Si vous êtes un annonceur, un vendor ou un éditeur en Europe, vous savez déjà que les exigences du Règlement Général sur la Protection des Données (RGPD), bien que novatrices et exhaustives, peuvent être intimidantes.
Il existe de nombreux points dans la chaîne de valeur de la publicité où des défaillances peuvent se produire. L'évolution constante du paysage réglementaire ne fait qu'ajouter au défi. Pour répondre à ces préoccupations et faire en sorte que la conformité de toutes les parties prenantes soit aussi facile et rationalisée que possible, l'Interactive Advertising Bureau (IAB) Europe a pris les devants et a créé le cadre de transparence et de consentement (TCF).
Cette année, le TCF est passé à sa version 2.2, et tous les participants sont censés s'y conformer d'ici au 20 novembre 2023.
Pour les éditeurs, qui sont les propriétaires des biens numériques où les données sont collectées, la conformité au TCF v2.2 est obligatoire. Que vous ayez déjà adopté le TCF ou que vous soyez encore en train de réfléchir à votre prochaine étape, ce guide complet sur le TCF v2.2 est fait pour vous !
Mise à jour Juin 2024: En réponse au raisonnement de la CJUE, le Transparency & Consent Framework (TCF) Steering Group a approuvé une nouvelle itération du cadre en juin 2024, intégrant trois nouveaux amendements. Pour en savoir plus, consultez notre documentation technique.
Sommaire
- Tout sur le Transparency and Consent Framework (TCF)
- Quelles sont les nouveautés pour les éditeurs dans la version 2.2 du TCF ?
- Prochaines étapes du TCF v2.2 pour les éditeurs
- Comment Didomi peut aider à la mise en conformité avec le TCF v2.2
- Foire aux questions (FAQ)
Tout sur le Transparency and Consent Framework (TCF)
Cette section vous aidera à vous familiariser avec tout ce qui concerne le TCF avant de vous plonger dans les changements de la version 2.2 qui auront le plus d'impact sur les éditeurs.
Qu'est ce que le Transparency and Consent Framework (TCF)?
Le TCF est un outil de responsabilité volontaire créé par l'IAB pour aider tous les acteurs de l'écosystème de la publicité numérique et de l'édition à adhérer aux exigences du RGPD et à normaliser la collecte et la gestion des données des utilisateurs.
Grâce au TCF, les utilisateurs peuvent choisir de donner leur consentement en connaissance de cause, sur la base d'informations transparentes concernant les données collectées, à quelles fins, par qui et comment elles seront utilisées. Ils peuvent également contrôler, gérer et modifier leur consentement et leurs préférences à tout moment.
Pourquoi le TCF est-il nécessaire ?
Pour atteindre les objectifs du GDPR tels que la transparence des données, les acteurs du secteur publicitaire (éditeurs, vendeurs et CMPs) doivent normaliser les processus et la technologie relatifs à la gestion des données et à la manière dont ils interagissent avec les utilisateurs et les uns avec les autres.
Le TCF est devenu un outil mondial de responsabilisation interprofessionnelle qui permet justement d'atteindre cet objectif. Il met tous les acteurs de la chaîne de valeur de la publicité numérique - éditeurs, annonceurs et fournisseurs tiers - sur la même longueur d'onde lorsqu'il s'agit de diffuser des publicités basées sur le consentement et les préférences des utilisateurs.
Bien que le TCF soit un travail en cours qui continue à répondre aux besoins des différentes parties prenantes, y compris les régulateurs et les autorités de protection des données des différents pays de l'UE, il reste la seule véritable norme mondiale permettant de rendre le consentement de l'utilisateur aussi simple, transparent et efficace que possible dans l'écosystème de la publicité numérique et des médias.
Qui est concerné par le TCF ?
