Guide d'intégration du consentement aux cookies du tag Pinterest : GDPR et CCPA pour le e-commerce
Pour les marques e-commerce, Pinterest est discrètement un moteur de trafic et de conversion considérable. La recherche visuelle a mûri, la plateforme génère désormais des comportements d'achat à haute intention, et le tag Pinterest — le petit extrait JavaScript qui rapporte les pages vues, les ajouts au panier, les passages en caisse et les achats à Pinterest Ads — est l'un des tags marketing les plus couramment installés sur les boutiques en ligne. C'est aussi l'un des plus souvent mal configurés du point de vue de la vie privée. Le tag Pinterest dépose des cookies propriétaires et transmet des données comportementales à Pinterest dès qu'il se charge, ce qui signifie que dans toute juridiction soumise à des exigences de consentement préalable — l'EU, le UK, les États membres de l'EEA, le Brésil sous le LGPD, et de plus en plus la Californie sous le CPRA — l'utiliser sans signal de consentement réel est une violation de conformité, pas une erreur de configuration. Ce guide explique ce que le tag Pinterest fait réellement, comment l'intégrer à un CMP tiers, et ce qu'il faut savoir sur le Conversions API côté serveur comme alternative partielle.
Ce que le tag Pinterest suit
Le tag Pinterest est chargé depuis s.pinimg.com/ct/core.js et identifie les utilisateurs avec un cookie spécifique à Pinterest appelé _pinterest_ct_ua ainsi que le cookie _pin_unauth de la plateforme pour les visiteurs non authentifiés. Une fois présent, il signale automatiquement un événement PageVisit de base, puis accepte un flux d'appels d'événements supplémentaires pour AddToCart, Checkout, Purchase, Lead, Signup, WatchVideo et les événements personnalisés que vous définissez. Chaque événement transporte une charge utile JSON pouvant inclure des identifiants de produits, des valeurs de commande, la devise et les catégories de contenu — exactement le type de charge utile qui, combiné à l'identifiant du cookie, permet à Pinterest d'attribuer les conversions aux impressions de pins et aux clics publicitaires spécifiques.
Du point de vue réglementaire, trois éléments importent. Premièrement, les cookies ne sont pas essentiels — ils existent pour l'attribution publicitaire, pas pour le fonctionnement du site. Deuxièmement, les données quittant la page constituent des données personnelles au sens du GDPR car elles peuvent être liées à un identifiant. Troisièmement, Pinterest est établi aux États-Unis, ce qui signifie que le transfert est soumis au cadre EU-US de protection des données et aux clauses contractuelles types qui le sous-tendent. Ces trois conditions placent fermement le tag Pinterest dans la catégorie "exige un consentement préalable et librement donné" dans l'EU et au UK.
Les contrôles de confidentialité natifs de Pinterest vs un CMP tiers
Pinterest expose certains contrôles de confidentialité natifs. Le tableau de bord de l'annonceur dispose d'un interrupteur de traitement limité des données pour le trafic californien, le tag accepte une propriété consent sur les appels d'événements individuels, et Pinterest documente un chemin de balisage côté serveur via le Conversions API. Aucun de ces éléments n'équivaut à une bannière de consentement fonctionnelle. Les contrôles natifs supposent que le consentement a été collecté quelque part en amont et est transmis comme signal — ils ne collectent pas eux-mêmes le consentement, et ils ne bloquent pas le déclenchement du tag si le consentement est absent. Pour tout éditeur opérant dans plusieurs juridictions, l'architecture réaliste est un CMP tiers qui décide si le tag est autorisé à se charger du tout, les indicateurs natifs de Pinterest étant utilisés pour affiner le comportement une fois le consentement accordé.
Intégration étape par étape avec un CMP tiers
Le schéma d'intégration fiable est identique à celui des autres pixels majeurs : empêcher le tag de se déclencher au chargement de la page, confier le contrôle au CMP, et laisser le CMP charger et configurer le tag lorsque le visiteur accepte la catégorie marketing. Les détails spécifiques à Pinterest suivent.
1. Supprimer le code de base en ligne
Pinterest fournit un extrait de code de base que les installateurs collent généralement dans l'en-tête du document. Supprimez-le. Remplacez-le par un espace réservé que votre CMP pourra réécrire plus tard — la plupart des CMP le font en changeant l'attribut type de text/plain en text/javascript et en ajoutant un attribut data-category="marketing".
2. Associer le tag à la catégorie marketing
Le tag Pinterest touche à la fois des événements de type analytique (PageVisit) et des événements purement publicitaires (Purchase, AddToCart). Pour la défendabilité en audit, l'intégralité de l'extrait doit relever de la catégorie marketing, pas de la catégorie analytique. La lecture conservatrice des orientations de l'EDPB considère tout pixel alimentant une plateforme publicitaire comme relevant du marketing, quelle que soit la nature de l'événement déclenché.
3. Configurer le rappel de chargement
Lorsque le visiteur accorde son consentement marketing, votre CMP déclenche un événement. Dans ce gestionnaire, réécrivez l'espace réservé du tag en text/javascript, ajoutez-le au document et laissez-le s'exécuter. Le code de base initialise une file d'attente globale pintrk, puis charge le script principal. Une fois le script chargé, tous les événements mis en file d'attente depuis la page se vident automatiquement.
