Sur un site web ou dans une application mobile, l'avis est la première et principale interface utilisateur avec laquelle les utilisateurs interagissent. C'est là que la plupart des utilisateurs sont informés des objectifs et des fournisseurs pour lesquels le consentement est recueilli, et de la manière dont les utilisateurs choisiront de donner ou de refuser leur consentement. Par conséquent, le contenu d'un avis de consentement est essentiel pour assurer la conformité avec le RGPD, les recommandations locales des autorités de protection des données et le cadre de la TCF de l'IAB. Cet article, adapté de notre centre d'aide, présente certaines des exigences auxquelles un avis de consentement doit répondre (il ne s'agit pas d'une liste exhaustive, la mise en œuvre de toutes ces exigences ne garantit pas nécessairement leur respect).
Sommaire
Quelles sont les responsabilités de chaque partie ?
QU'EN EST-IL DE DIDOMI (OU DE TOUT AUTRE CMP) ?
Le rôle de Didomi est de fournir des outils et des conseils généraux pour se conformer aux différentes réglementations (RGPD, CCPA, etc.) et standards (IAB TCF, IAB CCPA, etc.) qui s'appliquent aux entreprises déployant notre CMP. Didomi fournit des exemples de configurations et de textes qui intègrent les règles de différentes réglementations et les frameworks IAB.
En tant que CMP enregistrée auprès de l'IAB, le rôle de Didomi est de veiller à ce que les frameworks IAB soient respectés par tous les sites web et applications mobiles qui les mettent en œuvre via la CMP Didomi. Didomi est tenu responsable par l'IAB Europe à travers des audits réguliers des sites web et des applications mobiles de nos clients. Bien que Didomi soit là pour vous aider, nous ne sommes pas légalement autorisés à fournir des conseils juridiques et ne pouvons être tenus responsables d'un manque de conformité en raison d'une CMP mal configuré.
{{discover-didomi-for-compliance}}
ET QU'EN EST-IL DE VOUS (VOTRE ORGANISATION, VOTRE DPO, VOTRE ÉQUIPE) ?
Chaque entreprise est différente et vous devez personnaliser la CMP et ses textes pour vous assurer qu'elle est conforme et que les informations utilisateur sont complètes en ajoutant des informations sur les traitements de données supplémentaires que votre entreprise opère. Pour vous donner un contrôle maximal, Didomi vous permet de personnaliser le contenu de vos bannières de consentement.
Nous vous recommandons de travailler en étroite collaboration avec Didomi, votre service juridique et les organisations IAB locales pour vous assurer que votre configuration de la CMP Didomi est conforme aux réglementations auxquelles votre organisation est soumise et au framework IAB TCF.
{{discover-our-cmp}}
Lors du lancement d'une bannière de consentement, vous devez vous assurer que vos textes sont conformes aux réglementations et au framework TCF de l'IAB. Dans la mesure où la non-conformité de vos sites web et applications mobiles avec le framework TCF de l'IAB peut avoir un impact sur la validité de Didomi en tant que CMP IAB pour tous nos clients, Didomi vérifiera de manière proactive la conformité de vos bannières de consentement et travaillera avec vous pour s'assurer qu'elles sont conformes. Dans de rares cas et si la conformité ne peut être obtenue par le biais de discussions engagées par Didomi avec votre entreprise, Didomi pourra désactiver temporairement les bannières consentement ou désactiver la prise en charge du TCF pour les bannières qui non conformes.
Voici les 10 exigences du TCF v2
Le consentement au titre du RGPD doit être informé, donné librement, spécifique et sans ambiguïté.
Les exigences énumérées ci-dessous aident à s'assurer que votre bannière de consentement est configurée pour respecter la définition d'un consentement valide.
La liste des exigences et les exemples de textes fournis sont la liste minimale des exigences pour une bannière de consentement valide sur la CMP Didomi. Cette liste ne garantit pas une bannière conforme en ce qui concerne les réglementations et nécessite une personnalisation pour s'adapter aux pratiques exactes de traitement des données de votre entreprise.
Ces exigences incluent les exigences du RGPD valables dans tous les pays et les exigences IAB TCF. Pour les exigences spécifiques à chaque pays, des articles dédiés sont disponibles dans notre documentation.