Avec le TCF en place, les sites web et les applications peuvent diffuser des publicités à leurs visiteurs en respectant leur vie privée et en se conformant à la loi. Outre les utilisateurs (consommateurs et publics) eux-mêmes, les trois groupes de parties prenantes du secteur qui bénéficieraient le plus d'une participation au TCF sont les suivants :
Editeurs : propriétaires ou opérateurs de contenu ou de services en ligne où les données personnelles sont collectées et utilisées par des sociétés tierces (vendors) pour la publicité numérique, la mesure de l'audience ou la personnalisation du contenu.
Vendors (parfois appelés partenaires) : sociétés tierces qui n'ont généralement pas d'accès direct aux utilisateurs finaux des éditeurs. Ils aident les marques et les annonceurs à planifier, exécuter et mesurer les campagnes publicitaires. Les vendors comprennent les serveurs publicitaires, les fournisseurs de mesures, les agences de publicité, les DSP, les SSP, etc.
Consent Management Platforms (CMPs) : logiciels qui aident les éditeurs à recueillir et à gérer le consentement des utilisateurs. Ces plateformes de gestion du consentement jouent un rôle essentiel dans le processus de TCF, car elles permettent de :
- Montrer aux utilisateurs des bannières de consentement au bon moment pour collecter leurs données
- Receuillir lle consentement des utilisateurs et leurs préférences en matière de traitement des données à caractère personnel
- Stocker ces données de manière conforme
- Distribuer l'état du consentement à divers systèmes et fournisseurs afin d'effectuer des tâches et des audits
Exemple d'un scénario typique du TCF
Un éditeur (sur la propriété en ligne duquel des publicités sont placées et des données sont collectées) travaillera avec une Consent Management Platform (CMP) pour assurer la collecte transparente des consentements des utilisateurs sur le site de l'éditeur.
Les fournisseurs enregistrés au TCF planifieront, exécuteront et mesureront les campagnes publicitaires pour les annonceurs sur plusieurs sites de l'éditeur conformément aux exigences de conformité convenues sur la base des données de consentement et de préférence distribuées par la plateforme de gestion des consentements.
Quels sont les résultats attendus de la mise en œuvre du TCF ?
Les résultats attendus sont au nombre de cinq :
- Transparence accrue : Les utilisateurs comprennent mieux comment leurs données sont utilisées. Les éditeurs et les vendors sont tenus de fournir des informations standardisées et transparentes sur les activités de collecte et de traitement des données.
- Contrôle : Les utilisateurs (l'audience) seront en mesure de faire des choix plus éclairés concernant le traitement de leurs données personnelles dans le cadre de la consommation de contenu et de l'exposition à la publicité.
- Conformité : Les éditeurs, les annonceurs et les fournisseurs de technologies publicitaires peuvent accélérer leurs efforts de mise en conformité en ce qui concerne la collecte de données et la diffusion de publicités numériques et de mesures.
- Responsabilité : Toutes les parties seront plus responsables grâce aux exigences du TCF en matière de tenue de registres.
- Protection : Le TCF garantit la protection des intérêts de toutes les parties prenantes. Les utilisateurs ne risquent pas d'être victimes de pratiques prédatrices, et les participants (annonceurs, vendors ou éditeurs) ne risquent pas d'être victimes d'une violation involontaire de la réglementation.
- Développement : Une mise en œuvre réussie en Europe permettra aux associations professionnelles d'autres pays d'adapter le TCF à la réglementation et au contexte locaux et de faire de la gestion du consentement une norme mondiale pour la protection des données des consommateurs.
Comment fonctionne le TCF ?
Le TCF repose sur quatre piliers :
- Politiques et spécifications de gouvernance : Les politiques sont un ensemble de documents qui définissent le champ d'application, les objectifs, les principes, les exigences et les définitions des termes clés du TCF. Les spécifications sont des termes et conditions juridiques régissant les obligations, les droits, les responsabilités, les paiements et les mécanismes de résolution des litiges des participants.
- Consent Management Platforms (CMPs) : Les CMP aident les éditeurs à recueillir et à gérer le consentement des utilisateurs conformément au TCF. Ils affichent l'avis de consentement approprié (bannières opt-in) et collectent, stockent et distribuent le consentement de l'utilisateur et ses choix de préférences, le cas échéant.
