Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
BlokID est une solution d'identité et de consentement publicitaire qui se présente comme respectueuse de la vie privée des enfants. Elle combine résolution d'identité déterministe et probabiliste, signaux IAB TCF 2.2 et garde fous COPPA pour permettre aux éditeurs et annonceurs de diffuser de la publicité adressable ou contextuelle tout en respectant le RGPD, la directive ePrivacy et les règles américaines sur la protection des mineurs. L'intégration se fait côté serveur ou via un wrapper prebid.js, ce qui implique le traitement d'adresses IP, d'adresses email hachées et de chaînes de consentement pour le compte de l'éditeur.
BlokID est une couche d''identité et de consentement conçue pour la chaîne publicitaire programmatique. Côté éditeur, le service résout un visiteur en identifiant haché stable (issu d''un email de connexion lorsque disponible, sinon d''un signal probabiliste combinant adresse IP, user agent et cookies first party). Côté annonceur, l''identifiant est exposé via prebid.js, des adaptateurs server side et quelques DSP partenaires, accompagné de la chaîne de consentement IAB TCF 2.2. La solution se présente comme compatible avec les audiences enfants et adolescents grâce à un mode dégradé qui restreint l''identifiant à un usage contextuel lorsque l''inventaire est destiné à des mineurs.
L''éditeur est responsable de traitement, BlokID est sous traitant au sens de l''article 28 du RGPD, et les DSP en aval sont responsables indépendants ou conjoints selon le contrat. L''arrêt CJUE IAB Europe (C 604/22, mars 2024) confirme que la chaîne TCF est une donnée à caractère personnel, ce qui impose une base légale valide à chaque maillon.
Un déploiement type écrit un cookie first party sur le domaine de l''éditeur (souvent bk_id ou bkuid) contenant l''identifiant haché, un cookie TCF reflétant la chaîne euconsent v2, et un cookie de synchronisation à courte durée utilisé pour apparier l''identifiant BlokID avec ceux des partenaires. En mode cookieless, l''identifiant est stocké en localStorage, mais les mêmes catégories de données sont traitées. Dans tous les cas, l''article 5 3 de la directive ePrivacy impose le consentement préalable, indépendamment du caractère personnel ou non des données, dès lors qu''il y a accès à l''équipement terminal.
La seule base légale envisageable pour BlokID sur un site ou une application grand public est le consentement (article 6 1 a du RGPD), recueilli par une CMP compatible IAB TCF 2.2. L''intérêt légitime est exclu pour la publicité personnalisée, conformément aux lignes directrices du CEPD et à la décision de l''APD belge sur IAB Europe. Lorsque l''utilisateur est mineur (moins de 15 ans en France, 16 ans en Allemagne et aux Pays Bas, 14 ans en Italie et en Espagne, 13 ans au Royaume Uni), l''éditeur doit recueillir le consentement vérifiable du titulaire de l''autorité parentale (article 8 du RGPD).
Le refus doit être aussi simple que l''acceptation (CNIL, délibération 2020 091; CEPD, lignes directrices 03/2022 sur les dark patterns) et le consentement doit être granulaire par finalité. BlokID ne recueille pas lui même le consentement; il consomme le signal produit par la CMP de l''éditeur.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
BlokID exploite des régions UE (Irlande) et US (Virginie). Lorsque l''éditeur active l''endpoint américain, l''identifiant haché, l''adresse IP et la chaîne de consentement quittent l''EEE. Le transfert est couvert par la décision d''adéquation Data Privacy Framework du 10 juillet 2023 pour l''entité américaine certifiée, et par les CCT module 2 plus une analyse d''impact des transferts (TIA) pour tout transfert ultérieur. L''éditeur doit conserver la preuve de la certification active (consultable sur dataprivacyframework.gov) et réactualiser la TIA au moins chaque année, notamment au regard des contentieux en cours autour du DPF.
Signer le DPA BlokID avec son annexe TCF; lister BlokID et chaque fournisseur en aval dans la politique de confidentialité; conduire une AIPD au titre de l''article 35; configurer la CMP pour bloquer BlokID avant consentement et pour relayer le Global Privacy Control et les signaux d''opposition CPRA; s''assurer que le tag BlokID ne se déclenche jamais sur des pages destinées aux mineurs sans consentement parental vérifiable; cartographier les durées de conservation (90 jours pour l''identifiant, 13 mois pour les preuves de consentement TCF selon la CNIL); tester de bout en bout le retrait du consentement, y compris la suppression dans le graphe d''identité BlokID sous 30 jours (article 17).
