Ce qu'est réellement la Global Privacy Platform

GPP est un protocole de transport, pas un nouveau cadre de consentement. C'est un conteneur qui encode plusieurs signaux de consentement régionaux en une seule chaîne Base64, exposée via une API JavaScript standard (__gpp()) que les SSP, DSP et fournisseurs de mesure peuvent interroger. Chaque région possède sa propre section dans la chaîne GPP : la Section 2 transporte TCF EU v2, la Section 6 transporte US Privacy (déprécié), la Section 7 couvre USNat, et les Sections 8 à 12 couvrent respectivement la Californie, la Virginie, le Colorado, l'Utah et le Connecticut. Des sections supplémentaires pour le Texas, l'Oregon, le Montana et d'autres États sont ajoutées au fur et à mesure de l'entrée en vigueur de leurs lois.

Le choix de conception essentiel est qu'une seule chaîne GPP peut transporter plusieurs sections simultanément. Un visiteur européen reçoit les données TCF EU ; un visiteur californien reçoit les données US-CA ; un utilisateur dont l'IP se géolocalise dans les deux juridictions (rare mais possible via VPN) peut avoir les deux sections renseignées. Les fournisseurs de technologie publicitaire ne lisent que les sections qui les concernent et ignorent le reste.

Pourquoi GPP existe et pourquoi c'est important maintenant

Avant GPP, chaque nouvelle loi américaine sur la confidentialité des États forçait les éditeurs à implémenter encore un nouveau signal. La Californie avait USP. Le VCDPA de Virginie exigeait une sémantique d'opt-out différente. Le CPA du Colorado reconnaissait le signal de navigateur Global Privacy Control. L'Utah et le Connecticut ont chacun ajouté davantage de nuances. Les fournisseurs de technologie publicitaire devaient analyser une demi-douzaine de formats, souvent de manière incohérente, et le risque de signaler « l'utilisateur a consenti » dans un canal alors que l'utilisateur avait refusé dans un autre est devenu un vrai risque de conformité.

GPP standardise le transport. Une fois qu'un CMP définit la chaîne GPP, tous les fournisseurs en aval lisent le même encodage. Pour les éditeurs, cela est important pour trois raisons : la politique de Google en 2024 exige désormais la prise en charge de GPP pour les signaux des États américains sur l'inventaire Google Ad Manager ; Prebid.js 8.x et la plupart des principaux adaptateurs SSP attendent GPP ; et les régulateurs font de plus en plus référence à la conformité GPP comme preuve de propagation de signal de bonne foi.

Les sections GPP et leur signification

Chaque section GPP possède ses propres règles d'encodage, reflétant le cadre sous-jacent :

Section 2 : TCF EU v2

Identique à la chaîne TCF v2.2 autonome que vous générez déjà pour le trafic européen. Si votre CMP est certifié TCF, vous produisez déjà cette section — GPP l'encapsule simplement.

Section 7 : US National (USNat)

La section la plus récente, conçue comme un signal unique couvrant toutes les lois fédérales et étatiques américaines sur la confidentialité. Elle encode les avis donnés, l'opt-out de vente, l'opt-out de partage, l'opt-out de publicité ciblée, l'opt-out des données sensibles et le traitement des données d'enfants connus. Les fournisseurs opérant dans plusieurs États américains devraient préférer USNat aux sections par État lorsque c'est possible.

Sections 8-12 : Signaux américains par État

Californie (US-CA), Virginie (US-VA), Colorado (US-CO), Utah (US-UT) et Connecticut (US-CT). Chaque section contient des champs spécifiques à la loi de cet État — par exemple, US-CA conserve les anciens opt-out de vente et de partage CCPA/CPRA, tandis que US-CO ajoute l'indicateur de consentement des données sensibles requis par le Colorado Privacy Act. Le Texas (US-TX sous la section 13 du CPA) et l'Oregon (US-OR sous la section 14 du CPA) ont été ajoutés après l'entrée en vigueur de leurs lois en juillet 2024.

Comment les éditeurs devraient migrer

La plupart des éditeurs disposent déjà d'un CMP générant des chaînes TCF pour le trafic UE et des chaînes USP pour la Californie. Le chemin de migration vers GPP ressemble à ceci :

Étape 1 : Mettez à niveau votre CMP

Confirmez que votre fournisseur CMP est répertorié sur la liste des CMP certifiés GPP de l'IAB. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics et la plupart des CMP certifiés Google produisent désormais des chaînes GPP valides. Si votre CMP n'émet toujours que TCF ou USP, demandez une feuille de route pour la prise en charge de GPP — tout fournisseur sans plan ici sera laissé pour compte en 2026.

