les professionnels doivent naviguer avec prudence.

4. Pas de depot avant consentement. Aucun traceur soumis a consentement ne doit etre depose avant que l’utilisateur ait exprime un choix positif. La CMP doit bloquer effectivement tous les scripts concernes par defaut. Ce point est le plus critique techniquement et le plus souvent defaillant lors des controles de la CNIL.

5. Retrait facilite. Un mecanisme accessible a tout moment (icone ou lien en pied de page) doit permettre de modifier les preferences.

6. Renouvellement periodique. Maximum 6 mois selon les recommandations CNIL.

Configuration conforme : guide pratique

Etape 1 : inventaire des traceurs

Distinguez les traceurs strictement necessaires (exempts de consentement), les traceurs de mesure d’audience pouvant beneficier de l’exemption CNIL, et les traceurs soumis a consentement (analytics tiers, publicite, retargeting, reseaux sociaux).

Etape 2 : categorisation par finalite

Regroupez par categorie : mesure d’audience, publicite et ciblage, personnalisation, reseaux sociaux. Chaque categorie doit pouvoir etre acceptee ou refusee individuellement.

Etape 3 : configuration du blocage

Configurez la CMP pour bloquer effectivement tous les scripts de traceurs soumis a consentement avant l’expression du choix de l’utilisateur. Cette configuration depend de la methode technique utilisee par la CMP :

• Remplacement des balises script par des balises inactives (methode Tarteaucitron).
• Integration via Google Tag Manager avec des declencheurs conditionnels bases sur l’etat du consentement.
• Injection dynamique des scripts uniquement apres obtention du consentement positif de l’utilisateur.

Etape 4 : test et audit

Verifiez qu’aucun cookie non essentiel n’est depose avant consentement (outils de developpement du navigateur), que le refus bloque effectivement tous les traceurs, que le retrait supprime les cookies et que les preferences sont correctement transmises. Des outils comme Legiscope permettent d’automatiser ces verifications et de maintenir un suivi continu.

Les couts

Fourchettes de prix

• Faible trafic (moins de 50 000 pages vues/mois) : solutions gratuites (Tarteaucitron) ou entree de gamme (Cookiebot 12 EUR/mois, Axeptio 19 EUR/mois).
• Trafic moyen (50 000 a 1 million) : offres intermediaires (100 a 500 EUR/mois). Axeptio, Cookiebot et Didomi couvrent ce segment.
• Fort trafic ou multi-domaines : offres enterprise a partir de 1 000 EUR/mois. Didomi et OneTrust sont les references.

Couts caches

• Integration : de quelques heures (Tarteaucitron) a plusieurs jours (integration enterprise).
• Maintenance : mise a jour de l’inventaire, ajout de scripts, adaptation reglementaire.
• Impact sur les revenus : un bandeau conforme (refus visible) entraine une baisse du taux de consentement de 20 a 40 %, avec reduction proportionnelle des revenus publicitaires cibles.

Conclusion

Le choix d’une CMP conditionne la conformite de votre site aux exigences CNIL, l’experience utilisateur et la performance marketing. Les solutions francaises (Axeptio, Didomi, Tarteaucitron) offrent une conception nativement conforme aux recommandations CNIL. Les solutions internationales (Cookiebot, OneTrust) apportent des capacites multi-juridiction.

La configuration est au moins aussi importante que le choix de l’outil. Bandeau conforme, blocage effectif avant consentement et preuve robuste constituent le socle minimal. Pour la mise en conformite globale de votre strategie cookies, consultez notre guide sur les cookies et la conformite RGPD. Les outils comme Legiscope facilitent l’audit initial et le suivi continu de votre conformite.