Les plateformes de recueil et de gestion du consentement utilisateur sont les pièces maîtresses du dispositif de mise en conformité avec le Règlement Général sur la Protection des Données (RGPD) d'un site Web. Leur rôle principal, le recueil et le stockage du choix d'un utilisateur en matière de collecte de données, suppose par extension qu'elles se trouvent en capacité de se connecter à tout type d'outil de collecte exécuté sur le Web, afin de l'autoriser ou non à collecter et stocker à son tour des données concernant un visiteur donné. Les niveaux d'intégration et les types de connexion varient cependant fortement d'un système à l'autre et selon les modalités de mise en œuvre et de paramétrage.
Niveau d'intégration avec l'outil de gestion des balises
La connexion probablement la plus fondamentale pouvant exister entre un outil de gestion du consentement utilisateur et un outil tiers, sur le Web, est celle le liant à l'outil de gestion des balises. En effet, l'outil de gestion des balises est lui même en charge du déploiement de la totalité des traceurs, directement concernés par le RGPD. Plus le niveau d'intégration entre l'outil de gestion du consentement et celui de gestion des balises sera avancé, plus la mise en conformité deviendra réaliste.
En effet, c'est au sein de l'outil de gestion des balises et non de la plateforme de recueil du consentement utilisateur, qu'est réellement pris en considération le choix des utilisateurs. Un niveau de connexion trop limité entre les deux solutions logicielles sera invariablement synonyme d'oublis et d'erreurs de paramétrage de nature à rendre caduque le dispositif permettant la prise en compte des choix de l'utilisateur en matière de suivi. Or, la mise en place de tests de non régression sur ce type de paramétrage peut s'avérer complexe, car elle implique également une collecte de données. L'idéal est donc d'opter pour un outil de gestion des balises facilement interfaçable avec son outil de gestion du consentement utilisateur.
En la matière, il faut distinguer les éditeurs de logiciels de gestion des balises proposant leur propre outil de gestion du consentement utilisateur, qui est par conséquent totalement intégré à leurs systèmes, de ceux offrant uniquement un outil de gestion du consentement utilisateur. Dans tous les cas, la rédaction d'un guide détaillant les étapes à suivre lors de l'ajout d'une nouvelle balise/règles/variable au sein de l'outil de gestions des balises et sa communication aux équipes s'avérera indispensable. A l'inverse, les outils directement intégrés aux systèmes de gestions des balises sont suffisamment simples à prendre en main pour ne pas nécessiter de formation spécifique.
Connexion aux outils collectant des données
La communication entre l'outil de gestion des balises et la plateforme de gestion du consentement utilisateur permet d'éviter que des informations ne soient collectées de façon indue. Quid cependant du droit d'accès, de modification et de suppression des données personnelles que peut faire valoir tout utilisateur ? Puisqu'il intervient nécessairement à posteriori de la collecte, l'outil de gestion des balises ne peut plus jouer le rôle d'outil central en charge de prendre en compte les valeurs calculées par l'outil de gestion du consentement utilisateur pour le transmettre à d'autres logiciels.
Le recours à un identifiant unique, généré par l'outil de gestion du consentement utilisateur, transversal à l'ensemble des jeux de données, devient alors stratégique afin d'effectuer en toute simplicité des opérations d'extraction, de modification et de suppression, y compris dans des outils SAAS. Selon les outils et les paramétrages, la gestion du consentement peut s'effectuer au niveau d'un navigateur ou d'un utilisateur.
La gestion au niveau du navigateur est la plus simple à mettre en œuvre et la seule viable en l'absence d'authentification d'un utilisateur. Certains gestionnaires de sites font également le choix de l'utiliser, y compris une fois que l'utilisateur s'est connecté. Le principal intérêt d'une telle approche réside dans le fait que l'outil de gestion du consentement utilisé sur le Web, n'enregistre aucune information à même de lui permettre de rapprocher son identifiant d'un utilisateur en particulier.
A l'image de l'outil de gestion du consentement, dans ce scénario, les autres outils collectant des données ne sont pas en capacité d'identifier un utilisateur sur la base d'informations personnellement identifiables. A l'inverse, certaines plateformes de gestion du consentement collectent, lorsque cela est possible, un identifiant utilisateur unique afin de faciliter le traitement des demandes liées au respect de la vie privée des utilisateurs.
Il convient pour les propriétaires de sites de déterminer la stratégie répondant le mieux à leurs besoins. Transférer dans l'ensemble des outils collectant des données l'identifiant généré par l'outil de gestion du consentement, afin de gérer de façon optimum le traitement des données lié au RGPD, à condition d'exclure le recours à cet identifiant à des fins autres, ou n'offrir un tel niveau d'intégration que pour les utilisateurs authentifiés. Reste qu'en cas de contrôle, la présence de cet identifiant au sein des données de l'ensemble de l'écosystème digital faciliterait la démonstration de l'existence d'un mécanisme fonctionnel de recueil du consentement utilisateur. En outre, il s'avère indispensable dans les cas de figure où l'outil de gestion du consentement utilisateur est utilisé en dehors des seuls dispositifs Web.
Connexion à des réseaux tiers
La question probablement la plus épineuse, lorsqu'il s'agit d'établir des passerelles depuis l'outil de gestion du consentement vers des systèmes tiers, concerne probablement son intégration à un réseau au sein duquel les choix d'un utilisateur sont mutualisés. Le plus célèbre de ces réseaux est à date celui de l'Internet Advertising Bureau (IAB). Les éditeurs de logiciels de gestion du consentement qui en sont membres peuvent proposer à leurs utilisateurs de bénéficier sur leur site d'une intégration complète, pour un visiteur donné, avec l’ensemble des autres membres du réseau.
Concrètement, à son arrivée sur un site A, avant qu'il n'ait exprimé un choix quelconque, une collecte de données concernant le visiteur pourra être effectuée s'il avait précédemment donné son accord sur un site B. A l'inverse, le site A pourra servir à enregistrer un premier choix utilisateur, qui bénéficiera aux propriétaires du site B ultérieurement. S'intégrer à un réseau permet également de résoudre le problème de l'intégration avec les outils de gestion des balises, la lecture des choix d'un utilisateur étant du ressort des éditeurs de logiciels de collecte de données membres d'un réseau donné. Ce critère d'appartenance à un réseau de l'outil de gestion des contenus peut s'avérer déterminant pour certains partenaires qui pourront en faire un prérequis à toute collaboration.
Cependant, la mutualisation des choix exprimés par un utilisateur, en terme de collecte de données, ne présente pas que des avantages. Tout d'abord elle impose de normaliser les textes et processus de mise en œuvre de l'outil de gestion du consentement, en diminuant par la même occasion la valeur ajoutée et donc la valeur, ce qui s'avère dommageable pour l'éditeur logiciel le commercialisant. Les gestionnaires de sites Web, pour leur part, peuvent ne pas totalement adhérer aux règles découlant de l'appartenance au réseau avec lequel ils collaborent. De fait, les possibilités de personnalisation de l'outil de gestion des contenus s'en trouvent significativement diminuées, qu'il s'agisse des modalités de recueil du choix utilisateur ou encore des textes proposés à la lecture aux visiteurs. Plus grave encore, l'approche reposant sur la mutualisation ne saurait être qualifiée de pleinement efficace dans la mesure où à date aucun réseau ne peut prétendre rassembler en son sein l'ensemble des solutions logicielles collectant des données directement sur un site Web. La connexion à plusieurs réseaux permet de diminuer l'ampleur de ce problème, mais non de le résoudre.
En conclusion
La problématique de la connexion des outils de gestion du consentement utilisateur à des systèmes tiers est intrinsèquement liée à leur utilisation. Différents types d'intégrations à destination de plusieurs familles d'outils sont possibles, chacune présentant des avantages et inconvénients. Il s'agit d'un critère déterminant durant la phase de sélection de l'outil qui nécessite d'être analysé par une équipe pluridisciplinaire.