Voici un exemple de bannière qui répond à toutes les exigences énumérées ci-dessous (à l'exception de la liste complète de traitements des données et des bases juridiques, qui dépend de votre entreprise) :
Nous et nos partenaires stockons et accédons à des informations non sensibles sur votre appareil, comme des cookies ou l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie, pour des traitements de données comme l'affichage de publicités personnalisées, la mesure des préférences de nos visiteurs, etc.
Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité sur ce site web.
Certains partenaires ne demandent pas votre consentement pour traiter vos données et s'appuient sur leur intérêt commercial légitime. Vous pouvez vous opposer à ces traitements de données en cliquant sur «En savoir plus».
EXIGENCE 1 : LISTE COMPLÈTE DES TRAITEMENTS DE DONNÉES ET DES BASES JURIDIQUES UTILISÉS PAR VOTRE ORGANISATION ET SES PARTENAIRES
Pour être pleinement informé, l'utilisateur doit avoir la possibilité de consulter la liste complète de tous les traitements de données opérés par votre entreprise et vos partenaires, ainsi que toutes les bases juridiques utilisées pour ces traitements.
Cela inclut les finalités et leurs bases juridiques, ainsi que les entités spéciales IAB TCF telles que les fonctionnalités ("features"), les fonctionnalités spéciales ("special features") et les finalités spéciales ("special purposes").
Didomi fournit un moyen simple d'afficher une liste automatisée des traitements de données et des bases légales configurés dans la CMP :
Bien qu'il soit acceptable de répertorier les traitements de données et les bases légales dans vos textes personnalisés, nous vous recommandons d'activer cette liste automatisée pour vous assurer que la liste est toujours à jour depuis la configuration de votre bannière dans la CMP.
EXIGENCE 2 : INDIQUER QUE LES DONNÉES SONT STOCKÉES ET ACCESSIBLES À PARTIR DU DISPOSITIF UTILISATEUR PAR VOTRE ORGANISATION ET PAR DES TIERS
Votre bannière doit informer l'utilisateur que des informations sont stockées et accessibles à partir de son appareil (par exemple, l'utilisation de cookies, d'identifiants uniques de l'appareil ou d'autres données d'appareil) par votre entreprise et par des tiers. Il n'est pas suffisant d'informer l'utilisateur que votre entreprise y accède. Bien que cela soit partiellement couvert par l'information de l'utilisateur sur le traitement des données liées aux cookies dans le cadre de la liste des traitements de données, le stockage de données sur l'appareil doit être plus explicitement détaillé pour que l'utilisateur soit pleinement informé.
Exemple : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil ...
EXIGENCE 3 : INDIQUER QUE VOTRE ORGANISATION ET DES TIERS TRAITENT LES DONNÉES À CARACTÈRE PERSONNEL DE L'UTILISATEUR
L'utilisateur a généralement une relation directe avec votre entreprise mais une connaissance limitée des tiers avec lesquels vous travaillez et de la manière dont ils peuvent traiter leurs données personnelles. Il est important que l'utilisateur soit informé que des tiers traitent également leurs données personnelles sur votre site web ou votre application mobile.
Exemple pour un site web : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme des cookies, pour des traitements de données ...
Exemple pour une application mobile : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme l'identifiant unique de votre appareil, pour des traitements de données ...
EXIGENCE 4 : EXEMPLES DE DONNÉES PERSONNELLES TRAITÉES
L'utilisateur doit être en mesure de comprendre quelles données personnelles seront collectées et traitées. Le texte doit inclure des exemples de telles données, comme les «cookies» (pour le web), les «identifiants uniques d'appareil» (pour les applications mobiles), les données de navigation, les informations sur leurs centres d'intérêt, etc.
Exemple pour un site web : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme des cookies ou l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie ...
Exemple pour une application mobile : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie ...
EXIGENCE 5 : LIEN VERS LA LISTE DES TIERS (VENDORS) TRAITANT DES DONNÉES PERSONNELLES
Votre bannière doit inclure un lien permettant à l'utilisateur d'accéder à la liste complète des tiers susceptibles de traiter ses données personnelles. Didomi ajoute automatiquement un lien "Voir nos partenaires" à toutes les bannières. Le lien ajouté par Didomi sera automatiquement masqué si vous spécifiez votre propre lien vers Didomi.preferences.show() dans le contenu de votre bannière.
