Le 2 février 2022, une décision d'ampleur a été prise par l'Autorité de Protection des Données (APD) belge, impactant fortement le secteur de la publicité (médias, annonceurs et partenaires). Naturellement, nous avons reçu beaucoup de questions de la part de nos clients, partenaires et prospects.
En tant que Consent Management Platform (CMP), il est de notre devoir d'aider nos clients à recueillir et gérer le consentement et il nous tient à coeur de fournir du support sur le sujet.
Notre webinar du 10 février dernier, qui communique sur cette décision, nous a permis d'échanger avec nos clients, prospects et partenaires sur les actions que nous recommandons, l'impact sur les entreprises et les perspectives d'avenir.
Il était animé par Jawad Stouli, Chief Technology Officer (CTO) chez Didomi, Thomas Adhumeau, Chief Privacy Officer (CPO), Antonio Anguiano, Vice-President (VP) of Product et Frank Ducret, fondateur d'Agnostik. Regardez la vidéo ici et poursuivez votre lecture pour en savoir plus :
Qu’est ce que le Transparency and Consent Framework ?
Avant de se pencher sur la décision de l'APD, quelques rappels sur ce qu'est le TCF.
Créé par l'IAB Europe, le TCF est décrit comme un "effort mondial intersectoriel visant à aider les médias, les fournisseurs de technologies, les agences et les annonceurs à répondre aux exigences de transparence et de choix de l'utilisateur dans le cadre du règlement général sur la protection des données".
Le secteur de la publicité digitale doit offrir le bon niveau de transparence aux utilisateurs en donnant le niveau de contrôle approprié aux médias. Pour ce faire, il était nécessaire de développer un standard de méthodologie largement adopté pour gérer le consentement. Il se compose de quatre piliers :
- Un ensemble de lois que les médias, partenaires et CMPs doivent respecter
- Des spécifications, que les participants doivent mettre en application
- La liste globale de partenaires, centralisée et à jour de chaque participant.
- L'utilisation de CMPs, qui ne sont pas directement gérés par IAB Europe.
Cette décision de l'APD belge a un impact sur les quatre piliers.
Comprendre la décision annoncée par l'APD belge
La décision de l'APD belge dans son intégralité est un document complexe. Pour faciliter sa compréhension, nous avons extrait un résumé qualitatif des conclusions en quatre points clés :
- La Transparency & Consent (TC) string est le signal de consentement stocké par le secteur de la publicité. Elle est considérée comme une information personnelle pour laquelle les participants doivent établir une base juridique, qu'il s'agisse par exemple de consentement ou d'intérêt légitime.
- IAB Europe est un responsable du traitement (data controller) de ces informations, même s’il ne traite pas les informations de consentement.
- IAB Europe est un responsable conjoint avec les participants au TCF (partenaires, CMP, médias). Par conséquent, l'APD considère qu'il n'a pas réussi à établir une base juridique pour le traitement de la TC string.
- Les mesures de sécurité mises en place pour protéger l'intégrité du signal de consentement n'étaient pas suffisantes.
En conséquence, l'IAB Europe a été sanctionné à hauteur de 250 000 euros. Il doit faire valider un plan d'action dans les deux prochains mois, et disposera ensuite de six mois supplémentaires pour l'appliquer et se mettre aux nouvelles normes.
Qu'est-ce que cela implique pour nos clients ? Quelles sont les conséquences de cette décision pour les médias et annonceurs ?
- Pour les entreprises participant au TCF dans son format actuel, l'utilisation de l'intérêt légitime comme base légale sera interdite (au moins concernant la publicité ciblée).
- Les utilisateurs ne peuvent raisonnablement pas donner un consentement éclairé pour des centaines de partenaires. Le consentement, tel qu'il est actuellement obtenu, n'est pas valable.
- Les informations actuellement fournies ne sont pas suffisantes pour que les utilisateurs puissent donner un consentement éclairé.
Que faire pendant que l'IAB Europe travaille sur son plan d'action ?
Recommandations pour nos clients
Pour vous éviter de naviguer à vue dans les mois à venir, notre équipe a établi une liste de recommandations suite à la décision de l'APD. Nous sommes un processeur de données (data processor ) et il ne nous appartient pas de dicter la marche à suivre à nos clients, mais voici quelques conseils.
