Un gestionnaire de tags avant tout
tarteaucitron.io est avant tout un gestionnaire de tags. Son rôle est de conditionner le chargement de services tiers en fonction du choix de l’utilisateur. Il ne s’agit pas d’un outil d’analyse ni d’un service juridique, mais d’un mécanisme technique côté navigateur.
En version gratuite, cela passe par une intégration explicite. Par exemple, un tag Google Analytics doit être remplacé par son équivalent tarteaucitron. Tant que l’utilisateur n’a pas donné son accord, le service n’est pas chargé. Dès que le consentement est donné, tarteaucitron déclenche le chargement.
La version professionnelle fonctionne différemment. Un mode automatique permet de détecter les tags déjà présents sur le site. À condition que tarteaucitron soit chargé suffisamment tôt, les scripts existants sont bloqués par défaut, puis autorisés uniquement si l’utilisateur accepte.
Ce que fait concrètement tarteaucitron
Concrètement, tarteaucitron agit sur trois aspects principaux.
- le conditionnement du chargement des services tiers
- l’affichage d’une bannière de consentement
- la mise à disposition d’un panneau de gestion détaillé
Le panneau permet de gérer les services un par un, regroupés par catégorie. L’ensemble est conçu pour être accessible : navigation clavier, libellés clairs, contrastes respectés. C’est un point important du projet depuis le début.
Aller plus loin que la bannière
Dans certains cas, tarteaucitron agit directement dans le contenu. Par exemple, lorsqu’un service est chargé via une iframe, comme YouTube ou Google Maps, il peut être remplacé par un bloc explicatif.
Ce bloc indique qu’un service tiers collecte des données et propose une action explicite pour l’autoriser. Une fois le consentement donné, le contenu original est chargé. Cette approche évite de charger des services invisibles sans action claire de l’utilisateur.
tarteaucitron gère également plusieurs mécanismes de consentement utilisés par des outils tiers, comme le consent mode v2 de Google, celui de Bing ou encore celui de Piano Analytics.
Ce que tarteaucitron ne fait pas
tarteaucitron ne stocke pas de registre de consentement. Je ne souhaite pas collecter ou conserver des informations sur les utilisateurs, et ce n’est pas une obligation réglementaire dans ce contexte. Le projet a toujours été pensé pour limiter la collecte au strict nécessaire.
Il n’implémente pas non plus le TCF de l’IAB. Ce choix est volontaire. Le modèle impose une redevance et conduit à des interfaces complexes, avec des centaines de partenaires et un vocabulaire difficilement compréhensible. Ce n’est pas l’approche que je souhaite proposer.
Enfin, tarteaucitron n’est pas un outil juridique. Il ne gère pas les politiques de confidentialité, le stockage des données, les newsletters ou les échanges de fichiers. Il se concentre sur une partie précise du RGPD : la gestion de la collecte de données via des services tiers sur un site web.
Une question de timing
Pour fonctionner correctement, tarteaucitron doit être chargé très tôt dans la page. En version professionnelle, le script doit être présent dans le head, avant les services qu’il doit contrôler. C’est ce qui lui permet d’interagir avec le DOM et de bloquer les scripts ou iframes concernés.
En version manuelle, la contrainte est similaire. tarteaucitron doit être disponible avant les appels de chargement des services. Certains choix techniques, comme l’utilisation de defer ou async sur le script principal, peuvent casser ce fonctionnement. Ce sont des points que je détaillerai plus tard.
Un outil, pas une garantie globale
tarteaucitron est un outil technique. Il aide à gérer une partie de la conformité, mais il ne couvre pas l’ensemble du RGPD. Installer une CMP, même correctement, ne suffit pas à rendre un site conforme dans son ensemble.
Il faut comprendre ce que l’outil fait, comment il est intégré, et ce qu’il ne fait pas. C’est aussi pour cela que cette documentation existe.
