19 Mai Webinar Transparency & Consent Framework – 13 mai 2020
TCF : LES ORIGINES
Tous les acteurs, éditeurs, intermédiaires techniques et économiques, et les annonceurs, sont concernés par la donnée. Tous vont devoir mettre en oeuvre un certain nombre d’élément, pour différentes finalités (a minima publicitaire), dans un monde qui n’évolue pas de la même manière partout (RGPD en europe, directive ePrivacy transposée dans certains pays ..).
Or :
- La donnée donne de la valeur à la chaîne ;
- Sans donnée pour mesurer la valeur les acteurs ne seront plus capables d’administrer correctement cette chaîne, et sa valeur en sera diminuée.
Il s’agit là d’un énorme enjeu dont les membres du Tech lab se sont emparés, puis les membres adhérents à l’IAB Europe et les parties prenantes : éditeurs, CMP, Vendors.
Le but du framework est d’établir un ensemble de règle pour garantir la confiance dans le standard, en respectant des policies et des spécifications techniques.
L’IAB Tech Lab s’occupe de l’aspect technique du framework. Les aspects légaux et compliance sont gérés par le Steering Group de l’IAB Europe.
Objectifs :
- Apporter une sécurité juridique à tous les acteurs économiques ;
- Pérenniser les modèles économiques ;
- Diminuer les coûts directs de la mise en conformité.
Quoi ? L’outil va permettre de travailler sur la preuve du consentement, dans un objectif de conformité au RGPD.
L’utilisateur consent à quoi ? au stockage et à l’accès aux cookies et traceurs (1ère finalité). Les autres finalités du TCF vont regrouper les finalités relatives à la publicité.
A qui ? A l’ensemble des sociétés intermédiaires, d’ad tech, qui auront besoin d’une base légale pour proposer de la publicité ciblée.
Ou et avec quelle portée ? le consentement peut être valable sur un site, une galaxie de sites partenaires ou sur l’ensemble d’internet.
Si la CMP adresse un certain nombre des problématiques relatives à la publicité, les DPO peuvent profiter de ces outils pour mettre en oeuvre d’autres finalités en les intégrant avec les finalités du TCF. Le regroupement de finalités est possible, à condition de permettre un choix plus granulaire.
- Ce standard est basé sur 3 piliers :
- Les terms and conditions auxquelles les différents vendors et CMP adhérent à l’inscription ;
- Les policies : règles qui encadrent les obligations et façon dont on va recueillir l’information
- Les spécifications tech : cadre technique dans lequel les acteurs vont travailler.
Pourquoi cet ensemble de règles contraignantes ?
Le framework permet à n’importe de qui de travailler avec n’importe qui en toute confiance sans avoir à l’auditer. La clef de voûte de ce framework c’est cet ensemble de règle et de définition statiques.
Pour la CNIL, il est nécessaire de vérifier que le consentement et la preuve de son recueil soient valides. L’autorité autorise à faire des sondages carottés pour auditer les éditeurs de CMP afin de savoir si elles sont conformes au RGPD.
Les gages de conformité :
- Programme de certification : les CMP qui souhaitent proposer leurs services en comptabilité avec le TCF doivent s’inscrire et soumettre leur CMP pour validation à la managing organisation.
- Développement d’un processus de vérification pour voir si les UI ne sont pas trop éloignés de ce que qui a été déposé lors de la certification.
Le champ d’application du TCF est large pour une adaptation à tous les terminaux utilisateurs qui respectent les spécifications techniques (TV notamment).
Le TCF est un équilibre dans les intérêts économiques des utilisateurs et des acteurs professionnels. L’enjeu principal est la mise en oeuvre d’une plus grande granularité entre les finalités pour autoriser ou non certains traitements sur les sites.
TCF : RETOUR D’EXPERIENCE SUR LA V1 ET DES CONTROLES
Le TCF responsabilise l’éditeur et les autres acteurs de la chaîne publicitaire. Selon la CNIL, une mise en conformité avec les directives s’opère systématiquement par le consentement éclairé de l’utilisateur. Cette problématique pose la question de la responsabilité de l’éditeur vis-à-vis de 4 types d’acteurs :
- Juridique vis-à-vis de la CNIL : mettre en place un dispositif de collecte des consentements conforme aux recommandations CNIL et adapté aux traitements opérés (cartographie et analyse préalable)
- Business vis à vis des vendors de l’IAB : l’Editeur ouvre une porte qui permet de collecter un droit à opérer sur votre site les données de l’utilisateur… il faut donc respecter les policies
- Business vis-à-vis des Sous-traitants :
-
- D’une part la CMP, qui a ses propres engagements vis-a-à vis de l’IAB
- et d’autre part tous les partenaires hors IAB et solutions de prestataires implémentées dans vos CMP en plus des finalités vendors.
- Les visiteurs des sites, l’information doit être transparente, claire, compréhensible et accessible.
La managing organisation du TCF dispose d’un outil, CMP validator (add on disponible sur Chrome) qui permet de façon systématique de vérifier un certain nombre de points de conformité aux policies du TCF.
CMP Validator : Guides pratiques https://cmp-validator.consensu.org/chrome-extension/latest/IAB-Europe-CMP-Validator-User-Guide.pdf
Deux points d’examen :
- Points par rapport aux policies (tel information a été proposée, ergonomie etc.) ;
- Points de conformité technique lié à la CMP ;
Le compliance check est la résultante de ces 2 examens. En cas d’échec, le signal de consentement du TCF pourrait être coupé et l’éditeur ne pourrait plus opérer de la publicité ciblée via le programmatique ou verrait limiter les capacités de mesure de ses partenaires.
En avril 2020, un contrôle a eu lieu, par la managing organisation, sur le site de L’Equipe sur l’application des policies 1.1 (règle qui régissent la participation de chacun au TCF).
L’Equipe a fait le choix d’une CMP Didomi, validée par le TCF en tant que CMP en 2018. Entre septembre 2019 et le 26 mars dernier, aucune notification n’a été signée pour une quelconque non-conformité. L’IAB Europe envoie en mars dernier une notification de non-conformité avec audit en cours (infractions sur les policies de la V1). Par email, celle-ci liste les sites relevés comme étant en infraction.
L’éditeur avait 15 jours pour se mettre en conformité, au-delà le flux était coupé.
Bonnes pratiques :
– Mise en place d’une gouvernance éditeur / éditeur de CMP
– Tester la CMP auprès du CMP validator.
– Il est possible de demander un ID de CMP, auprès de l’IAB, pour passer un compliance check spécifique pour une CMP du marché personnalisée par un éditeur.
Quelles modifications pour la CMP de L’Équipe ? Jusqu’où faut-il aller pour la compliance avec la V1.1 du TCF.
Il s’agit surtout d’élément de forme :
- Exposition et mots clés des finalités principales en 1er écran
- Les choix doivent être proposés dans des boutons de proéminence équivalente.
- Information sur le retrait du consentement et comment le retirer.
- Remonter les partenaires pour les mettre en avant au début du texte du 1er niveau.
- Sur la réapparition de la CMP qu’il faut rendre plus simple, et accessible en 2-3 clics.
A date il n’y a pas de solution de compliance check sur le mobile.
TCF : LES CHANGEMENTS APPORTES PAR LA V2
Les éditeurs ont obtenu un prolongement pour le passage à la V2. Il est désormais possible de continuer à opérer en V1.1 comme aujourd’hui, jusqu’au 15 août et non jusqu’au 30 juin. Au-delà, un second aménagement est permis pour permettre aux éditeurs ne travaillant pas encore en V2 de faire levier sur les consentements collectés en V1 avant le 15 août jusqu’au 30 septembre.
Parmi les principaux changements et problématiques juridiques à prévoir, six points majeurs ont été relevés :
- La problématique sur le purpose 1 : Store and Access
La V2 du TCF semble rendre obligatoire la purpose 1, indépendamment de chacune des stacks. Si tel est le cas, les éditeurs devront dès lors systématiquement choisir cette finalité, en plus des stacks de leur choix.
En réalité, ce purpose n’est pas une véritable finalité mais deux opérations de traitement : enregistrement ou consultation (store and access).
Depuis la délibération de 2013 la CNIL a toujours soutenu que le consentement doit être recueilli par catégorie de finalité et non par opération de traitement.
S’il est possible techniquement de se passer du purpose 1, cela reviendrait à se couper d’une partie des vendors.
- L’amalgame de deux bases légales : le consentement et l’intérêt légitime
Dans la V2, 9 finalités laissent le choix de la base légale : intérêt légitime ou consentement.
En France, où la directive ePrivacy a été transposée, la seule base légale reconnue par la CNIL est le consentement. Pour certains cookies de mesure d’audience ou ceux nécessaires au service demandé par l’utilisateur, il existe une exemption de consentement.
L’intérêt légitime est la base légale du traitement introduite en Allemagne, qui n’a pas transposé la directive ePrivacy dans son droit national. Ce pays est aujourd’hui en attente d’une décision de la Cour Suprême pour savoir si le consentement est la seule base légale valide pour le dépôt des cookies et autres traceurs.
Il est possible de ne pas travailler avec l’intérêt légitime, mais l’IAB le déconseille car cela reviendrait pour les éditeurs français de se couper d’une partie des vendors qui se basent sur l’intérêt légitime. Il est de la responsabilité de l’éditeur de bien sélectionner les vendors qui « méritent » un statut valide. La porte est ouverte par l’éditeur, tout afficher ne permet pas de défendre une responsabilité.
- Dans l’affichage de la CMP, l’éditeur devra mettre en place trois flux
- Le consentement pour les finalités de l’éditeur ;
- Le consentement pour les finalités des partenaires TCF ;
- Le consentement pour les finalités des partenaires hors tcf ou gré-à-gré.
Il semble que d’un point de vue éditeur, afficher de façon simple à l’utilisateur soit difficile.
Comment afficher tout cela, tout en informant de manière simple et concise ?
Idée de présentation par niveau que permet la version 2 des stacks. Il faut distinguer le consentement ePrivacy et les traitements ultérieurs prévus par la CNIL.
- Il est difficile de comprendre l’articulation entre purpose, special purpose, features, special features
Avec la V2 du TCF, on passe de trois à cinq features. Parmi elles, on trouve deux special features pour lesquelles une info en plus et un opt in sont nécessaires par l’utilisateur (géoloc précise et finger printing).
- Le statut Responsable du traitement vs Sous-traitant.
Selon le RGPD, seuls les responsables de traitement ont besoin de recueillir le consentement. La question se pose de savoir combien d’acteurs parmi les vendors ont fait l’exercice d’analyse juridique et de qualification du statut pour se considérer comme de véritables responsables de traitement. Ne sont-ils pas plutôt sous-traitants ?
Le statut Responsable du traitement/Sous-Traitant pose un véritable problème dans tous les contrats.
- Sur le terrain de ePrivacy seuls les responsables de traitement ayant recours aux traceurs et cookies ont besoin du consentement
Question : combien de vendors déposent et/ou lisent réellement des cookies et/ou traceurs ? Sur desktop, l’intégralité des vendors qui s’inscrivent dans la purpose 1 ont recours aux cookies. Cela ne veut pas dire que les 500 vendors déposeront tous des cookies.