Si BlokID ne peut pas être déployé de manière conforme, l''éditeur peut basculer sur des solutions strictement contextuelles (Seedtag, Weborama Contextual, GumGum Verity), exploiter un graphe d''identité first party limité aux utilisateurs connectés et consentants, ou activer des audiences via clean room en conservant les identifiants bruts côté éditeur. Lors de l''arrêt de BlokID, exiger une attestation écrite de suppression des identifiants et des journaux de consentement, et retirer le vendor id BlokID de la GVL via la CMP lors du cycle de publication suivant.
Les sites web utilisant BlokID doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD est fortement recommandée avant tout déploiement de BlokID. La combinaison d'une résolution d'identité à grande échelle, de publicité comportementale et d'un positionnement explicite vers des audiences mineures déclenche les critères 1 (évaluation/scoring), 3 (surveillance systématique), 4 (données sensibles ou hautement personnelles, dont les données de mineurs), 7 (personnes vulnérables) et 8 (technologie innovante) des lignes directrices du CEPD. L'AIPD doit décrire le graphe d'identité et le flux de signaux TCF, évaluer le risque de réidentification des identifiants hachés, justifier le recours au Data Privacy Framework UE États Unis et définir les flux de consentement parental, de conservation et d'effacement. La CNIL impose en outre une attention particulière aux mineurs (délibération 2021 069) et au Code AADC britannique lorsque l'audience inclut des Européens mineurs. Une consultation préalable de l'autorité au titre de l'article 36 peut être nécessaire si le risque résiduel demeure élevé.
Exemple de texte de consentement
Nous utilisons BlokID, un service d'identité et de consentement publicitaire, pour reconnaître votre appareil, partager un identifiant haché avec nos partenaires publicitaires et personnaliser les publicités diffusées sur ce site. BlokID transmet également vos préférences IAB TCF 2.2 à ces partenaires. Si vous êtes mineur (moins de 15 ans en France au titre de l'article 7 1 de la loi Informatique et Libertés, moins de 13 ans aux États Unis au titre de COPPA), BlokID ne sera activé qu'avec l'accord vérifiable de la personne titulaire de l'autorité parentale. Vos données, dont un email haché si vous êtes connecté et votre adresse IP, peuvent être traitées dans l'Union européenne et aux États Unis sur la base des clauses contractuelles types et du Data Privacy Framework. Vous pouvez accepter, refuser ou retirer votre consentement à tout moment depuis notre panneau de préférences cookies.
Domaines tiers contactes
blokid.comcdn.blokid.comid.blokid.comsync.blokid.comeu.blokid.comus.blokid.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| bk_id | http_cookie | 90 days | First party cookie set on the publisher domain. Stores the hashed BlokID identifier used to recognise the visitor across sessions and to expose the id to prebid.js bidders and downstream DSPs. |
| bkuid | http_cookie | 90 days | Alternative first party identifier name used by some publisher integrations. Same purpose as bk_id, kept for backward compatibility with older prebid wrappers. |
| bk_consent | http_cookie | 13 months | First party cookie that mirrors the IAB TCF 2.2 euconsent v2 string so BlokID can verify on each request that the user has granted purposes 1, 3, 4 and 7. |
| bk_sync | http_cookie | 24 hours | Third party cookie set on blokid.com during cookie sync operations. Used to pair the BlokID identifier with partner SSP and DSP identifiers. |
| bk_optout | http_cookie | 5 years | Opt out cookie set on blokid.com when the user refuses or withdraws consent. Prevents the BlokID tag from setting any other identifier on subsequent visits. |
| bk_id_ls | local_storage | 90 days | localStorage key written when the publisher activates the cookieless mode. Stores the same hashed identifier as bk_id and is governed by the same consent requirement under ePrivacy art. 5(3). |
| bk_child_flag | http_cookie | 30 days | Internal flag indicating that the current page or audience has been declared child directed. Forces BlokID into contextual only mode and disables identity resolution. |
| bk_session | http_cookie | session | Short lived session cookie used for request signing and replay protection on the BlokID identity API. Expires when the browser tab is closed. |
BlokID utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Un déploiement standard écrit un cookie first party sur le domaine de l'éditeur, généralement nommé bk_id ou bkuid, contenant un identifiant haché d'une durée pouvant atteindre 90 jours. Un second cookie first party reflète la chaîne de consentement IAB TCF 2.2 (euconsent v2). Lorsque la synchronisation est activée, un cookie tiers de courte durée sur le domaine blokid.com (souvent bk_sync) sert à apparier les identifiants partenaires pendant quelques minutes. En mode cookieless, l'identifiant est déplacé dans localStorage mais la logique est identique. L'article 5 3 de la directive ePrivacy impose le consentement préalable pour chacune de ces opérations, y compris pour localStorage.