Recommandation 1 : Demander le consentement pour tous les partenaires et finalités TCF par le biais des restrictions de l'éditeur
L’APD indique que l’intérêt légitime n’est pas une finalité acceptable dans l’objectif de transparence du TCF. Par conséquent, notre première recommandation est de configurer notre outil de restriction de l'éditeur pour filtrer les fournisseurs qui se basent sur l'intérêt légitime et pour que le consentement devienne la seule base légale de tous vos partenaires.
Recommandation 2 : Évaluer et limiter le nombre des fournisseurs pour lesquels vous collectez des consentements
L'APD estime que les utilisateurs ne peuvent raisonnablement pas fournir un consentement éclairé si le nombre de partenaires présentés dans une notice est trop élevé.
La liste exhaustive de partenaires est la base d’un contrôle total de votre chaîne d'approvisionnement digitale. Nous vous conseillons donc d'auditer votre liste de fournisseurs afin d'identifier ceux qui vous sont essentiels. Vous pouvez faire appel à une plateforme comme Agnostik, qui offre une expertise unique dans l’évaluation identitaire et comportementale des partenaires.
Notons que l'APD n'a pas fourni de nombre idéal de partenaires. Nous vous recommandons d’écourter votre liste au maximum et de détailler la méthode d’obtention de ce nombre. Vous pouvez évaluer ce qui est déjà aux normes, en prenant bien sûr en compte la transparence que vous devez à vos utilisateurs, vos priorités business, la monétisation et plus particulièrement les contraintes liées à la publicité.
Recommandation 3 : Présenter les catégories de données collectées dans le texte de la CMP
Pour des questions de clarté, nous vous invitons à présenter clairement les catégories de données collectées sur votre site, ce que vous pouvez facilement configurer avec notre CMP. En précisant les catégories de données que vous collectez (" Nous collectons des informations de contact et des données professionnelles " par exemple) dans votre notice, vous faites preuve de transparence à l'égard de vos visiteurs.
La plupart de nos clients l'appliquent déjà, mais nous nous permettons d'insister : Si certains points manquent de clarté, celui-ci est explicitement mentionné dans la décision.
Recommandation 4 : Classer les finalités de l’IAB par catégories
L'APD relève que les finalités du TCF ne sont pas assez claires, ce qui compromet la validité des consentements recueillis. L'utilisateur pourrait ne pas vraiment comprendre ce qu'il accepte.
Nous suggérons de regrouper les finalités en catégories claires utilisant un langage simple, afin de les rendre mieux compréhensibles pour vos utilisateurs. Ceci est également facile à configurer sur notre plateforme.
Recommandation 5 : Faciliter l’accès, le téléchargement et la suppression des données utilisateurs
Le manque de clarté des CMPs et l'inefficacité du retrait des consentements mettent en danger leur validité car les utilisateurs peuvent ne pas savoir comment s’y prendre. Notre conseil: faire en sorte que les visiteurs puissent localiser facilement la fonction disponible dans leurs paramètres utilisateur ou leur profil.
Recommandation 6 : - Montrer de nouveau votre notice de consentement à vos utilisateurs
Enfin, puisque la décision de l'APD suggère que tous les signaux de consentement recueillis avant sa décision pourraient être en violation du RGPD, nous recommandons de rectifier la notice de la CMP pour vos utilisateurs après la mise en pratique des autres recommandations.
Pour plus de détails sur nos conseils concernant la décision de l'APD belge, consultez la documentation de notre centre d'aide.
Scénarios à envisager et comment les entreprises peuvent s’adapter
À la lumière de la décision de l'APD, nous pensons qu'il existe deux scénarios possibles dans un avenir proche.
Scénario #1 : Après un travail avec l'APD et la mise en œuvre des améliorations requises, le TCF est accepté.
Scénario #2 : Même après la mise en œuvre des améliorations requises, le TCF est rejeté.
Quelle que soit l'issue, il faudra des solutions alternatives pour les entreprises qui dépendent le plus de la publicité, qu'il s'agisse de médias ou d'annonceurs. À la lumière de cette décision, la publicité via le Real-Time Bidding (RTB, enchères en temps réel) ouvert est un défi du point de vue de la conformité.
