En 2018, l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) a introduit une nouvelle réglementation venant responsabiliser les sous-traitants, et ce, qu’ils soient ou non établis au sein de l’Union européenne (UE).
Désormais, en cas de manquements à leurs obligations spécifiques, ces derniers peuvent ainsi se voir infliger une amende de la part des régulateurs respectifs des pays de l’UE. En effet, le RGPD établit les sous-traitants comme des acteurs essentiels dans la mesure où ils sont garants de la transparence, la traçabilité et la sécurité des données traitées.
Dès lors, se pose la question de la gestion des partenaires des éditeurs et des risques qu’ils peuvent présenter en termes de conformité au RGPD. Dans cet article, nous revenons sur la nature des vendors, pourquoi il est important de réduire sa vendor list, et comment.
Qu’est-ce qu’un vendor ?
Un vendor (aussi appelé partenaire, ou fournisseur) est un partenaire ou sous-traitant d’un éditeur, fournissant un service à ce dernier. L’IAB Europe désigne un vendor comme :
“Une société qui participe à la diffusion de publicités numériques sur le site Internet, l'application ou tout autre contenu numérique d'un Éditeur et qui soit accède au dispositif d'un utilisateur final, soit traite les données personnelles des utilisateurs finaux qui visitent le contenu de l'Éditeur”.
À noter qu’un vendor peut aussi bien être un contrôleur qu’un processeur. Quoi qu'il en soit, le vendor est plus ou moins directement impliqué dans le traitement des données de l’éditeur.
Pourquoi est-il important de réduire sa vendor list ?
Il est important pour un éditeur de réduire sa vendor list (liste de partenaires), afin de reprendre le contrôle sur un écosystème complexe. En effet, en limitant sa vendor list à un nombre raisonnable de partenaires, un éditeur est en mesure de :
- Réduire les risques de violation du RGPD, du fait d’un manque de conformité d’un des vendors
- Faciliter l’inscription de vendors dans sa Consent Management Platform (CMP)
- S’assurer de ne garder que les vendors générant du revenu
- Gagner et cultiver la précieuse confiance de son audience
- Optimiser le temps de chargement des pages de son site
La question de la réduction de la vendor list a notamment été évoqué début 2022, lorsque l'autorité belge de protection des données (APD) a infligé une amende à l'IAB Europe, mentionnant notamment que les utilisateurs ne peuvent raisonnablement pas donner un consentement éclairé pour des centaines de vendors, rendant le consentement de l'utilisateur invalide.
Comment réduire sa vendor list ?
En moyenne, les acteurs du secteur de l'édition déclarent plus de 850 vendors dans leur Consent Management Platform (CMP), alors que seulement 10 à 15 % de ceux-ci sont réellement actifs sur leur page web. Idéalement, ces deux chiffres devraient être identiques, ou du moins très proches.
Pour résoudre ce problème et garantir la conformité et la performance d'une page web, l'une des possibilités consiste à parcourir manuellement cette liste, à intervalles réguliers, et à la mettre à jour. Cependant, cette méthode est non seulement très chronophage, mais aussi être très risquée du point de vue de la conformité, surtout si vous avez une vendor list conséquente.
Grâce à la plateforme Agnostik, les organisations sont en mesure d'auditer automatiquement leur page Web et leur CMP, et d'observer ce qu'il se passe en coulisses : Quels vendors déposent des cookies, le niveau de conformité des différents domaines, quels problèmes doivent être résolus, etc. L'utilisation d'Agnostik permet non seulement de gagner du temps et d'assurer la conformité, mais aussi d'optimiser les performances des pages Web.
Pour y parvenir, Agnostik utilise un processus de qualification sur mesure à l'aide de filtres successifs :
- Le vendor est-il déclaré dans la CMP et fait-il partie des vendors basés sur l’intérêt légitime selon le TCF 2.0 ?
Afin de de répondre à cette question, il est nécéssaire de comprendre la notion d'intérêt légitime, et que d'être familier avec le TCF 2.0. Mais qu’est-ce que l’intérêt légitime ?
“L’intérêt légitime est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.”
Source : Commission Nationale de l'Informatique et des Libertés (CNIL), 2019
Le TCF 2.0 est une version améliorée du TCF (Transparency Consent Framework), qui vient combler les lacunes de ce dernier.
