Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Crownpeak Universal Consent Platform (UCP, anciennement Evidon) est une plateforme de gestion du consentement (CMP) d'origine américaine qui affiche des bannières conformes au TCF 2.2 de l'IAB, des politiques géo-ciblées, un scanner de cookies et un centre de préférences. Elle écrit un cookie de consentement strictement nécessaire sur le domaine de l'éditeur et conserve les journaux d'audit aux États-Unis, ce qui soulève des questions de transfert sous RGPD malgré la certification DPF.
Crownpeak Universal Consent Platform (UCP), précédemment commercialisée sous la marque Evidon, est une plateforme de gestion du consentement (CMP) éditée par la société américaine Crownpeak Technology, Inc. Elle charge un SDK JavaScript sur le domaine de l''éditeur, affiche une bannière configurable et un centre de préférences, puis dépose un cookie strictement nécessaire contenant la chaîne de consentement du visiteur. UCP expose l''API du Transparency and Consent Framework 2.2 de l''IAB afin que les fournisseurs publicitaires et analytiques en aval puissent lire le signal avant d''être déclenchés. Un scanner de cookies parcourt le site chaque semaine et alimente automatiquement l''inventaire affiché dans la bannière.
La bannière écrit un cookie fonctionnel de première partie (généralement nommé cp_consent ou evidon-consent) qui contient la chaîne TCF, la liste des fournisseurs acceptés et un horodatage. Le SDK transmet l''enregistrement de consentement avec l''adresse IP du visiteur, son user agent et un identifiant CMP aux serveurs de Crownpeak afin que le choix soit rejoué sur l''ensemble des sous-domaines et auditable. Aucun identifiant publicitaire, historique de navigation ou interaction avec le contenu n''est capté par UCP. Lorsque les analyses de bannière sont activées (taux d''acceptation, durée d''affichage, tests A/B), un cookie analytique supplémentaire est posé sur le domaine de l''éditeur.
Au sens de l''article 5(3) de la directive ePrivacy, le cookie de consentement déposé par une CMP est considéré comme strictement nécessaire car il permet de fournir un service expressément demandé par l''utilisateur, à savoir l''enregistrement et le respect de ses préférences. Aucun consentement préalable n''est donc requis pour ce cookie. La conservation du journal de consentement constitue toutefois un traitement de données personnelles au sens du RGPD. Le responsable de traitement peut s''appuyer sur l''intérêt légitime (art. 6(1)(f)) et sur l''obligation légale de démontrer le consentement (art. 7(1) et art. 5(2)). La CMP ne doit pas pré-cocher les cases, doit proposer un refus aussi visible que l''acceptation et permettre un retrait aussi simple que l''opt-in initial.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Crownpeak étant établie aux États-Unis, les enregistrements de consentement sont hébergés sur une infrastructure américaine. Les responsables de traitement européens doivent documenter un mécanisme de transfert valide au titre du chapitre V du RGPD. Crownpeak s''autocertifie sous le Data Privacy Framework UE États-Unis, considéré comme adéquat par la Commission européenne. Les organisations qui préfèrent ne pas s''y appuyer peuvent recourir aux clauses contractuelles types de 2021, conduire une évaluation d''impact du transfert (TIA) et envisager des mesures supplémentaires telles que la pseudonymisation du journal d''audit. Le contrat de sous-traitance doit mentionner les risques liés à la section 702 FISA et à l''Executive Order 12333.
Une AIPD dédiée à la CMP est rarement exigée car le traitement est limité à des données opérationnelles. La CMP doit toutefois figurer dans le registre des activités de traitement (art. 30) et dans toute AIPD couvrant la pile publicitaire et analytique sous-jacente. Les auditeurs attendent une durée de conservation du journal documentée (Crownpeak la propose entre 6 et 36 mois), la préservation de l''historique des versions de bannière et la preuve que la liste de fournisseurs présentée à l''utilisateur correspond à celle réellement présente sur la page.
Pour déployer UCP de manière conforme, configurez des politiques géo-ciblées : bannière TCF 2.2 avec bouton refuser tout sur la première couche pour l''UE et le Royaume-Uni, signal d''opt-out CCPA/CPRA pour les États-Unis, simple notice informative ailleurs. Lancez le scanner de cookies une fois par mois et revalidez la liste de fournisseurs à chaque mise en production. Les alternatives hébergées en Europe incluent Didomi (France), Usercentrics (Allemagne), Axeptio (France) et Cookiebot by Usercentrics (Danemark), qui prennent en charge le TCF 2.2 sans poser de question de transfert vers les États-Unis.
Les sites web utilisant Crownpeak Universal Consent Platform doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD dédiée à la CMP n'est généralement pas requise car le cookie de consentement est strictement nécessaire et le volume de données personnelles est limité. Le responsable de traitement doit néanmoins documenter la base légale de la conservation du journal de consentement, évaluer le transfert des enregistrements d'audit vers les États-Unis au regard du chapitre V du RGPD, et signer un contrat de sous-traitance conforme à l'article 28 avec Crownpeak. Si la CMP est couplée à des outils d'analytique ou de fingerprinting, une AIPD étendue à l'ensemble de la pile est recommandée.