Pour conclure, nous avons énuméré ci-dessous quelques-unes des meilleures questions posées pendant le webinar. Pour toute autre question, veuillez consulter notre documentation sur le sujet. Client Didomi ? Vous pouvez déjà contacter votre gestionnaire
Questions fréquentes
- Questions générales
- Didomi et la décision de l’APD
- Le Transparency and Consent Framework (TCF)
- Actions ciblées et recommandations
Questions générales
La Belgique est-elle seule concernée par cette décision ? Quid des entreprises des autres pays d’Europe ?
Une ébauche du projet avait été partagée avec d’autres APD. L’APD belge à eu les retours de deux autorités sur certains points :
- La notion de responsabilité conjointe établie par l'APD.
- L'utilisation de l'intérêt légitime pour certains traitements
- L’étendue des mesures correctives
- L'amende et la relation d’IAB Inc. avec IAB Europe.
Le projet révisé a ensuite été partagé avec les autres APD concernées, mais aucun autre commentaire n'a été formulé. Ces autres APD étaient donc d'accord avec les conclusions. Il est probable qu'elles tiendront compte de cette conclusion pour évaluer toute réclamation à venir.
Quel est le calendrier de la décision ?
La décision de l'APD a fait l'objet d'un appel. IAB Europe s'est vu accorder deux mois pour présenter un plan à l'APD. Après sa validation, IAB disposera de six mois supplémentaires pour mettre les changements en application.
Est-ce que je risque l’illégalité en poursuivant l’utilisation d’une CMP intégrant le TCF?
Si vous n'utilisez pas le TCF, vous ne serez pas affecté par cette décision. Si vous utilisez le TCF par le biais de notre CMP, prenez le temps de lire nos recommandations pour minimiser les risques.
Didomi et la décision de l’APD
Les CMPs ont été appelés par l'APD des responsables conjoints. Quel est votre point de vue ?
Nous nous sommes toujours vus comme processeur de données. En effet, nous ne dictons pas la manière dont nos clients doivent interagir avec leurs utilisateurs. À l'avenir, nous pourrions avoir à nous considérer comme data controller pour nous conformer à la décision de l'APD.
Quels sont les impacts sur Didomi en tant que CMP utilisant le TCF ?
Nous sommes toujours en train d'évaluer les changements qu'entraîne la décision, mais il semble que l'APD voie les CMP comme des contrôleurs conjoints de l'information de consentement (la TC string dans ce cas). Les CMP doivent donc établir une base juridique comme le ferait tout data controller.
Allez-vous prendre des mesures de votre côté ou apporter des modifications à la CMP ?
Nous nous sommes toujours considérés comme un processeur de données. Nous ne faisons que soutenir une intégration du TCF, mais nous n'imposons pas son utilisation.
En définitive, nous ne pensons pas devoir imposer un point de vue sur ce que la conformité signifie pour des médias spécifiques et leur public.
Telle reste notre position pour l'instant. Toutefois, si l'APD considère que les CMPs sont également des contrôleurs des informations relatives au consentement, nous pourrions être amenés à modifier certaines choses.
Il est important pour nous de communiquer de manière transparente avec nos clients, prospects et partenaires sur les grandes nouvelles du secteur comme celle-ci, mais nous n'en sommes qu'aux premiers pas. Nos clients seront les premiers informés si nous décidons d'apporter des modifications au CMP s’appliquant à tous les médias.
Didomi supprimera-t-il les données personnelles collectées sur la base de la TC string ?
Dans la décision, l'APD demande à IAB Europe de supprimer les données auxquelles ils ont accès dans le cadre précédent du TCF. On ne sait pas encore si cela s'applique aux autres participants.
D'après ce que nous comprenons, nos clients médias devraient probablement collecter de nouveau les consentements, ce qui aura pour effet d'effacer la TC string collectée précédemment.
Didomi va-t-il retirer l’intérêt légitime comme base légale sur sa CMP ?
L’APD conclut que le recours aux intérêts légitimes est inapproprié pour les finalités comportant de la publicité ciblée ou du profilage d’utilisateurs, exception faite des finalités non liées au marketing comme les mesures d’audience ou de performance.
À l'heure actuelle, on ne sait pas si le recours à l'intérêt légitime pour le traitement des données personnelles sera interdit pour toutes les finalités ou seulement à la publicité personnalisée et au profilage.