- Chaîne de transparence et de consentement ("TC String") : La "TC String" contient des données sur les finalités, les fonctionnalités et les vendors spécifiques auxquels un utilisateur a consenti ou s'est opposé. Le CMP stocke la TC String dans un cookie sur l'appareil de l'utilisateur, et les vendors enregistrés auprès du TCF peuvent accéder au cookie pour la lire. Le CMP peut également transmettre la TC String en tant que paramètre URL aux vendors enregistrés auprès du TCF qui ne sont pas en mesure d'accéder aux cookies, tels que les lecteurs vidéo ou les serveurs publicitaires.
- La Global Vendor List (GVL) : Elle répertorie tous les vendors enregistrés auprès du TCF qui ont satisfait aux exigences telles que la déclaration de leurs finalités de traitement des données, de leurs caractéristiques et de leurs bases juridiques. Seuls les vendors enregistrés figurant dans la GVL peuvent recevoir le statut de consentement de la CMP pour diffuser, gérer et mesurer les publicités.
Chronologie du TCF : le chemin jusqu'au TCF v2.2 2023
Pourquoi une version actualisée du TCF était-elle nécessaire ?
La critique du TCF v1 et la décision de l'ADP sur l'IAB qui en a découlé (encore sujette à un appel) ont servi de catalyseur pour le TCF v2.2. Cette nouvelle version du TCF répond mieux aux préoccupations des parties prenantes.
Les critiques précédentes ont mis en évidence trois domaines à améliorer :
- L'intérêt légitime en tant que base juridique du traitement des données n'est pas justifié pour certaines finalités.
- Les informations fournies par les vendors sont insuffisantes ou ne sont pas assez claires pour permettre un consentement éclairé.
- Les utilisateurs ne peuvent pas raisonnablement donner leur consentement éclairé si le nombre de fournisseurs est déraisonnablement élevé.
Quelles sont les nouveautés pour les éditeurs dans la version 2.2 du TCF ?
Le TCF v2.2 répond à de nombreuses préoccupations soulevées dans les versions précédentes. Les cinq changements qui ont le plus d'impact sur les éditeurs sont les suivants :
- La suppression de l'"intérêt légitime" comme base juridique pour certaines finalités
- L'ajout de la finalité 11 pour améliorer l'expérience de l'utilisateur en matière de contenu
- Des noms et des explications plus descriptifs pour les finalités et les fonctionnalités afin de faciliter la compréhension
- La standardisation des informations supplémentaires à propos des vendors afin d'améliorer la transparence :
- Divulgation obligatoire du nombre de vendors dans la première couche de la CMP
- Divulgation obligatoire d'informations supplémentaires sur les vendors dans la deuxième couche de la CMP.
- Exigences spécifiques pour faciliter le retrait du consentement des utilisateurs
Examinons en détail ces cinq changements spécifiques aux éditeurs.
1. Suppression de l'"intérêt légitime" en tant que base juridique pour l'utilisation de données à caractère personnel pour 4 fins spécifiques
Auparavant, l'"intérêt légitime" pouvait être invoqué comme base juridique pour collecter et utiliser des données (sans le consentement explicite de l'utilisateur) à certaines fins liées à la personnalisation.
Dans le TCF v2.2, le consentement explicite de l'utilisateur est la seule base juridique permettant de collecter des données à caractère personnel à des fins de personnalisation. Il s'agit des finalités suivantes :
- Finalité 3: créer des profils pour une publicité personnalisée
- Finalité 4: utiliser des profils pour sélectionner des publicités personnalisées
- Finalité 5: créer des profils pour personnaliser le contenu
- Finalité 6: utiliser des profils pour sélectionner un contenu personnalisé
Les vendors qui se mettent à jour pour répondre aux exigences du TCF v2.2 ne pourront plus choisir l'intérêt légitime comme base juridique pour ces quatre finalités.
