GH GambleHub

Politique de cookies et systèmes CMP

1) Objectif et zone

Établir des règles uniformes pour le stockage/lecture légitime des identifiants (cookies, stockage local, SDK) et la gestion du consentement via CMP sur toutes les surfaces : Web, iOS/Android, e-mail/SMS/push, liens affiliés, strimes. Le document complète : "GDPR : la gestion de l'accord", "le Contrôle de l'âge", "les standards Publicitaires".

2) Bases juridiques (brièvement)

ePrivacy : tout cookie/SDK non nécessaire - seulement après consentement. « Strictement nécessaire » (authentification, panier/équilibre, sécurité/antifrode) - permis sans consentement.
GDPR : consentement comme base légale du traitement (Art. 6(1)(a)); pour les opérations de service - une nécessité contractuelle (Art. 6(1)(b)); intérêt légitime - limité et avec droit d'opposition.
Enfants/vulnérables : identifiants marketing/personnalisés - interdits.

3) Principes

1. Conseil du prieur : Aucune étiquette nécessaire avant d'être choisie au PGPC.
2. Séparation des objectifs : analytique, personnalisation, marketing, remarketing, géolocalisation, A/B - brouilleurs individuels.
3. Retour = par clic : aussi simple que le consentement ; arrêt immédiat du traitement.
4. Pas de patterns sombres : visibilité égale « Accepter tout »/« Rejeter tout »/« Personnaliser ».
5. Probabilité : versions de textes, hachages, captures d'écran UI, logs firing-rules.
6. Minimisation/localisation : nous mettons et stockons seulement ce dont vous avez besoin dans les régions admissibles.

4) Rôles et RACI

DPO/Conformité (Owner) - Politique, DPIA, réponses aux plaintes. (A)

Legal - textes, exigences locales et durées de conservation. (R)

Product/UX - bannières/panneaux, disponibilité et local. (R)

Engineering/CMP Owner - verrous tags, SDK, API, versions. (R)

Data/Analytics - modes d'identification, mesure avec des consonnes. (C)

CRM/Ads - suppression sur les consentements retirés. (R)

InfoSec - cryptage, clés, accès aux logs de consentement. (C)

Audit interne - échantillons de preuves, CAPA. (C)

5) Cookies de taxonomie/SDK

Strictement nécessaire (sans consentement) :
  • Session/authentification, équilibre/panier, protection contre les frondes et distribution de charge, maintien du choix de la vie privée.
D'accord (objectifs séparés) :
  • Analyse (user-level, ID croisé).
  • Personnalisation (contenu/jeux, recommandations).
  • Marketing (e-mail/SMS/push - canaux séparément).
  • Remarketing/Ads (pixels/SDK de tiers).
  • Test A/B (s'il utilise des identifiants).
  • Géolocalisation « ville/région » (non rigide).

6) CMP : Modèles UX et textes

Première couche (bannière) : Cible brève, 3 boutons équivalents : Rejeter tout/Ajuster/Accepter tout.
Deuxième couche (panneau) : tasers, liste des fournisseurs et des durées de conservation, référence de la politique.
Centre de préférences : dans le profil du joueur, les drapeaux de marketing de canal (e-mail/SMS/push/téléphone), « Se désabonner de tout ».
Disponibilité : contraste AA +, piège à focus, lecteurs d'écran, localisation, adaptation mobile.
GPC/Do Not Track : signal global = rejeter tout (sauf strictement nécessaire).
Apps : in-app CMP + système OS-prompts ; Synchronisation avec le profil du serveur.

Exemple de texte de bannière :
💡 Nous utilisons des fichiers et des identifiants pour l'analyse, la personnalisation et le marketing. Choisissez ce qui vous convient. Vous pouvez modifier les paramètres à tout moment.
[Refuser tout] [Configurer] [Accepter tout]

7) IAB TCF 2. 2 (cadre)

Génération et stockage de la chaîne TC, version de la liste vendeuse, mapping des cibles ↔ nos drapeaux.
Verrouiller les troisièmes étiquettes avant d'obtenir TC (prior consent).
Respect des permis/interdictions pour chaque fournisseur et objectif.
Pour les marchés en dehors de TCF - CMP personnalisé avec un journal similaire.

8) Tags, Tag Manager et Server-side

Deny by default : les règles de TM bloquent toutes les balises non nécessaires avant d'y consentir.
Tagging server-side : boucle proxy avec remise à zéro/masquage des identifiants en l'absence de consentement ; la configuration est stockée dans la région autorisée.
Gates SDK : initialisation du SDK marketing/analytique uniquement avec le drapeau vrai de la cible.
Firing-logs : qui/quoi/quand a « tiré », sous quel état de consentement.

9) Données, artefacts et rétentions (modèle minimum)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Journaux WORM des consentements/commentaires, versions de textes, captures d'écran des options UI.
Rétention : Tant que l'objectif/relation + délais locaux est en vigueur ; marketing - limité (souvent ≤ 24 mois d'inactivité).

10) Intégrations : CRM/Ads/Affiliations

Suppression : révocation → désactivation instantanée des canaux et du remarketing (batchs de nuit).
E-mail/SMS : envoi uniquement lorsque la chaîne est explicitement vraie (double opt-in sur les marchés).
Affiliation : Les prospects sans statut de consentement valide/RMS ne sont pas admissibles ; version/hash des conditions - obligatoire.