4. Acheminer le consentement par événement pour le traitement limité des données
Si vous avez du trafic californien et souhaitez utiliser le chemin de traitement limité des données de Pinterest pour les utilisateurs qui n'ont pas consenti, envoyez les data_processing_options appropriées à chaque appel d'événement. Pinterest accepte une valeur comme ['LDU'] avec des codes de pays et de région pour marquer l'événement comme à usage restreint. Ce n'est pas un substitut au consentement dans l'EU — c'est un mécanisme spécifique au CCPA — mais c'est le bon schéma pour les utilisateurs ayant refusé la vente ou le partage en vertu des règles californiennes.
5. Faire le pont avec Consent Mode v2 si vous utilisez des tags Google simultanément
La plupart des boutiques utilisant le tag Pinterest utilisent également Google Ads et GA4. Votre CMP doit publier les signaux v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — dans le dataLayer avant le déclenchement de tout tag Google. Pinterest ne consomme pas ces signaux nativement, mais Google oui, et l'incohérence entre les deux piles se manifestera comme un manque à gagner mesurable dans vos rapports d'attribution.
Le Conversions API comme alternative côté serveur
Le Conversions API de Pinterest vous permet d'envoyer des événements de conversion directement depuis votre serveur à Pinterest, en contournant entièrement le navigateur. C'est de plus en plus attractif pour deux raisons : il survit à la dépréciation des cookies tiers, et il évite une partie de la fragilité du consentement du tag côté navigateur car le serveur dispose d'informations plus claires sur qui a consenti à quoi.
Le Conversions API n'élimine pas l'exigence de consentement. Les événements que vous envoyez comportent toujours des données personnelles, et le GDPR s'applique de la même manière que la requête provienne d'un navigateur ou d'un service backend. Ce qu'il fait, c'est déplacer le point de décision de « le tag s'est-il déclenché avant le consentement » à « notre serveur a-t-il inclus cet événement dans la charge utile de l'API » — une surface bien plus contrôlable. Pour la plupart des boutiques, le bon schéma est d'utiliser les deux : le tag navigateur pour l'attribution en temps réel lorsque le consentement est accordé, le Conversions API pour les événements dédupliqués côté serveur pouvant être filtrés par l'état de consentement enregistré avant leur envoi.
Pièges courants
Trois erreurs d'intégration expliquent la plupart des problèmes que nous constatons lors de l'audit des installations Pinterest.
Traiter PageVisit comme de l'analytique
Certaines équipes placent Purchase et AddToCart derrière le consentement marketing mais laissent PageVisit se déclencher sous la catégorie analytique, en arguant qu'une page vue n'est « que de l'analytique ». Pinterest ne le voit pas ainsi — PageVisit alimente le générateur d'audiences de remarketing, qui est incontestablement une fonction marketing. Bloquez tout le tag.
Coder en dur le code de base Pinterest dans un gestionnaire de balises sans protection du consentement
Si vous installez le tag via Google Tag Manager, le modèle de tag Pinterest doit avoir le champ Additional Consent configuré pour exiger le consentement marketing avant de se déclencher. Sans cet indicateur, GTM déclenchera le tag indépendamment de l'état CMP du visiteur, et la bannière de consentement devient décorative.
Envoyer Enhanced Match sans vérifier d'abord le consentement
Pinterest prend en charge Enhanced Match, qui vous permet de hacher et de transmettre des données utilisateur identifiables (email, téléphone) pour améliorer l'attribution. Envoyer Enhanced Match pour un utilisateur n'ayant pas accordé son consentement marketing est le schéma le plus risqué de cette pile — c'est un transfert direct de données personnelles vers une plateforme publicitaire américaine sans base légale. Rendez Enhanced Match conditionnel au même signal de consentement que le reste du tag.
Liste de contrôle pour l'audit
Six questions concrètes auxquelles répondre pour tout déploiement de tag Pinterest touchant le trafic EU, UK ou californien.
- Le tag attend-il le consentement ? Ouvrez la page dans une fenêtre privée avec une protection stricte contre le suivi et confirmez qu'aucune requête s.pinimg.com ne se déclenche avant l'acceptation de la bannière.
- La catégorie marketing est-elle correctement associée ? Vérifiez que le CMP place le tag sous marketing, pas sous analytique ou fonctionnel.
- GTM respecte-t-il le consentement ? Si le tag est installé via Google Tag Manager, confirmez que le paramètre Additional Consent est configuré.
- Le traitement limité des données est-il acheminé pour la Californie ? Pour les refus CCPA qui autorisent encore le suivi sous LDP, confirmez que data_processing_options est présent à chaque événement.
- Enhanced Match est-il conditionnel ? Confirmez que les charges utiles Enhanced Match ne sont envoyées qu'aux utilisateurs ayant accordé leur consentement marketing.
- Le Conversions API reflète-t-il le consentement du navigateur ? Si vous utilisez les deux surfaces, confirmez que le chemin côté serveur filtre les événements par état de consentement enregistré avant de les transmettre.
La place de Pinterest dans une pile axée sur le consentement
Pinterest est un élément plus petit du paysage des pixels marketing que Meta ou Google, mais le traitement réglementaire est identique. Le schéma qui fonctionne est le même qui fonctionne pour toute plateforme publicitaire majeure : maintenir le tag hors de la page jusqu'à ce que le visiteur accepte le marketing, utiliser le CMP comme unique source de vérité pour l'état du consentement, et configurer les indicateurs de confidentialité propres à la plateforme (traitement limité des données, les champs de consentement du Conversions API) pour s'aligner sur ce que la bannière a enregistré. Les marques qui le font correctement préservent leur attribution Pinterest tout en réduisant leur exposition aux audits à une fraction de ce que porte une installation par défaut.