Remarque : les vendors peuvent continuer à utiliser l'intérêt légitime comme base juridique pour d'autres finalités que la personnalisation des annonces et du contenu, pour autant qu'ils respectent les règles et spécifications du TCF v2.2.
Il peut s'agir des finalités 2, 7, 8, 9 et 10, qui sont :
- Finalité 2 : Sélectionner des publicités basiques
- Finalité 7 : Mesurer la performance des publicités
- Finalité 8 : Appliquer les études de marché pour obtenir des informations sur l'audience
- Finalité 9 : Développer et améliorer les produits
- Finalité 10 : assurer la sécurité, prévenir la fraude et débugguer
Toutefois, pour ce faire, les éditeurs doivent :
- Divulguer l'utilisation de l'intérêt légitime par les vendors dans leur bannière de consentement
- Permettre aux utilisateurs d'exercer leur droit d'opposition à l'intérêt légitime par l'intermédiaire de leur CMP
- Honorer les objections de l'utilisateur en ne transmettant pas ses données aux vendors qui s'appuient sur l'intérêt légitime
- Utiliser les restrictions de l'éditeur pour demander le consentement des vendors qui se sont enregistrés avec des bases légales flexibles/à des fins particulières.
Selon le glossaire du TCF v2.2, une "finalité" est l'une des 11 finalités définies pour le traitement des données à caractère personnel des utilisateurs par les participants pour lesquels les vendors ont déclaré une base juridique dans la GVL, et pour lesquels l'utilisateur a le choix de consentir ou de s'opposer par le biais d'une CMP.
Pour obtenir la liste complète des finalités, des caractéristiques et des bases juridiques correspondantes, cliquez ici.
2. Ajout de la Finalité 11
Cette nouvelle finalité est également appelée "Utiliser des données limitées pour sélectionner le contenu" et constitue l'équivalent "contenu" de la Finalité 2, qui concerne les publicités de base. Elle couvre les activités de traitement suivantes pour les éditeurs :
- La sélection et la livraison de contenu non publicitaire sur la base de données en temps réel, telles que des informations sur le contenu de la page ou des données de géolocalisation non précises
- Le contrôle de la fréquence ou de l'ordre dans lequel le contenu est présenté à l'utilisateur.
Remarque : cette finalité ne couvre pas la création ou l'utilisation de profils pour sélectionner un contenu personnalisé, qui est couverte par la finalité 4.
La finalité 11 vise à permettre aux éditeurs et aux vendors de fournir aux utilisateurs un contenu pertinent et diversifié qui améliore leur expérience en ligne, sans s'appuyer sur le consentement ou l'intérêt légitime comme bases juridiques.
3. Définitions et descriptions plus claires pour les utilisateurs dans l'interface utilisateur (UI) de la CMP
Les CMPs remplaceront le texte actuel et le texte juridique obligatoire par des noms et des descriptions plus claires des finalités et des caractéristiques. Les CMPs doivent également fournir aux utilisateurs finaux des illustrations standard pour expliquer des cas d'usage réels sur une couche secondaire de l'interface.
Les illustrations standard fournies peuvent être modifiées et complétées si les changements sont signalés aux vendors dans la CT String.
4. Standardisation des informations complémentaires sur les vendors
Le TCF v2.2 élargit et normalise les informations sur les vendors afin d'améliorer la transparence et le consentement éclairé des utilisateurs. Les CMPs doivent apporter les modifications nécessaires pour intégrer ces informations supplémentaires dans les couches initiale et secondaire du CMP.
Divulgation obligatoire du nombre de vendors dans la première couche de la CMP
Les éditeurs doivent divulguer le nombre de vendors tiers qui demandent le consentement ou poursuivent des finalités de traitement des données sur la base de leurs intérêts légitimes.