Exemple de texte de consentement
Nous utilisons Crownpeak Universal Consent Platform pour enregistrer vos choix relatifs aux cookies et transmettre ces choix aux fournisseurs publicitaires et analytiques via le Transparency and Consent Framework de l'IAB. La bannière elle-même dépose un cookie strictement nécessaire qui ne requiert pas votre consentement préalable. Vous pouvez modifier vos préférences à tout moment depuis le centre dédié.
Domaines tiers contactes
c.evidon.comc.betrad.comcdn.crownpeak.netconsent.crownpeak.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| cp_consent | functional | 12 months | Stores the IAB TCF consent string, the chosen vendor list and a timestamp so the visitor preference can be replayed on every page and across subdomains. Strictly necessary under ePrivacy Article 5(3). |
| evidon-consent | functional | 12 months | Legacy name of the same consent string cookie, still set on tenants migrated from Evidon. Used to honour and audit the cookie preference. |
| cp_consent_uuid | functional | 12 months | Pseudonymous identifier paired with the consent record to allow the visitor to update or revoke their choice without re-identification. |
| evidon_banner_id | analytics | 6 months | Optional cookie set when banner analytics (A/B testing, acceptance rate) are enabled. Requires consent under ePrivacy. |
Crownpeak Universal Consent Platform est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
UCP dépose un cookie strictement nécessaire de première partie contenant la chaîne de consentement TCF 2.2, la liste des fournisseurs acceptés et un horodatage. Un identifiant UUID pseudonyme peut l'accompagner pour permettre la révocation. Si l'analyse de bannière (tests A/B, taux d'acceptation) est activée, un cookie analytique supplémentaire est posé : celui-là requiert un consentement préalable.
Non. Le cookie de consentement est strictement nécessaire au sens de l'article 5(3) de la directive ePrivacy car il fournit un service expressément demandé par le visiteur : l'enregistrement de ses choix. La bannière peut donc être déployée sans consentement préalable. Les cookies optionnels d'analyse de bannière ou de tests A/B exigent en revanche un consentement préalable.
Le traitement du journal de consentement repose sur deux bases combinées : l'intérêt légitime du responsable à pouvoir démontrer sa conformité (art. 6(1)(f) du RGPD) et une obligation légale au titre de l'article 7(1) et du principe de responsabilité de l'article 5(2), qui imposent de prouver que le consentement a été valablement recueilli. Recueillir un consentement pour journaliser le consentement n'est pas requis.
Oui. Crownpeak est responsable de traitement aux États-Unis et les journaux d'audit y sont hébergés. Les déploiements UE et Royaume-Uni doivent documenter un mécanisme de transfert au chapitre V. Crownpeak s'autocertifie sous le Data Privacy Framework, jugé adéquat par la Commission. À défaut, signez les CCT 2021, conduisez une TIA et envisagez la pseudonymisation du journal d'audit.
Une AIPD dédiée à la CMP est rarement obligatoire : le traitement se limite à des données opérationnelles liées à la gestion du consentement. La CMP doit toutefois figurer dans le registre des activités de traitement (article 30) et être incluse dans toute AIPD portant sur la pile publicitaire et analytique qu'elle dessert. Couplez l'évaluation à une TIA pour le transfert du journal vers les États-Unis.
Configurez des politiques géo-ciblées avec, pour l'UE et le Royaume-Uni, une bannière TCF 2.2 dotée d'un bouton refuser tout aussi visible que accepter sur la première couche. Bloquez tous les tags non essentiels tant que le consentement n'est pas obtenu, via l'API TCF ou le pont Google Consent Mode v2. Lancez le scanner chaque mois, synchronisez la liste de fournisseurs avec la page réelle et conservez les journaux pendant au moins 13 mois conformément aux recommandations de la CNIL.
Oui. Didomi (France), Axeptio (France), Usercentrics (Allemagne) et Cookiebot by Usercentrics (Danemark) sont des CMP hébergées dans l'UE/EEE qui prennent en charge le TCF 2.2 et le Google Consent Mode v2. Elles éliminent la question du transfert vers les États-Unis et simplifient la conformité au chapitre V, tout en partageant des choix d'architecture proches pour la journalisation du consentement.
Mentionnez Crownpeak Technology, Inc. comme sous-traitant dans la politique cookies, indiquez le nom du cookie de consentement, sa durée et sa finalité, et précisez qu'il est strictement nécessaire. Référencez le mécanisme de transfert vers les États-Unis (DPF ou CCT) et insérez un lien vers le centre de préférences. Relancez le scanner UCP avant publication pour aligner l'inventaire de la politique avec les catégories de la bannière et le comportement réel de la page.