Étape 2 : Configurez les sections GPP par géographie

Votre CMP devrait décider automatiquement quelles sections GPP renseigner en fonction de la géolocalisation IP. Les visiteurs européens obtiennent la Section 2 (TCF EU) ; les visiteurs américains obtiennent la Section 7 (USNat) ou les sections par État selon la façon dont votre pile de fournisseurs lit le signal. Ne renseignez pas toutes les sections pour chaque visiteur — c'est une erreur de configuration courante qui fait fuiter des données non pertinentes pour la juridiction.

Étape 3 : Vérifiez la propagation en aval

La chaîne GPP n'est utile que si les SSP, DSP, analyses et fournisseurs de pixels la lisent. Auditez votre pile publicitaire : dans Prebid.js, confirmez que le module gppControl est activé ; dans Google Ad Manager, confirmez que la chaîne GPP est transmise via l'API de consentement GAM ; dans Google Analytics 4, confirmez que Consent Mode v2 lit GPP aux côtés de TCF. Tout fournisseur qui ignore silencieusement GPP est une lacune de conformité.

GPP, Consent Mode v2 et les exigences de Google

La mise à jour de la politique de Google en décembre 2024 a rendu la prise en charge de GPP obligatoire pour les éditeurs monétisant l'inventaire américain via Google Ad Manager. Ce changement est subtil mais important : Consent Mode v2 utilise toujours ses propres signaux ad_storage et analytics_storage, mais GAM s'attend désormais à ce que la chaîne GPP soit présente dans la requête publicitaire pour tout trafic soumis aux lois étatiques américaines. Les chaînes GPP manquantes ou malformées peuvent entraîner la diffusion d'annonces en mode restreint — avec un impact significatif sur le remplissage et les revenus — ou, pour les récidivistes, l'exclusion de l'inventaire des enchères.

L'implication pratique : même les éditeurs qui ont historiquement ignoré les lois des États américains parce que leurs revenus provenaient uniquement de Californie ont désormais besoin de GPP. La Virginie, le Colorado, le Connecticut, l'Utah, le Texas, l'Oregon, le Montana et l'Iowa ont tous des lois en vigueur à partir de 2026, et Google lit la chaîne GPP pour déterminer si votre requête publicitaire est conforme à chacune.

Les pièges courants de la migration

Quatre erreurs que nous voyons répétitivement lorsque les éditeurs ajoutent GPP :

Signaux en double. Certains éditeurs conservent des chaînes TCF et USP autonomes aux côtés de GPP, créant trois sources de vérité qui peuvent se contredire. Une fois GPP activé, retirez les chaînes autonomes.

Mauvaise population de section. Renseigner US-CA pour chaque visiteur américain quel que soit l'État réel fait fuiter la géographie et peut faussement revendiquer des droits d'opt-out CCPA pour des résidents non californiens. Utilisez la géolocalisation IP pour choisir la bonne section.

Ignorer GPC. Le signal de navigateur Global Privacy Control n'est pas une section GPP — c'est un en-tête HTTP et une propriété JS distincts. Votre CMP doit lire GPC au chargement de la page et le refléter comme un opt-out dans les sections GPP pertinentes, ou vous violez la loi du Colorado, du Connecticut et de la Californie.

Adaptateurs fournisseurs obsolètes. Les anciens adaptateurs Prebid et les intégrations SSP peuvent supprimer la chaîne GPP avant qu'elle n'atteigne le soumissionnaire. Testez chaque fournisseur de votre pile publicitaire avec le validateur GPP de l'IAB avant de déclarer la migration terminée.

La vision à long terme : GPP au-delà des États-Unis

GPP est conçu pour s'étendre au-delà de TCF EU et des lois étatiques américaines. De nouvelles sections pour le Canada (PIPEDA plus la Loi 25 du Québec), le Brésil (LGPD), la Corée du Sud (PIPA) et d'autres juridictions sont en cours de développement actif par le groupe de travail IAB. Pour les éditeurs desservant un inventaire mondial, GPP devient le transport de consentement unique qui remplace chaque protocole régional. Investir dans GPP aujourd'hui positionne votre pile pour absorber la prochaine vague de lois régionales sur la confidentialité sans un autre sprint d'intégration.