11) Profils régionaux (modèle)


Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Contrôle, tests et audit

CI-linter : vérification de la présence de « Tout rejeter », traitement GPC, verrouillage des étiquettes jusqu'au consentement.
Tests E2E : scripts accept/deny/withdraw → vérification des logs firing et suppression dans le CRM.
Échantillons : vérification trimestrielle des enregistrements de consentement et des captures d'écran de l'IA ; rapprochement des versions des textes.
Incidents : tout lancement d'une balise sans consentement → takedown immédiat, cause/fix, CAPA.

13) KPI/KRI et dashboard

Taux opt-in sur les objectifs/marchés/appareils.
Withdraw Rate et Time-to-Apply (médiane).
GPC Honor Rate (traitement correct du globe. signal).
Tag Firing Violations (pour 1k téléchargements).
Suppression Integrity (marketing sur rappel = 0).
Complaint Rate / Reg Findings.
Auditability Score (% des entrées avec un paquet complet d'artefacts).

14) Chèques-feuilles

Avant le démarrage

  • Bannière avec « Tout rejeter », local, disponibilité AA +.
  • Les catégories d'objectifs et la liste des fournisseurs sont harmonisées (Legal/DPO).
  • Tag Manager: deny-by-default; Les gates SDK.
  • Le GPC est reconnu et appliqué.
  • Centre préférentiel avec drapeaux de canal et « Se désabonner de tout ».
  • L'entrepôt de preuves WORM est inclus.

Dans les opérations

  • Surveillance des violations de firing et GPC.
  • Rapprochement de la suppression dans CRM/Ads.
  • DSAR renvoie les statuts actuels et le journal.

Audit/amélioration

  • Échantillons trimestriels de consentements et de captures d'écran de l'IU.
  • Une bannière A/B sur l'absence de motifs sombres.
  • Mise à jour des profils et textes régionaux.

15) Modèles (inserts rapides)

A) Bannière (première couche)

💡 Nous utilisons des fichiers et des identifiants pour l'analyse, la personnalisation et le marketing. Vous pouvez accepter, refuser ou personnaliser par catégorie.
[Refuser tout] [Configurer] [Accepter tout]

B) Panneau (objectif "Remarketing/Ads')

💡 Autoriser l'utilisation d'identifiants pour afficher des publicités personnalisées sur des sites externes. Sans cela, nous n'utiliserons pas de pixels/SDK tiers.

C) Retrait du consentement (confirmation)

💡 Vos paramètres ont été mis à jour. Les identifiants publicitaires et marketing personnalisés sont désactivés. Vous pouvez toujours jouer et utiliser le service.

D) Réponse à la plainte « impossible à refuser »

💡 La panne est accessible depuis n'importe quel écran via « Paramètres de confidentialité » et dans la bannière CMP. Nous avons vérifié le comportement de la page N et corrigé le problème. Désolé pour le désagrément.

16) Cadre technique et événements

События: `cmp_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `sdk_initialized/blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

API:
  • `GET /consents? user_id=…`
  • `POST /consents` (create/withdraw/update)
  • `POST /marketing/preferences`
  • `POST /gpc/signal`
  • Infrastructure : Cache de consonnes du serveur, géo-ancrage des logs, masquage des identifiants à deny.

17) Risques et prévention

Lancez les balises avant d'y consentir. → Deny-by-default, E2E tests, alarmes.
Motifs sombres dans la bannière. → Design rhubarbe, égale visibilité des boutons.
Incohérence des statuts dans CRM/Ads. → Service de suppression unique et rapprochement quotidien.
Collecte des identifiants superflus. → Minimisation, masquage, profils régionaux.
Aucune preuve. → Captures d'écran/hachages/logs dans WORM.

18) Plan de mise en œuvre de 30 jours

Semaine 1

1. Approuver la taxonomie des cookies/objectifs et des textes (locaux) ; DPIA.
2. Sélectionner/configurer le CMP (TCF 2. 2 + objectifs personnalisés), inclure le GPC.
3. Spécifier le modèle de données/artefacts, stockage WORM.

Semaine 2

4) Implémenter deny-by-default dans Tag Manager, cache de consonnes serveur, gates SDK.
5) Construire un centre préférentiel (drapeaux de canal, « se désabonner de tout »).
6) Configurer la suppression dans CRM/Ads et affiliation Fids.

Semaine 3

7) Pilote avec 10-20 % du trafic : Opt-in/Withdraw/GPC Honor, test de firing-logs.
8) Corrections UX/copirate/Règles TM sur le fidback et les incidents.

Semaine 4

9) Sortie complète ; inclure le dashboard KPI/KRI et les alertes.
10) Plan trimestriel de vérification et APA.
11) Plan v1. 1 : server-side tagging pour tous les marchés, auto-reportage par consentement.

Sections connexes :
  • GDPR : gérer le consentement des utilisateurs
  • Vérification de l'âge et filtres d'âge
  • Normes et interdictions publicitaires/Disclaimer et la véracité de la publicité
  • Transparence des conditions de bonus
  • Localisation des données par juridiction
  • Dashboard Complience & Monitoring/Audit interne et externe
Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.