Bien que le TCF n'impose pas de limite spécifique pour les vendors, les éditeurs doivent être attentifs au nombre de vendors avec lesquels ils s'associent. Un nombre déraisonnablement élevé de vendors répertoriés entraînera un avertissement, car il empêchera les utilisateurs de prendre une décision en toute connaissance de cause.
Ces informations doivent être mises à disposition au premier niveau de la CMP, c'est-à-dire qu'elles doivent être accessibles avant que l'utilisateur ne soit en mesure de donner son consentement.
Informations obligatoires supplémentaires sur les vendors dans la deuxième couche de la CMP
L'interface utilisateur de la CMP doit être mise à jour pour inclure les nouvelles informations sur les vendors au niveau secondaire :
- Une explication des intérêts légitimes en jeu : l'intérêt légitime peut servir de base juridique aux vendors pour traiter les données à certaines fins. Dans le TCF v2.2, les vendors doivent fournir une explication de ces intérêts légitimes afin que les utilisateurs puissent faire des choix plus éclairés.
- Les périodes de conservation des données en fonction des finalités : Les vendors doivent indiquer, au moment de l'enregistrement du TCF, la durée (en jours) pendant laquelle ils conserveront les données pour atteindre chaque finalité déclarée.
- La possibilité de rediriger les utilisateurs vers la documentation relative à la politique des données du vendor ou vers des détails sur l'un des points ci-dessus, dans plusieurs langues, afin d'améliorer la transparence pour les utilisateurs à un niveau granulaire.
- Les catégories de données collectées et/ou déjà détenues par les vendors : Le TCF v2.2 normalise la taxonomie des catégories de données qu'un vendor peut collecter et détenir, et qui doivent être indiquées par le vendor au moment de l'enregistrement auprès du TCF.
5. Exigences spécifiques pour faciliter le retrait du consentement des utilisateurs
Les éditeurs et leurs CMPs doivent veiller à ce que les utilisateurs puissent facilement gérer leurs choix en matière de consentement et de préférences, et se désengager d'une ou de toutes les autorisations à tout moment pendant leur utilisation du site.
Les utilisateurs doivent pouvoir relancer la CMP à tout moment de leur parcours et trouver, gérer et modifier facilement leur consentement et leurs préférences sur les sites web et les applications mobiles.
Prochaines étapes du TCF v2.2 pour les éditeurs
Pour respecter la date limite du TCF v2.2, les éditeurs doivent envisager les étapes suivantes :
1. Examen des vendors
- Passer en revue la vendor list. Bien qu'aucune limite maximale n'ait été imposée pour les vendors, la politique du TCF v2.2 encourage fortement les éditeurs à mettre en place un processus de sélection et à revoir/affiner le sous-ensemble de vendors en fonction de la nature de leurs services, de leur modèle commercial et de leur contribution à la vente de leurs inventaires publicitaires. Découvrez comment réduire votre vendor list.
- Vérifier la conformité avec le TCF v2.2 et l'enregistrement sur la liste GVL2.2
- Vérifier avec les vendors partenaires avant d'utiliser des illustrations personnalisées pour s'assurer qu'elles sont considérées comme adéquates et qu'elles ne conduiront pas les vendors à refuser de travailler avec elles.
2. Passer en revue la CMP
- Ask CMPs to provide their users with link(s) to vendors’ privacy documentation in the language of their services (publishers may choose not to work with vendors that do not maintain privacy documentation in the language of their users)
- Revoir le texte de l'interface utilisateur de la CMP et le flow des fenêtres
- Vérifier comment la CMP a l'intention d'intégrer les informations supplémentaires sur les vendors dans les couches initiale et secondaire de son interface.
- Demander à la CMP de fournir à ses utilisateurs des liens vers les politiques de confidentatialité des vendors dans la langue de leurs services (les éditeurs peuvent choisir de ne pas travailler avec des vendors qui n'ont pas de documentation dans la langue de leurs utilisateurs).
3. Revue interne
- Les éditeurs doivent mettre en place un plan pour s'assurer que les utilisateurs peuvent facilement faire réapparaître la CMP (par exemple, un lien au bas des pages web, par le biais d'icônes flottantes) pour révoquer leur consentement, entièrement ou en partie, à tout moment.
