TL;DR
Le TikTok Pixel dépose des cookies marketing sur votre site dès son chargement, avant même que l'utilisateur ait donné son accord. Sans configuration spécifique, cela enfreint le RGPD et la directive ePrivacy. Pour être conforme, le Pixel doit être bloqué par votre CMP tant que l'utilisateur n'a pas accepté les cookies marketing. Le consentement doit être préalable, libre et documenté.
Qu'est-ce que le TikTok Pixel et quels cookies dépose-t-il ?
Le TikTok Pixel est un extrait de code JavaScript que les annonceurs intègrent sur leur site pour mesurer les conversions et cibler les audiences sur TikTok Ads. Il dépose des cookies dès son chargement, indépendamment du choix de l'utilisateur.
Les deux cookies principaux sont _ttp (cookie first-party, durée 13 mois, utilisé pour identifier l'utilisateur à des fins de ciblage et de mesure des conversions TikTok) et _tt_enable_cookie (cookie de session indiquant que le tracking TikTok est actif). Ces cookies appartiennent à la catégorie marketing : ils alimentent les algorithmes de ciblage publicitaire de TikTok.
En mode Events API (envoi server-side), TikTok peut recevoir des données sans passer par des cookies navigateur. Cela ne supprime pas l'obligation de consentement : si les données transmises permettent d'identifier l'utilisateur (email hashé, numéro de téléphone, adresse IP), le consentement préalable reste requis.
Le TikTok Pixel est-il conforme au RGPD par défaut ?
Non. Dans sa configuration standard, le TikTok Pixel n'est pas conforme au RGPD pour les visiteurs de l'Espace économique européen.
Premier problème : le dépôt de cookies marketing sans consentement préalable. Le Pixel se charge au chargement de la page et dépose ses cookies avant toute interaction de l'utilisateur avec un bandeau de consentement. C'est une violation directe de l'article 82 de la loi Informatique et Libertés et de la directive ePrivacy.
Deuxième problème : le transfert de données vers des pays tiers. TikTok (ByteDance) traite des données personnelles sur des serveurs dont certains sont situés hors de l'EEE. Ce transfert nécessite une base légale appropriée. Plusieurs autorités de protection des données européennes ont encadré l'utilisation de TikTok dans des contextes professionnels.
La situation est proche de celle du Meta Pixel : les outils de tracking publicitaire des grandes plateformes ne sont pas conformes au RGPD sans blocage explicite avant consentement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment bloquer le TikTok Pixel avant consentement
La conformité RGPD exige que le TikTok Pixel ne se charge pas tant que l'utilisateur n'a pas accordé son consentement pour les cookies marketing. Il existe deux méthodes principales.
Via votre CMP (méthode recommandée)
La méthode la plus fiable est de passer par une CMP (plateforme de gestion du consentement) qui gère le blocage automatique des scripts non consentis. FlowConsent détecte le TikTok Pixel dans votre code et le bloque jusqu'à l'obtention d'un consentement marketing explicite. Le script ne se charge que si et quand l'utilisateur accepte la catégorie marketing.
Condition essentielle : le code du Pixel ne doit pas être injecté directement dans le HTML de la page en dehors de votre CMP. Tout code TikTok intégré hors CMP contourne le blocage.
Via Google Tag Manager
Si vous déployez le TikTok Pixel via GTM, configurez le tag avec un déclencheur conditionnel basé sur le signal de consentement marketing de votre CMP. Le tag ne doit se déclencher que si la variable de consentement marketing est accordée.
Si votre CMP est compatible Consent Mode v2, vous pouvez utiliser le signal marketing_storage: denied comme condition de blocage dans GTM. Consultez le guide GTM et Consent Mode v2 pour les détails d'implémentation.
TikTok Pixel et Consent Mode v2 : ce qu'il faut savoir
Le Consent Mode v2 est un mécanisme développé par Google qui permet aux tags Google d'adapter leur comportement selon le consentement de l'utilisateur. TikTok ne dispose pas d'un équivalent natif à ce standard.
En pratique, cela signifie qu'en l'absence de consentement marketing, le TikTok Pixel ne doit pas se charger du tout. Il n'existe pas de mode dégradé TikTok équivalent au mode advanced de Google (pings anonymes sans cookies). Si le consentement est refusé, le Pixel doit être entièrement bloqué.
TikTok propose une intégration Events API (API de conversions) qui envoie des événements de conversion depuis votre serveur. Cette approche server-side n'exempte pas du consentement : si les données envoyées incluent des identifiants personnels (email hashé, numéro de téléphone, adresse IP), le consentement préalable de l'utilisateur est requis avant tout envoi.
Quelles données le TikTok Pixel transmet-il et quels sont les risques RGPD ?
Au-delà des cookies, le TikTok Pixel peut transmettre des données Advanced Matching : adresse e-mail, numéro de téléphone, prénom, nom, ville, région, code postal, pays. Ces données sont hashées côté client avant envoi, mais restent des données à caractère personnel au sens du RGPD.