En effet, il permet à la fois la prise en compte d’un plus large éventail de finalités chez les éditeurs, une plus grande transparence et plus de contrôle quant à la conformité RGPD de chaque finalité. Il prend également en compte l’intérêt légitime ainsi qu’une conformité facilitée à travers les CMP.
- Le siège social du vendor se situe-t-il dans un pays considéré comme inadéquat ?
Qu'est-ce qu'un pays "adéquat" ? Cette mesure dépend du niveau de protection des données dans le pays en question.
L'adéquation est déterminée de manière relative, par rapport au niveau de protection offert par le RGPD. Les pays de l’UE sont considérés comme adéquats. Dans d'autres pays, la protection des données peut-être considérée comme partielle, comme c’est le cas au Canada. Enfin, lorsque le niveau de protection n’est pas équivalent à celui du RGPD, le pays est considéré comme inadéquat.
Pour certains pays, notamment la Corée du Nord, aucune information n’est disponible quant aux lois de protection des données en vigueur.
- Le vendor collecte-t-il des données personnelles ? Si oui, où se situe-t-il sur l’échelle établie par le Trust Index d’Agnostik ?
La collecte de données personnelles est l'un des éléments clés permettant à Agnostik d'évaluer et de classer les vendors dans son Trust Index (plus d'informations ci-dessous).
- Le vendor a-t-il généré des revenus et/ou été actif sur une période significative ?
Etre actif implique d’effectuer des requêtes ou de déposer des traceurs. Certains vendors ne génèrent pas de revenu, cependant leur technologie est indispensable au bon fonctionnement de l’écosystème.
- Le vendor, même s’il n’est pas déclaré au sein de la CMP, génère-t-il des revenus ?
Enfin, la génération de revenus fait aussi partie des filtres de qualification des vendors.
En fonction des réponses à ces questions et de l’expertise métier de l'écosystème Adtech et Martech, Agnostik accompagne l’éditeur et lui indique les vendors dont il peut-être bénéfique de se séparer et, au contraire, ceux qui méritent d’être déclarés sur la CMP.
En fonction des réponses à ces questions (et d'autres non listées ici), Agnostik classe les vendors grâce à son Trust Index, leur attribuant une note de A à E. La plateforme Facettes, développée par Agnostik, automatise l'application de ces filtres et fournit une vue d'ensemble de tous les vendors et trackers présents sur le site de l'éditeur.
De nouveaux filtres sont fréquemment ajoutés.
Témoignages de clients Agnostik
Agnostik aide de nombreux éditeurs à faciliter leurs opérations et assurer leur respect des régulations en vigueur grâce aux solutions de conformité de sa plateforme. Parmi ceux-ci, Sud Ouest et 20 Minutes, dont voici quelques retours d'experiences :
“Facettes nous permet d’avoir le listing des vendeurs qui sont actifs sur notre inventaire. On se rend vite compte qu’au final, il n’y en a pas 800 qui sont actifs, mais beaucoup moins. Les données sont régulièrement mises à jour et à l’issue de ce travail on arrive à établir des conclusions qui nous permettent encore d’affiner le tri des vendeurs (...)
Avec l’outil Facettes, on a accès à beaucoup d’informations sur le vendeur, que ce soit sa provenance ou sa durée de conservation des cookies. Chaque vendeur est également classé par la plateforme”
- Florian Poulain, Responsable des revenus digitaux et de la monétisation à Sud Ouest
“Le travail réalisé consistait à comprendre quels étaient les acteurs et les vendeurs qui étaient présents sur le site, ainsi que d'identifier leur utilité. L’idée est de mesurer le réel apport des vendeurs, et d’ensuite pouvoir décider avec lesquels travailler. Cela revient à, in fine, réduire la Global Vendor List (GVL) aux acteurs dont nous avons réellement besoin”
- Frédéric Lecarme, Directeur Général Adjoint à 20 Minutes
Réduire sa vendor list et être au fait de l'écosystème de vendors présent dans vos domaines est vital afin d'assurer votre conformité. Afin d'en apprendre plus sur les solutions Agnostik, effectuer un audit de votre site et réduire ensemble votre vendor list, réservez un appel avec un expert :