Audit des pixels de tracking : conformité RGPD & ePrivacy pour PME
Les pixels partagent les données visiteurs avec les régies au déclenchement. Ce qu’un audit vérifie, pourquoi les pixels sont l’élément le plus sanctionné sur PME, et comment les conserver conformément.
Sur la plupart des sites PME, ce n’est pas la bannière qui est le plus risqué, ce sont les pixels derrière. Les pixels se déclenchent au pageload par défaut. En UE/UK c’est une infraction à chaque visite.
Cet article décrit ce qu’un audit des pixels contrôle, le comportement plateforme par plateforme, et les deux schémas d’installation qui marchent.
Ce que fait un pixel
- Le navigateur envoie une requête HTTP à la plateforme.
- La requête contient URL, référent, IP, user agent, taille d’écran et paramètres custom.
- La plateforme pose un cookie sur son domaine. Si l’utilisateur est connecté à la plateforme, la visite est associée à son identité.
- Le pixel charge son JS et peut déclencher d’autres événements.
Pour les visiteurs UE/UK, tout au-delà de l’étape 1 est un traitement de données personnelles. Seule base légale réaliste : le consentement, avant déclenchement.
Plateforme par plateforme
Meta Pixel
Le snippet par défaut charge fbevents.js immédiatement et déclenche PageView. Défaillance la plus fréquente sur PME UE.
TikTok Pixel
Se déclenche aussi au pageload. L’audit vérifie le gate CMP et ttq.consent('granted').
LinkedIn Insight Tag
Sur chaque page, pose des cookies first et third party. Très souvent non gardé sur sites B2B.
Google Ads Conversion Tracking
Intégré à Consent Mode v2. L’audit vérifie l’état de consentement passé à gtag.
Pourquoi c’est le risque #1
La CNIL, le Garante et l’AEPD ont fait des pixels une priorité 2024. Amendes 5 000–50 000 € contre petits e-commerces — trop petites pour les unes, assez pour menacer un PME.
Les deux schémas qui marchent
Schéma 1 : chargement gardé par la CMP
Approche la plus propre. La CMP émet un événement quand l’utilisateur accepte une catégorie ; vous chargez le snippet du pixel à ce moment.
Schéma 2 : consent mode
Supporté par Google, Meta, TikTok : le script charge mais reste anonymisé tant qu’il n’y a pas de consentement. Pragmatique — la Hambourg DPA a soulevé des doutes sur les signaux « modélisés ».
Veracly empreinte chaque tracker connu, rapporte timing et état de consentement, et fournit un correctif copier-coller pour la CMP/GTM. Lancer un scan.
Questions fréquentes
Les pixels de tracking nécessitent-ils un consentement RGPD ?
Oui. Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Google Ads, Pinterest Tag et équivalents sont des trackers tiers qui stockent des données sur le terminal et les transmettent à la plateforme. Consentement requis avant déclenchement.
Différence entre pixel et cookie ?
Un cookie est un fichier sur le terminal. Un pixel est une image ou JS qui, en se chargeant, fait une requête HTTP — URL, référent, IP, user agent, paramètres custom. La plupart des pixels posent aussi des cookies.
Le tracking serveur évite-t-il le consentement ?
Non. Le tracking serveur (ex. Meta Conversions API) reste soumis au consentement RGPD si des données identifiantes sont traitées. Seul le canal change, pas la base légale.
Comment installer un pixel conformément ?
Deux schémas : (1) Pixel derrière le consent gate de la CMP — chargement uniquement après acceptation publicité. (2) Consent mode de la plateforme (Google Consent Mode v2, Meta data processing options, TikTok Consent API).
Voyez où en est votre site.
Lancez un scan Veracly gratuit et obtenez un rapport multi-juridictions — EAA, RGPD, ADA, UK Equality Act, AODA — avec des correctifs prêts à coller pour les développeurs.
Lancer un scan gratuit