La mise en conformité avec le règlement général sur la protection des données a fait couler beaucoup d'encre, que cela soit pour traiter de ses conséquences directes et indirectes, des implications d'une absence de mise en conformité ou encore des modalités de mise en oeuvre d'un tel processus de mise en conformité. Sur le Web, en front, les outils de gestion des balises constituent le moyen le plus commode afin de déployer les outils de gestion du consentement, mais aussi afin de tenir compte des choix exprimés par les utilisateurs. Mais comment gérer une situation où l'usage de l'outil de gestion des balises serait lui-même sujet à l'expression préalable d'un consentement par l'utilisateur ?
Description du paramétrage type d'un outil de gestion des balises et de recueil du consentement à l'ère du RGPD
La hiérarchie, les rapports et les méthodes de déploiement des trois principales parties prenantes en front sur un site Web de la mise en conformité avec le RGPD - outil de gestion des balises, outil de gestion du consentement et balises - n'ont pas fondamentalement évolué depuis l'entrée en vigueur de la directive européenne dite "paquet télécom".
L'outil de gestion des balises est en charge du déploiement de l'outil de gestion du consentement, qui peut se limiter dans sa plus simple expression à un bandeau d'information. Dans des configurations plus complexes, le bandeau est complété par un système permettant à l'utilisateur de choisir les catégories de balises autorisées et de revenir à tout moment sur son choix. L'outil de gestion du consentement, bien que déployé par l'outil de gestion des balises, est in-fine l'outil mettre contrôlant le déploiement des balises.
Le schéma est donc le suivant : L'outil de gestion des balises déploie l'outil de gestion du consentement, qui complète les déclencheurs de l'outil de gestion des balises, qui contrôlent l'appel des balises sur le site. L'entrée en vigueur du RGPD ne remet donc pas en question le mode d'organisation préexistant mais rend effectif un ascendant de l'outil de gestion du consentement sur l'outil de gestion des balises, qui était jusqu'alors, le plus souvent, théorique.
Néanmoins, dans les faits, l'outil de gestion du consentement, d'un strict point de vue technique, demeure assujetti à l'outil de gestion des balises, car il est mis en oeuvre, dans l'écrasante majorité des cas, par son intermédiaire afin de répondre à des impératifs techniques, mais aussi plus prosaïquement afin d'en faciliter la gestion.
Le phénomène de l'arroseur arrosé
Une telle configuration ne pose pas problème tant que l'outil de gestion des balises peut être classé dans la catégorie des codes fonctionnels, c'est à dire ceux permettant le bon fonctionnement d'un dispositif et des processus associés, mais n'étant pas lui-même responsable d'une quelconque collecte de données.
Or les conditions d'utilisation de Google Tag Manager stipulent clairement que "Nous pourrons recueillir certaines informations, par exemple le mode d'utilisation du Service, les balises effectivement déployées et la manière dont elles le sont. Ces données sont susceptibles de nous servir à améliorer, maintenir, protéger et développer le Service conformément à nos Règles de confidentialité. En revanche, nous ne les partageons pas avec d'autres produits Google sans votre autorisation".
Certes, les données collectées lors de l'appel du fichier JavaScript hébergé sur les serveurs de Google, correspondant à un conteneur, ne sont pas détaillées, pas plus que celles transmises lors de l'envoi de possibles appels postérieurs. Cependant, pour permettre à Google de vérifier "les balises effectivement déployées et la manière dont elles le sont" une collecte d'informations relatives au visiteur doit nécessairement intervenir et peut potentiellement s'accompagner d'une transmission de données personnelles.
Une telle transmission d'informations ne s'avérant pas indispensable au bon fonctionnement du service proposé à l'utilisateur, celui-ci doit pouvoir s'y opposer. Or, à date, Google Tag Manager ne propose pas de mécanisme permettant de poursuivre l'utilisation du produit, tout en refusant un tel procédé de transfert et/ou d'analyse de données, tout du moins pas dans sa version gratuite.
Pour cette raison, une mise en conformité totale avec le RGPD présuppose, en l'état, de bloquer par défaut Google Tag Manager afin d'éviter toute transmission d'informations AVANT le recueil d'un éventuel consentement de l'utilisateur les concernant. Or, désactiver Google Tag Manager par défaut conduirait à rendre impossible, la plupart du temps, le déploiement de l'outil de gestion du consentement, car il est mis en oeuvre par son intermédiaire le plus souvent.
En conclusion
La subordination de l'outil de gestion du consentement à l'outil de gestion des balises pose problème lorsque l'usage de l'outil de gestion des balises s'accompagne d'une collecte de données non désactivable. Puisque Google Tag Manager ne propose pas à date de mécanisme permettant de contrôler les données transmises par son intermédiaire, ou l'utilisation qui en est faite à posteriori, son exécution doit être conditionnée au recueil préalable d'un consentement de l'utilisateur. Pour cette raison, il est probable qu'à moyen terme les outils de gestion du consentement soient de plus en plus déployés en dehors des outils de gestion des balises, dont le modèle économique est similaire à celui de Google Tag Manager, mais aussi afin de gérer les cas de figure où leur exécution serait entravée par le blocage de l'outil de gestion des balises lui-même.