Prebid.js Gestion du Consentement : Guide de Configuration du Header Bidding pour les Éditeurs
Le header bidding améliore les CPM des éditeurs en permettant aux partenaires de demande de se faire concurrence en parallèle — mais chacun de ces partenaires a besoin d'un signal de consentement valide avant de pouvoir déposer un cookie, prendre une empreinte ou déclencher un pixel. Prebid.js, le wrapper de header bidding open source de facto utilisé par des dizaines de milliers de sites, est livré avec un module de gestion du consentement qui relie votre CMP à chaque enchère. Une mauvaise configuration vous expose soit à une fuite de données sans consentement (risque réglementaire), soit à priver les enchérisseurs du signal dont ils ont besoin (risque de revenus). Ce guide accompagne les éditeurs dans une configuration prête pour la production.
Pourquoi Prebid.js a besoin d'un module de gestion du consentement
Lorsqu'une enchère Prebid.js se lance, le wrapper envoie des requêtes parallèles à chaque adaptateur d'enchérisseur configuré. Chaque adaptateur doit inclure la chaîne de consentement de l'utilisateur dans sa demande d'enchère — tcfeu (TCF v2.2 pour l'UE/Royaume-Uni), usp (CCPA/CPRA), et de plus en plus gpp (la chaîne IAB Global Privacy Platform couvrant plusieurs États américains). Sans ces signaux, les SSP et DSP en aval sont contraints soit de traiter l'utilisateur comme ayant refusé, soit d'abandonner complètement l'enchère, soit — dans le pire des cas — de traiter les données illégalement.
Le module de gestion du consentement Prebid se place entre votre CMP et le pipeline de demande d'enchère. Il appelle l'API CMP standard (__tcfapi, __uspapi, __gppapi), attend une chaîne de consentement, puis l'injecte automatiquement dans le payload de demande d'enchère de chaque adaptateur. Il applique également un filtrage basé sur les finalités lorsque vous activez l'application du GDPR, bloquant l'accès au stockage et l'exécution des enchérisseurs pour les utilisateurs n'ayant pas accordé les finalités TCF pertinentes.
Installation et configuration du module principal
Prebid.js est compilé par éditeur depuis docs.prebid.org/download.html. Lorsque vous générez votre build personnalisé, trois modules sous « Gestion du consentement » sont importants :
- consentManagementTcf — gère les chaînes TCF v2.2 pour le trafic UE, Royaume-Uni et Suisse.
- consentManagementUsp — gère l'ancienne US Privacy String CCPA/CPRA (encore requise par de nombreux DSP).
- consentManagementGpp — gère la chaîne IAB GPP, le standard tourné vers l'avenir désormais imposé par Google, TTD et les principaux SSP.
Incluez les trois si vous servez un trafic mondial. Une fois le build déployé sur votre CDN, configurez les modules dans votre script de configuration Prebid :
Configuration TCF v2.2
Le bloc TCF indique à Prebid quelle API CMP appeler, combien de temps attendre une chaîne, et quoi faire en cas de délai dépassé. Une configuration de production typique définit cmpApi: 'iab', timeout: 8000 (8 secondes — suffisamment long pour un chargement lent de bannière CMP), et defaultGdprScope: true afin que les utilisateurs de juridictions inconnues soient traités comme dans le périmètre jusqu'à preuve du contraire. La définition séparée de actionTimeout contrôle combien de temps Prebid attend lorsque l'utilisateur n'a pas encore interagi avec la bannière — le maintenir raisonnable évite un emplacement publicitaire vide si un visiteur ignore la bannière.
US Privacy et GPP
L'USP est simple : activez le module et Prebid lit la chaîne à quatre caractères depuis __uspapi. Le GPP est plus nuancé car la chaîne GPP peut transporter plusieurs identifiants de section (TCF EU, US National, US California, US Colorado, US Virginia, etc.). Prebid transfère automatiquement la chaîne complète, mais les enchérisseurs inspectent des sections spécifiques. Assurez-vous que votre CMP émet les bonnes sections GPP pour la juridiction de chaque utilisateur — une CMP mal configurée qui n'émet que la section US National à un utilisateur californien provoquera le rejet de l'enchère par les DSP conformes CPRA.
Activation de l'application du GDPR (filtrage basé sur les finalités)
Par défaut, le module de consentement transmet la chaîne TCF mais ne bloque rien. Pour que Prebid applique réellement les finalités TCF, activez le jeu de règles gdprEnforcement. C'est ici que la plupart des erreurs de configuration se produisent — et que réside la différence entre une stack de header bidding conforme et non conforme.
Le jeu de règles standard bloque quatre activités lorsque la finalité concernée manque de consentement :
- storage — conditionné à la Finalité 1 (stockage et accès). Lorsque refusé, Prebid empêche les enchérisseurs de lire ou d'écrire des cookies et du localStorage.
