On vous explique : la deuxième version du Transparency & consent framework de l’IAB Europe

Qu’est-ce que le transparency & consent framework ?

Début 2018, en prévision de l’entrée en application du RGPD, l’AIB Tech Lab s’était penché sur la question de la transmission du consentement des internautes au traitement de leurs données personnelles, recueilli par les éditeurs, vers leurs partenaires technologiques. Le 25 avril 2018, ces travaux ont abouti à la publication du standard Transparency & consent framework (TCF), par l’IAB Europe. Il se compose de trois éléments techniques.

Premièrement, la Global vendor list (GVL), un registre dans lequel les prestataires de la publicité en ligne participants précisent les finalités et fonctionnalités pour lesquelles ils souhaitent récolter des données, et la base légale (consentement ou intérêt légitime ?) sur laquelle ils s’appuient pour chacune.

Deuxièmement, une CMP list, dans laquelle les consent management platforms s’inscrivent pour signaler aux éditeurs de contenu que leurs outils sont en mesure de transmettre à leurs prestataires une consent string compatible avec le TCF.

Troisièmement, des fichiers pubvendors.json, dans lesquels les éditeurs inscrivent les prestataires qu’ils autorisent à collecter des données sur leurs sites.

Pourquoi une deuxième version ?

La première version du TCF s’est attirée plusieurs critiques de la part des éditeurs. En France, le Geste, le SRI et le SNPTV ont adressé en novembre un courrier privé à l’IAB Europe pour en pointer les lacunes et demander plus de contrôle. Ils écrivaient par exemple que “la formulation des finalités manque de clarté et elles ne sont pas suffisamment explicites les unes par rapport aux autres, ce qui donne lieu à des divergences d’interprétation entre les acteurs et des risques de chevauchement (par exemple : nous avons constaté que deux vendors ayant la même activité n’avaient pourtant pas choisi les mêmes finalités et avaient sélectionné des bases légales différentes).” Le Geste a même récemment publié un « Position Paper » réunissant ses 12 préconisations pour le TCF.

La première version ne convenait pas non plus à Google, qui ne cesse de retarder son entrée dans le dispositif de l’industrie.

Le 25 avril 2019, l’IAB Tech Lab a donc soumis aux commentaires publics les spécifications techniques d’une nouvelle version du cadre de l’IAB Europe. Pour en expliquer les changements, l’IAB France ont réuni ses adhérents et partenaires, au HUB BPI, le jeudi 27 juin. mind Media a assisté à cette présentation.

Les visuels à l’appui de la présentation ci-dessous sont tous issus de l’IAB France.

Quelles nouvelles finalités et fonctionnalités ?

La Global vendor list et la CMP list demeurent. Pour “plus de granularité et de clarté”, le nombre de finalités prévues dans la Global vendor list passera de cinq à 12, et celui des fonctionnalités de trois à quatre (voir graphiques). Pour chacune un nom, un texte légal et un texte vulgarisé sont définis. Jusqu’alors, les prestataires étaient libres de choisir leur base légale pour toutes les finalités. Ce ne sera désormais possible que pour neuf d’entre elles.

“La première finalité, “stockage et/ou accès à l’information sur un device” fait plus référence à ePrivacy qu’au RGPD”, a expliqué Alexandra Sutour, responsable juridique de S4M. Seul le consentement est possible pour cette première finalité. Au contraire, c’est l’intérêt légitime qui prévaut pour les finalités 10 et 11, car elles portent sur la fraude.

Dans la première version du TCF, les prestataires pouvaient se contenter de déclarer le recours aux trois fonctionnalités (data matching avec des données offline, cross-device, et géolocalisation). Ce sera toujours possible pour les deux premières, mais la géolocalisation précise à moins de 500 mètres devra obligatoirement faire l’objet d’un opt-in. De même que la nouvelle fonctionnalité, qui consiste à scanner activement les caractéristiques d’un terminal pour aboutir à une identification. Autrement dit, le “finger printing”. 

Pour rendre l’information plus compréhensible et concise pour les internautes, les finalités peuvent être combinées par les éditeurs en paquets, désignés par le terme anglais “stacks” (voir exemple ci-dessous). 37 ont été définies, et les éditeurs pourront les renommer sous certaines conditions, notamment celle d’avoir une CMP privée ou bien qu’une CMP publique leur ait assigné un identifiant de CMP privée. Ils doivent également en avertir les prestataires. 

Quel contrôle pour les éditeurs ?

Les fichiers pubvendors.json ont été jugés trop complexes à mettre en œuvre et trop limités. Ils sont remplacés par les “Publishers restrictions”, qui permettent aux éditeurs de bloquer plus finement, finalité par finalité, prestataire par prestataire, ce qui peut être fait ou non. Autre point notable : les prestataires pourront faire preuve de flexibilité dans leur base légale, après validation auprès des éditeurs avec lesquels ils travaillent. Par exemple, si un éditeur les oblige, dans les “Publishers restrictions”, à adopter une base légale plutôt qu’une autre pour une finalité précise, ils pourraient revenir sur leur choix initial afin de continuer à collecter les données associées.

Qu’est-ce que l’out of band ?

C’est l’une des principales nouveautés. “L’out of band permet aux éditeurs de travailler avec des acteurs qui auraient obtenu des données via une autre base légale que celles prévues par le framework, a expliqué Julien Delhommeau, senior solution consultant chez Xandr. Cela permettra par exemple à un distributeur d’exploiter en programmatique les données qu’il recueille via ses cartes de fidélité”. Il y a toutefois quelques contraintes : ce prestataire devra au préalable s’enregistrer sur la Global vendor list et obtenir l’autorisation auprès des éditeurs.

Quand la deuxième version entrera-t-elle en scène ?

Ces derniers mois ont été consacrés à l’analyse des commentaires de la version proposée par l’IAB Tech Lab. La version finale doit être adoptée en ce début juillet, pour une mise en place jusqu’à l’automne. L’organisation qui réunit les professionnels de la publicité en ligne va consulter jusqu’à septembre les autorités de protection des données personnelles européennes et le Comité européen de la protection des données (EDPB).

Que deviendront les consentements obtenus par la première version ?

Retour à la case départ, puisqu’ils deviendront obsolètes. “Les mécanismes techniques sont différents, notamment parce que la consent string, qui change de nom pour Transparency & consent string (TCS), s’enrichit de sept nouveaux paramètres”, a précisé Julien Delhommeau (voir graphique).

Le document complet de l’IAB France est disponible ici