EXIGENCE 6 : CONSÉQUENCES DU CONSENTEMENT OU L'ABSENCE DE CONSENTEMENT
Dans la mesure où le consentement doit être donné librement, l'utilisateur doit être clairement informé des conséquences d'un consentement ou d'un refus. Gardez à l'esprit qu'il ne peut y avoir de conséquences négatives si un utilisateur ne consent pas. Par exemple, vous ne pouvez pas empêcher les utilisateurs d'accéder à votre site web ou à votre application mobile s'ils ne consentent pas au traitement de leurs données personnelles.
EXIGENCE 7 : DROIT DE MODIFIER LES CHOIX DE CONSENTEMENT
Les utilisateurs ont le droit de modifier leurs choix de consentement à tout moment et doivent être informés de ce droit et de la manière de l'exercer. Les instructions pour modifier leurs choix doivent être claires et précises.
Exemple pour un site web : Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité sur ce site web.
Exemple pour les applications mobiles : Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité dans cette app.
EXIGENCE 8 : MODIFICATION DES CHOIX DE CONSENTEMENT
En plus de l'exigence 7 (Droit de modifier les choix de consentement), un lien doit être ajouté à votre site web ou application mobile pour afficher à nouveau les préférences et permettre à l'utilisateur de mettre à jour ou de retirer ses choix de consentement.
Ce lien doit de préférence être ajouté à toutes les pages / vues de votre site web ou application mobile, ou dans la politique de confidentialité.
Ajoutez un lien vers Didomi.preferences.show pour permettre à l'utilisateur d'ouvrir la vue Préférences.
EXIGENCE 9 : INTÉRÊT LÉGITIME
Votre entreprise et des tiers peuvent utiliser l'intérêt légitime comme base légale pour certains traitements de données. Si tel est le cas, l'utilisateur doit en être informé, ainsi que du fait qu'il a le droit de s'opposer à ces traitements de données.
Exemple : Certains partenaires ne demandent pas votre consentement pour traiter vos données et s'appuient sur leur intérêt commercial légitime. Vous pouvez vous opposer à ces traitements de données en cliquant sur «En savoir plus».
Note : Cette exigence s'applique au TCFv2 et non au TCFv1.1.
EXIGENCE 10 : LES APPELS À L'ACTION DOIVENT AVOIR UNE IMPORTANCE VISUELLE ÉGALE
Les choix offerts à l'utilisateur (Accepter, Refuser, En savoir plus, etc.) doivent avoir une importance visuelle égale afin de ne pas impliquer qu'un choix est meilleur que l'autre.
Cela implique que les composants visuels utilisés pour ces choix doivent être de même nature. Vous ne pouvez pas avoir une option affichée sous forme de bouton tandis que l'autre option est affichée sous forme de lien simple.
Par exemple, si Accepter et En savoir plus sont les deux options disponibles, elles doivent toutes deux être des boutons ou des liens.
Vous ne pouvez pas afficher un bouton Accepter et un lien En savoir plus:
Si vous voulez en savoir plus sur quelqu'un d'autre que Didomi, l'IAB Europe a des règles et des exemples détaillés dans sa documentation sur les exigences des CTA. Mais notre équipe est heureuse de vous aider dans la transition du TCF v2, bien entendu. Vous trouverez des ressources dédiées au TCF v2 dans notre centre d'aide ainsi que sur cette page consacrée à la transition vers le TCF v2 (qui comprend une liste de contrôle de la transition en 10 étapes).
Quelles sont les 10 étapes simples pour assurer la conformité au TCFv2 ? Téléchargez la checklist Didomi TCFv2 pour les découvrir !
{{download-our-checklist}}
Vous voulez en savoir plus et assurer une transition facile et rapide? Organisez une démo gratuite avec Didomi !
{{request-a-demo}}
📆 TRANSITION VERS TCF V2 📆
La date limite du 15 août pour le passage à #TCFV2 approche rapidement ! 🕜
Didomi a préparé pour vous une checklist afin d'accélérer ce processus. ☑️
Cliquez ici pour l'accéder 👉 https://t.co/jBXgjzkOgH#RGPD #protectiondesdonnées #consentement pic.twitter.com/795Hwk7T2c
— Didomi (@Didomi_io) July 20, 2020