
3 questions à poser à votre fournisseur de CMP (et les réponses qu’on vous donnera… ou pas)
La gestion du consentement n’est plus une option : c’est une obligation. Mais comment savoir si votre fournisseur de CMP (Consent Management Platform) est réellement à la hauteur des exigences de la Loi 25, de PIPEDA ou des politiques internes de votre organisation?
Voici 3 questions simples, mais essentielles à poser… et ce que les réponses (ou l’absence de réponse) révèlent vraiment.
1. Où sont hébergées vos données?
Pourquoi c’est important :
Le lieu d’hébergement des données conditionne leur protection juridique. Une donnée hébergée aux États-Unis, même anonymisée, peut être soumise au Cloud Act.
Ce qu’on veut entendre :
« Nos serveurs sont situés au Canada, dans un environnement certifié SOC2 Type 2. »
Ce qu’on entend parfois :
« Nos données sont sécurisées chez AWS. »
Ou encore :
« On utilise un hébergement en Europe avec conformité RGPD. »
Traduction : probablement aucune garantie concrète que vos données ne seront pas accessibles à des juridictions étrangères.
2. Est-ce que vos scripts bloquent les cookies avant le consentement?
Pourquoi c’est important :
Afficher une bannière ne suffit pas. Le consentement doit être recueilli avant tout dépôt de traceur non essentiel. C’est la base de la conformité.
Ce qu’on veut entendre :
« Oui, les scripts de marketing, reCAPTCHA, YouTube et Google Tag Manager sont bloqués jusqu’à obtention du consentement explicite. »
Ce qu’on entend parfois :
« On respecte le RGPD »
Ou pire :
« Les cookies sont désactivés si l’utilisateur clique sur “Refuser”… »
Traduction : les scripts se déclenchent dès l’arrivée sur le site = non conforme.
3. Pouvez-vous fournir un registre de consentement ou une preuve d’audit?
Pourquoi c’est important :
En cas d’enquête, il faut démontrer que les consentements ont été collectés de façon légale et traçable. La Loi 25 exige une preuve de conformité.
Ce qu’on veut entendre :
« Oui, nous générons un registre anonymisé, avec un identifiant horodaté et exportable. »
Ce qu’on entend parfois :
« Non, mais ça s’en vient. »
Ou encore :
« Ce n’est pas obligatoire si le cookie est anonymisé. »
Traduction : vous êtes vulnérable en cas de plainte ou de vérification.
Conclusion
La transparence, la souveraineté des données et la conformité par design ne sont pas des options. Posez ces trois questions. Écoutez bien les réponses. Vous saurez très vite si votre CMP est là pour cocher une case… ou pour vous protéger réellement.
Chez byscuit.com, nous avons bâti une solution qui répond sans détour à ces trois questions — parce que le respect du citoyen, c’est aussi celui de la loi.