- Vérifier l'état de préparation et de conformité des systèmes et des processus et obtenir l'approbation juridique et technique de l'adéquation de toutes les mesures de conformité au TCF v2.2 sur les sites web et les applications mobiles afin d'éviter les amendes ou les pénalités.
Lecture additionnelle: Afin d'offrir plus de transparence et d'informations aux organisations participantes au TCF et à l'occasion de la date butoir de mise en conformité au TCF v2.2, nous vous proposons une étude sur nos observations quant à l'impact du cadre, et son adoption pré-20 novembre.
Pour télécharger l'étude, cliquez sur l'image (pas de courriel ni de formulaire requis) :
Comment Didomi peut aider à la mise en conformité avec le TCF v2.2
Si vous êtes un éditeur et que vous n'avez pas encore mis en place une Consent Management Platform (CMP), ou que vous travaillez avec un fournisseur de CMP qui n'a pas l'intention de se faire certifier, ce nouvel ensemble d'exigences est une opportunité pour votre entreprise de profiter pleinement des avantages d'une CMP comme celle de Didomi.
Démarrer avec Didomi est simple, qu'il s'agisse d'une première implémentation de CMP ou que vous décidiez de migrer d'une autre solution. Si vous décidez de le faire, vous bénéficierez de :
- Notre conformité totale avec le Consent Mode de Google en tant que membre du programme CMP partenaire de Google
- Notre couverture multi-réglementations (RGPD, Loi 25, CPRA, et plus)
- Un support complet et un onboarding personnalisé avec nos équipes
- Une expérience utilisateur optimisée, y compris la personnalisation des bannières de consentement.
Pour savoir comment nous pouvons vous aider à vous préparer au TCF v2.2, prenez rendez-vous avec notre équipe :
{{talk-to-an-expert}}
Foire à Questions (FAQ)
Qu'est-ce que le Transparency and Consent Framework (TCF)?
Le Transparency and Consent Framework (TCF) est un outil de responsabilisation volontaire conçu par l'IAB Europe pour faciliter le respect des exigences du RGPD et normaliser la collecte et la gestion des données des utilisateurs dans l'écosystème de la publicité numérique et de l'édition. Il permet aux utilisateurs de faire des choix éclairés sur la collecte, l'utilisation et les préférences en matière de données.
Qui est concerné par le TCF et quelles sont ses principales parties prenantes ?
Le TCF concerne les éditeurs, les vendors et les Consent Management Platforms (CMP). Les éditeurs possèdent des propriétés numériques où les données sont collectées, les vendors exécutent des campagnes publicitaires et les CMP facilitent la collecte des consentements. Toutes les parties prenantes collaborent pour assurer la transparence des pratiques en matière de données et le contrôle par l'utilisateur.
Quels changements le TCF v2.2 apporte-t-il aux éditeurs ?
Le TCF v2.2 introduit plusieurs changements pour les éditeurs, tels que la suppression de l'"intérêt légitime" comme base juridique pour des finalités spécifiques, l'ajout de la finalité 11 pour la sélection du contenu, l'amélioration des définitions dans l'interface utilisateur de la CMP pour plus de lisibilité, la standardisation des informations sur les vendors et l'inclusion d'exigences spécifiques pour le retrait du consentement.
Comment Didomi peut-il aider à la mise en conformité avec le TCF v2.2 ?
Didomi offre une Consent Management Platform (CMP) complète qui s'aligne sur les exigences du TCF. Elle inclut la prise en charge du Consent Mode de Google, la couverture multi-réglementations, des bannières de consentement personnalisées et une assistance complète.
Quel est l'état d'avancement de la procédure judiciaire entre l'IAB Europe et l'APD belge au sujet du TCF ?
En 2024, la procédure judiciaire est toujours en cours. Consultez notre article sur le sujet pour une analyse complète de la situation.