- basicAds — conditionné à la Finalité 2 (annonces basiques). Lorsque refusé, l'enchérisseur est exclu de l'enchère entièrement.
- measurement — conditionné à la Finalité 7. Affecte les adaptateurs d'analyse.
- transmitPreciseGeo — conditionné à la Fonctionnalité Spéciale 1. Lorsque refusé, Prebid supprime la géolocalisation précise des demandes d'enchère.
Pour chaque règle, vous définissez enforcePurpose: true, enforceVendor: true, et une liste de vendorExceptions. La liste des exceptions fournisseurs est critique : tout enchérisseur que vous y inscrivez est autorisé à participer même sans consentement explicite du fournisseur TCF, au motif que vous disposez d'une base juridique distincte (par ex., intérêt légitime combiné à un flux contractuel). Utilisez ceci avec parcimonie — des exceptions trop larges constituent exactement le schéma pour lequel les régulateurs ont commencé à sanctionner les éditeurs.
Pièges courants qui coûtent aux éditeurs des revenus ou la conformité
Délai d'attente trop court
Si le timeout est plus court que le temps de rendu de la bannière de votre CMP, Prebid avance sans chaîne de consentement. Les enchérisseurs interprètent cela comme une absence de consentement et abandonnent l'enchère. Mesurez la latence du premier appel tcfapi('addEventListener') de votre CMP au 95e percentile et définissez le timeout Prebid au-dessus de cette valeur. 8000 ms est une valeur par défaut sûre ; 3000 ms est risqué si vous servez des marchés où la localisation des bannières prend du temps.
Intégration GPP manquante sur le trafic américain
Les principaux SSP et DSP (Google AdX, TTD, Magnite, PubMatic) exigent désormais la chaîne GPP pour l'application des refus américains. Si vous n'émettez que l'ancienne chaîne USP, ces DSP vont de plus en plus dévaloriser ou ignorer votre inventaire. Auditez vos réponses aux enchères : une chute brutale du CPM sur le trafic américain en 2026 est souvent un signal GPP manquant.
Chaînes de consentement obsolètes dans la navigation SPA
Les applications monopage qui re-déclenchent des enchères Prebid lors des changements de route doivent appeler pbjs.refreshUserIds() et s'assurer que la dernière chaîne TCF est récupérée. Une chaîne mise en cache vieille de 30 minutes peut transporter les préférences de l'utilisateur précédent si votre site utilise des sessions partagées.
vendorExceptions manquantes pour l'analyse
Les éditeurs oublient souvent que les adaptateurs Prebid Analytics (Google Analytics, reporting côté serveur) sont également soumis au filtrage measurement au titre de la Finalité 7 du TCF. Si vous comptez sur eux pour les rapports de revenus, listez-les explicitement sous les exceptions fournisseurs de la règle de mesure, ou acceptez l'écart de données sur le trafic sans consentement.
Tester votre configuration avant la mise en production
Prebid.js expose pbjs.getConfig('consentManagement') dans la console du navigateur. Vérifiez que la configuration active correspond à votre intention. Utilisez ensuite l'extension Chrome Prebid.js Professor ou pbjs.getEvents() pour inspecter la chaîne de consentement attachée à chaque demande d'enchère. Effectuez une vérification ponctuelle sur trois scénarios : un utilisateur pleinement consentant, un utilisateur ayant cliqué sur « Tout refuser », et un utilisateur ayant fermé la bannière sans interagir. Chacun devrait produire un comportement observable différent dans le payload de demande d'enchère.
Effectuez les mêmes vérifications selon les zones géographiques à l'aide d'un VPN ou de l'indicateur de remplacement de géolocalisation de votre CMP. Le trafic UE devrait produire une chaîne TCF et déclencher gdprEnforcement ; le trafic californien devrait produire une chaîne USP et GPP ; le trafic de juridiction inconnue devrait respecter votre paramètre defaultGdprScope.
Synthèse
Une stack de gestion du consentement Prebid correctement configurée accomplit trois choses simultanément : elle maintient vos enchérisseurs approvisionnés en signaux de consentement valides (préservant les CPM), elle applique les règles TCF et de refus américain au niveau du wrapper (réduisant l'exposition réglementaire), et elle vous fournit un point d'audit unique lorsqu'un régulateur demande comment votre configuration de header bidding respecte le choix de l'utilisateur. Prenez le temps de définir délibérément les délais d'attente, d'activer le GPP aux côtés de l'USP pour le trafic américain, et de revoir votre liste vendorExceptions chaque trimestre — le coût d'une erreur dans ce domaine se mesure à la fois en amendes et en revenus programmatiques perdus.