Oui. BlokID traite des identifiants à des fins de personnalisation publicitaire, ce qui implique le consentement au titre de l'article 6 1 a du RGPD selon les lignes directrices du CEPD et la décision de l'APD belge sur IAB Europe. Le tag doit rester bloqué par la CMP jusqu'à recueil d'un opt in libre, spécifique, éclairé et univoque, le refus devant être aussi simple que l'acceptation (CNIL, délibération 2020 091 et lignes directrices CEPD 03/2022). Le consentement doit être renouvelé tous les 13 mois ou lorsque les finalités ou la liste de fournisseurs changent de manière substantielle.
Le consentement au titre de l'article 6 1 a du RGPD est la seule base envisageable pour la personnalisation publicitaire basée sur l'identité. Lorsque l'utilisateur est mineur (moins de 15 ans en France, 16 ans en Allemagne et aux Pays Bas, 14 ans en Italie et en Espagne, 13 ans au Royaume Uni), le consentement vérifiable du titulaire de l'autorité parentale (article 8 du RGPD) est obligatoire. Pour les utilisateurs de moins de 13 ans aux États Unis, COPPA s'applique et l'éditeur doit utiliser l'une des méthodes admises par la FTC (formulaire signé, vérification de carte bancaire, authentification fondée sur des connaissances, vidéo). Le mode child directed de BlokID désactive la résolution d'identité et ne conserve que les signaux contextuels, mais il ne remplace pas le consentement parental lorsqu'une personnalisation comportementale est prévue.
Oui lorsque l'éditeur active l'endpoint américain. Les identifiants hachés, les adresses IP et la chaîne TCF sont transférés vers l'infrastructure BlokID aux États Unis (région Virginie). Le transfert s'appuie sur la décision d'adéquation Data Privacy Framework UE États Unis du 10 juillet 2023 pour l'entité américaine certifiée, complétée par les clauses contractuelles types module 2 et une analyse d'impact des transferts pour tout sous traitement ultérieur. La certification doit être vérifiée sur dataprivacyframework.gov et l'analyse renouvelée chaque année. Les éditeurs servant exclusivement du trafic européen doivent verrouiller l'intégration sur l'endpoint UE et le documenter dans le registre des traitements.
Dans la quasi totalité des cas oui. BlokID active au moins cinq des neuf critères du CEPD pour une AIPD obligatoire: évaluation/scoring, surveillance systématique, données sensibles ou hautement personnelles (mineurs), personnes vulnérables et technologie innovante. La liste CNIL des traitements nécessitant une AIPD (mise à jour 2018) cite explicitement le profilage à des fins publicitaires. L'AIPD doit couvrir le graphe d'identité, le flux TCF, les durées de conservation, le retrait, la suppression, la vérification du consentement parental et le transfert UE États Unis. Si le risque résiduel reste élevé, une consultation préalable de la CNIL au titre de l'article 36 est requise avant la mise en production.
Trois schémas se rencontrent. Premièrement, un wrapper prebid.js côté client charge le module userId BlokID, qui lit ou écrit le cookie bk_id et expose l'identifiant aux SSP/DSP. Deuxièmement, une intégration server to server appelle l'API d'identité BlokID depuis l'edge de l'éditeur, ce qui est préférable pour la performance et pour garder l'identifiant hors du navigateur. Troisièmement, un gabarit dans le tag manager déclenche le pixel BlokID uniquement après que la CMP a accordé les finalités TCF 1, 3, 4 et 7. Dans tous les cas, l'éditeur doit câbler le gating de consentement dans le tag manager ou dans le module consentManagement de prebid pour empêcher tout appel réseau avant l'opt in.
Pour des inventaires destinés aux mineurs, les solutions strictement contextuelles sont les plus sûres (Seedtag, Weborama Contextual, GumGum Verity, Illuma). Pour des audiences connectées, un graphe d'identité first party activé via clean room (LiveRamp ATS, InfoSum, Habu) conserve les identifiants bruts côté éditeur. Les éditeurs présents sur le marché américain peuvent envisager Universal ID 2.0 avec des flux d'opt in stricts. Aucune de ces alternatives ne dispense d'une CMP ni d'une AIPD, mais elles réduisent le transfert transfrontalier et l'exposition aux mineurs qui structurent le profil de risque BlokID.
Citer BlokID nommément dans la section cookies, décrire bk_id, bk_sync et le cookie TCF avec leurs durées (90 jours pour bk_id, session pour bk_sync, 13 mois pour la preuve de consentement TCF), et renvoyer aux finalités IAB TCF 2.2 numéros 1, 3, 4 et 7. Mettre à jour la table des destinataires tiers avec l'entité américaine BlokID et le lien vers le Data Privacy Framework. Dans la CMP, enregistrer le vendor id BlokID sur la GVL, n'activer le vendor qu'après opt in explicite, et lier la politique de confidentialité de BlokID. Republier la politique cookies avec une date de version pour conserver l'historique exigé par les lignes directrices du CEPD sur la transparence.