La base légale applicable est généralement le consentement (art. 6.1.a RGPD). Cela renforce l'obligation de bloquer le Pixel avant que l'utilisateur ait accepté les cookies marketing, y compris si vous n'utilisez pas l'Advanced Matching.
Sur les transferts hors EEE : TikTok s'est engagé à stocker les données des utilisateurs européens sur des serveurs situés en Europe dans le cadre du projet PDPA (Project Clover). Ce cadre est en cours de déploiement progressif. Vérifiez les conditions de traitement des données TikTok Ads en vigueur au moment de votre mise en conformité.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes avec le TikTok Pixel et le RGPD
Intégrer le Pixel directement dans le HTML sans CMP. Un code TikTok Pixel inséré dans le head sans condition de consentement se charge pour tous les visiteurs, y compris ceux qui n'ont pas encore vu le bandeau ou qui ont refusé.
Croire que TikTok gère la conformité à votre place. TikTok ne recueille pas le consentement de vos visiteurs. C'est votre responsabilité en tant que responsable du traitement.
Utiliser l'Events API sans recueillir de consentement. L'envoi server-side de données identifiantes sans consentement préalable est une violation du RGPD, même si aucun cookie n'est déposé côté navigateur.
Ne pas documenter le consentement. La preuve de consentement est une obligation RGPD. Votre CMP doit enregistrer pour chaque visiteur la date, l'heure et les choix exprimés.
Omettre le TikTok Pixel dans la politique de cookies. Les cookies _ttp et _tt_enable_cookie doivent figurer dans votre politique de cookies avec leur finalité, leur durée de vie et la mention du transfert vers TikTok.
Checklist TikTok Pixel conforme au RGPD
- Le TikTok Pixel est bloqué avant consentement (script non chargé sans accord marketing).
- Le bandeau cookies propose une catégorie marketing distincte avec option de refus visible.
- Le bouton Refuser est aussi visible que le bouton Accepter.
- Les cookies _ttp et _tt_enable_cookie sont listés dans la politique de cookies avec leur finalité et durée.
- La durée de conservation (_ttp : 13 mois) est documentée.
- Le transfert vers TikTok (données potentiellement hors EEE) est mentionné dans la politique.
- Si vous utilisez l'Advanced Matching, le consentement couvre la transmission de données personnelles hashées.
- Si vous utilisez l'Events API, le consentement préalable est recueilli avant tout envoi de donnée identifiante.
- La preuve de consentement est stockée et consultable en cas de contrôle CNIL.
- Le Pixel est désactivé si l'utilisateur retire son consentement ou refuse lors d'une visite ultérieure.
Conclusion
Le TikTok Pixel, comme tout outil de tracking publicitaire, doit être bloqué avant consentement et activé uniquement si l'utilisateur accepte les cookies marketing. Il n'existe pas de mode conforme sans bandeau pour le Pixel TikTok. La mise en conformité passe par une CMP qui gère le blocage de script, un bandeau cookies conforme au RGPD avec option de refus claire, et la documentation du consentement.
Scannez votre site avec le scanner gratuit FlowConsent pour vérifier si le TikTok Pixel est correctement bloqué avant consentement et identifier tous les traceurs déposés sur votre site.
Questions fréquentes
Est-ce que le TikTok Pixel nécessite un consentement RGPD ?
Oui. Le TikTok Pixel dépose des cookies marketing (_ttp) et peut transmettre des données personnelles à TikTok. Ces deux éléments nécessitent un consentement préalable, libre et éclairé de l'utilisateur. Sans consentement, le chargement du Pixel est illégal pour les visiteurs de l'EEE.
Peut-on utiliser le TikTok Pixel sans bandeau cookies sur son site ?
Non, sauf si votre site n'a aucun visiteur dans l'EEE et n'est pas soumis au RGPD ou à la directive ePrivacy. Pour tout site susceptible d'être visité par des utilisateurs européens, un bandeau cookies avec option de refus est obligatoire dès lors que le Pixel est intégré.
Le TikTok Events API (conversions API) remplace-t-il le besoin de consentement ?
Non. L'Events API est une méthode d'envoi de données server-side qui améliore la précision du tracking, mais ne supprime pas l'obligation de consentement. Si les données envoyées permettent d'identifier un utilisateur (email hashé, téléphone, adresse IP), le consentement préalable reste nécessaire avant tout envoi.
Comment vérifier que mon TikTok Pixel est bien bloqué avant consentement ?
Ouvrez votre navigateur en mode navigation privée, accédez à votre site sans accepter le bandeau cookies, et vérifiez dans l'onglet Réseau (DevTools) qu'aucun appel vers analytics.tiktok.com n'est effectué. Si des requêtes TikTok apparaissent avant consentement, le blocage ne fonctionne pas correctement.
Combien de temps peut-on conserver les données collectées via le TikTok Pixel ?
La durée de conservation doit être documentée et proportionnée à la finalité. Le cookie _ttp a une durée de 13 mois. Pour les données transmises à TikTok via l'Advanced Matching ou l'Events API, référez-vous aux conditions de traitement des données TikTok Ads et documentez cette durée dans votre politique de cookies et votre registre des traitements.