Jusqu'à ce que cela soit clarifié, nous recommandons de configurer les restrictions de l'éditeur afin d'imposer le consentement comme base légale.
Le Transparency and Consent Framework (TCF)
Dois-je désactiver le TCF sur mon site ?
Ceci n’est pas une recommandation mais il est possible de désactiver le TCF. Les risques liés à la décision APD seront immédiatement éliminés, mais cela pourrait fortement impacter vos revenus.
En fin de compte, il s'agit d'une évaluation que chaque entreprise doit mener de son côté. Mais nous sommes là pour vous aider à comprendre le contexte, vous donner des recommandations et soutenir votre activité, quoi qu'il arrive. Nous tiendrons nos clients informés de l'évolution de la situation.
Pourquoi continuez-vous à recommander le TCF ?
Nous ne recommandons pas le TCF. Nous servons de facilitateur pour les médias qui comptent sur nous pour mettre en œuvre la structure du TCF.
Cela dit, nous pensons que si le TCF est supprimé, les utilisateurs se retrouveront dans une position moins favorable car le TCF a été conçu pour fournir davantage d'informations sur ce qui se passe en coulisses.
Il est probablement loin d'être parfait pour l'instant, mais c'est le seul outil qui existe.
Suggérez-vous d'utiliser des stacks TCF ?
L'APD a indiqué que le langage du TCF n'est pas assez clair pour que les utilisateurs puissent donner leur consentement en connaissance de cause. Les stacks peuvent toujours être utilisées, mais complétées par de meilleures explications, en langage simple, à l'intention des utilisateurs. Les stacks elles-mêmes ne sont pas suffisantes pour donner des informations granulaires à l'utilisateur.
Si je n'ai pas de fournisseurs IAB qui font de la publicité (en tant que mesure d'audience), suis-je toujours concerné ?
Si aucun de vos fournisseurs ne s'appuie sur le TCF, vous n'êtes pas concerné. Vous devez désactiver la TCF sur vos sites web, apps mobiles et apps TV.
Actions concrètes et recommandations
Quel est le nombre maximum de vendeurs qui devrait être autorisé ?
L’APD n’a pas clairement défini un “bon” nombre de partenaires. Les variables sont nombreuses et il n’est ni judicieux ni vraiment possible d’établir un standard.
Il est difficile de formuler une recommandation claire à ce sujet et cela doit être évalué par chaque site web/application/média au cas par cas, en oubliant pas les contraintes de monétisation. Pour les finalités de monétisation, la plupart des sites fonctionnent idéalement avec environ 200 partenaires et les applications avec environ 50. Il est probable que 200 soit encore trop pour l'APD, difficile à dire à l’heure actuelle.
Comment présenter les catégories de données collectées dans le texte du CMP ?
Si vous êtes un client Didomi, vous disposez déjà d'un champ spécial dans notre Console pour ajouter du texte en plus des objectifs, ou vous pouvez faire comme nous : Passer les catégories au premier plan de votre notice de consentement, pour être le plus transparent possible.
Suggérez-vous de supprimer l'intérêt légitime pour toutes les finalités ?
Non. L'APD ne vise que l'intérêt légitime comme base légale pour les enchères en temps réel (Real Time Bidding - RTB. Nous ne parlons que du périmètre du TCF. L'intérêt légitime pour les autres domaines n'est pas remis en question pour le moment.
Lorsqu'il s'agit de fonctionnalités spéciales du TCF, le consentement est toujours requis. En ce qui concerne les finalités spéciales, l'intérêt légitime reste la seule base juridique disponible dans le contexte du TCF. Les médias ne pourront rien y faire pour le moment, et il appartiendra à IAB Europe d'apporter des modifications si nécessaire.
Quelle solution pour les fonctionnalités, les fonctionnalités spéciales et les finalités spéciales ?
C'est une bonne question à laquelle l'IAB Europe devra répondre dans ses mises à jour du TCF.
Les finalités spéciales sont fondées sur l'intérêt légitime pour le moment et le cadre ne permet pas aux CMP et médias de les contrôler. Les fonctionnalités et fonctionnalités spéciales sont basées sur l'opt-in (pas nécessairement le consentement) et devraient toujours être acceptables.
Pour en savoir plus sur les solutions DIDOMI, demandez une démo à un de nos experts
{{request-a-demo}}