Blocage automatique des scripts : comment fonctionne le blocage avant consentement
Le blocage automatique des scripts (également appelé blocage avant consentement ou auto-blocage) empêche l'exécution des scripts non essentiels tant que l'utilisateur n'a pas donné son consentement. Il s'agit d'une obligation légale au titre de l'article 5, paragraphe 3, de la directive ePrivacy : aucun cookie ni aucune technologie de suivi ne peut être placé sur l'appareil d'un utilisateur sans son consentement préalable et éclairé, sauf s'ils sont strictement nécessaires au service demandé par l'utilisateur.
Sans blocage automatique, un site web qui charge Google Analytics, Facebook Pixel ou tout autre script marketing tiers déposera des cookies et collectera des données avant même que l'utilisateur ait pu faire un choix en matière de consentement. Il s'agit d'une infraction à la conformité, que la bannière de consentement soit affichée ou non.
Pourquoi le balisage manuel des scripts ne suffit pas
L'approche traditionnelle du chargement de scripts basé sur le consentement oblige les développeurs à baliser manuellement chaque script du site. Chaque script doit être modifié pour empêcher son chargement par défaut, puis activé de manière conditionnelle lorsque l'utilisateur consent à la catégorie concernée. Cela implique généralement de remplacer type="text/javascript" par type="text/plain" et d'ajouter un attribut de données indiquant la catégorie de consentement.
Cette approche présente de sérieux inconvénients :
- Chaque nouveau script ajouté au site doit être balisé manuellement. Si une équipe marketing ajoute un nouveau pixel de suivi via un gestionnaire de balises, celui-ci se déclenche sans consentement, sauf si quelqu'un pense à configurer la règle de blocage.
- Les scripts tiers chargent souvent d'autres scripts de manière dynamique. Bloquer le script parent ne bloque pas nécessairement les scripts enfants qu'il aurait chargés.
- Les scripts intégrés directement dans le code HTML de la page ne peuvent pas être facilement interceptés.
- L'approche est fragile. Un seul script oublié entraîne une collecte de données non conforme.
Comment fonctionne le blocage automatique
Une plateforme de gestion du consentement dotée d'un blocage automatique adopte une approche différente. Au lieu d'exiger des développeurs qu'ils balisent chaque script individuellement, la CMP intercepte l'ensemble du chargement des scripts au niveau du navigateur et bloque tout ce qui n'est pas strictement nécessaire.
Le processus se déroule comme suit :
- La CMP se charge en tant que premier script de la section
<head>de la page, avant tout autre script. - Elle intercepte les mécanismes de chargement de scripts du navigateur, notamment
document.createElement('script'), l'exécution des scripts intégrés et les scripts injectés dynamiquement. - Chaque script est comparé à une base de données de classification. Les scripts provenant de domaines connus d'analyse, de publicité et de réseaux sociaux sont identifiés et catégorisés.
- Les scripts classés comme non essentiels sont placés dans une file d'attente. Ils ne s'exécutent pas, ne déposent aucun cookie et n'envoient aucune requête réseau.
- Lorsque l'utilisateur donne son consentement pour une catégorie spécifique, les scripts en attente de cette catégorie sont libérés et autorisés à s'exécuter normalement.
- Si l'utilisateur refuse une catégorie, les scripts de cette catégorie restent bloqués pendant toute la durée de la session.
Ce qui est bloqué
Le blocage automatique classe généralement les scripts en quatre catégories, alignées sur les catégories standard de consentement aux cookies :
| Catégorie | Exemples | Bloqué avant consentement |
|---|---|---|
| Strictement nécessaires | Processeurs de paiement, authentification, gestion de session, la CMP elle-même | Non (toujours autorisés) |
| Analyse | Google Analytics, Hotjar, Matomo, Plausible | Oui |
| Marketing | Google Ads, Facebook Pixel, LinkedIn Insight, TikTok Pixel | Oui |
| Préférences | Préférences linguistiques, personnalisation de l'interface, outils de tests A/B | Oui |
Le problème du timing
Pour que le blocage automatique fonctionne correctement, la CMP doit être le tout premier script chargé sur la page. Si un script non essentiel se charge avant la CMP, il s'exécutera sans consentement. C'est pourquoi la balise de script de la CMP ne doit pas utiliser les attributs defer ou async, et doit apparaître avant tout autre script dans la section <head>.
Il s'agit de la même architecture utilisée par toutes les CMP conformes : Cookiebot, OneTrust, CookieYes et Passiro exigent tous un chargement synchrone en tant que premier script de l'en-tête du document.
Interaction avec Google Consent Mode
Le blocage automatique des scripts fonctionne conjointement avec Google Consent Mode v2. Tandis que Consent Mode ajuste le comportement des propres balises de Google en cas de refus du consentement (en passant à une mesure sans cookies), le blocage automatique empêche complètement l'exécution de tous les scripts non essentiels.
Les deux mécanismes sont complémentaires : Consent Mode gère les balises Google de manière fluide (permettant les conversions modélisées), tandis que l'auto-blocage prend en charge tout le reste (pixels tiers, widgets sociaux, scripts publicitaires de fournisseurs autres que Google).
Le blocage automatique et Passiro
Passiro intègre le blocage automatique des scripts dans son widget de consentement gratuit. Lorsque le script Passiro se charge, il identifie et bloque les scripts non essentiels avant qu'ils ne puissent s'exécuter. Aucun balisage manuel des scripts n'est nécessaire.
La base de données de classification s'appuie sur la liste de blocage communautaire EasyPrivacy (GPL-3.0), qui couvre environ 4 900 domaines de traqueurs, d'analyse et de publicité et est mise à jour quotidiennement. Elle est nettement plus complète que les listes propriétaires organisées utilisées par la plupart des CMP commerciales : Cookiebot, OneTrust et d'autres s'appuient généralement sur des bases de données d'un ordre de grandeur plus petites.
Associé à IAB TCF v2.3 et à Google Consent Mode v2, le blocage automatique garantit qu'aucune donnée n'est collectée avant l'obtention du consentement, répondant ainsi aux exigences de l'article 5, paragraphe 3, de la directive ePrivacy et de l'article 6 du GDPR.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement