TCF v.2.0 : tout ce qu’il faut savoir

Cet article n’est fourni qu’à titre d’information générale et n’a pas valeur d’avis juridique.

Le Transparency and Consent Framework (de l’anglais Transparency & Consent Framework, TCF) a été lancé par l’IAB Europe afin de favoriser la conformité au RGPD dans le secteur de la publicité en ligne. Depuis le lancement de ce standard de l’industrie en avril 2018, les interprétations des réglementations ont cependant évolué. La version 2.0 comprend des conseils supplémentaires des autorités de protection des données locales, ainsi que les nombreux retours d’acteurs de ce secteur d’activité. Sourcepoint a participé activement à toutes ces discussions. 

En plus d’une meilleure transparence et d’un plus grand contrôle pour les éditeurs et les utilisateurs, cette nouvelle version élimine toute ambiguïté et facilite un meilleur traitement des données basé sur un intérêt légitime. 

Nous allons maintenant aborder cette question plus en détail.                                                                                                                                                                   

Nouvelle inscription sur la liste des fournisseurs tiers mondiaux (de l’anglais Global Vendor List, GVL)

Le TCF n’a pas seulement trait à la relation entre l’éditeur et l’utilisateur, il définit également un moyen pour les éditeurs et les fournisseurs tiers de communiquer entre eux.

Les fournisseurs tiers doivent s’inscrire sur ce que l’on appelle la liste des fournisseurs tiers mondiaux (GVL). Pour cela, ils doivent déclarer toutes les finalités auxquelles ils peuvent traiter et utiliser les données des utilisateurs. L’éditeur crée sa propre liste de fournisseurs tiers dans sa CMP à partir des informations de la liste GVL.

Les fournisseurs tiers déclarent la base légale sur laquelle ils se fondent pour utiliser les informations en fonction des finalités décrites. Ils peuvent ainsi citer le consentement pour une finalité, mais un intérêt légitime pour une autre. 

Lorsque l’on parle de consentement comme base légale, cela veut dire que l’utilisateur doit consentir à cette finalité dans la CMP. L’intérêt légitime signifie que le sous-traitant des données a une raison de traiter les données qui l’emporte sur les préoccupations de la personne concernée,ce qui fait que seule une information de la personne concernée est nécessaire. 

Il incombe alors à l’éditeur de recueillir le consentement adéquat auprès de son audience et de transmettre ces informations à ses partenaires de traitement des données (sous la forme d’une chaîne de TC (Transparency & Consent).

Les nouveautés

Flexible legal bases

Under TCF v1, each purpose had one of two declared legal bases: legitimate interest or consent. The new framework allows vendors to select from three legal bases for data processing: consent as sole legal basis, legitimate interest as sole legal basis, or consent or legitimate interest.  

With a flexible basis, the vendor assigns either consent or legitimate interest as the default. This flexibility allows for the variations among different DPAs’ interpretations of GDPR, and gives publishers greater control over how vendors present themselves on their properties.

Flexible legal bases can be declared by vendors for all purposes except Purpose 1, which is a special case because it deals with sensitive data, and thus is only allowed with consent. 

–

NOUVELLES finalités de traitement des données

Il s’agit du changement le plus important du TCF v2.0. Un effort considérable a été fourni afin de préciser les finalités pour lesquelles les données sont traitées.

Les nouveautés

Ten purposes instead of five

In addition to creating a brand new purpose — « Develop and improve products » — the new list breaks out the more generic purposes into multiple purposes.

For example, in v1, publishers processed data for the blanket category of « personalization. » In v2.0, however, there is a distinction between personalization for the purpose of creating an ads profile and personalization for the purpose of creating a personalized content profile—arguably a big difference from the consumer point of view!

More control for consumers

All of this additional detail means that consumers can make more informed decisions about how they want their data to be used.

                                                                                                                                                                                          

–

Nouvelles catégories d’utilisation des données : finalités spéciales et fonctionnalités spéciales

La version 2.0 définit deux nouvelles catégories d’utilisation des données : finalités spéciales et fonctionnalités spéciales . Ces deux catégories sont traitées différemment des finalités de plusieurs manières.

Essentielles au fonctionnement du site, les finalités spéciales relèvent de l’intérêt légitime. Elles sont tellement essentielles que le standard de l’industrie ne fournit pas d’option directe de refus à l’utilisateur sur le site de l’éditeur. L’utilisateur peut cependant contacter directement le fournisseur tiers pour refuser le traitement de ses données. 

Les fonctionnalités spéciales représentent les données qui sont particulièrement sensibles. Pour cette raison, l’utilisateur doit les accepter séparément.

Rappel : Les fonctionnalités, qui n’ont pas changé depuis la version 1, sont les utilisations des données auxquelles l’utilisateur a déjà consenti pour d’autres finalités.

–

Nouveaux éléments de l’IU : Stacks

Les stacks sont des groupes de finalités conçus pour apparaître dans le message de premier niveau. 

Qu’est-ce qu’un message de premier niveau ? Les politiques du TCF font référence à ce que l’on appelle une approche à plusieurs niveaux, c’est-à-dire lorsqu’un site numérique fournit progressivement à ses utilisateurs plus de détails sur la manière dont leurs données sont utilisées. Le message de premier niveau est l’avis qu’un utilisateur voit lorsqu’il arrive sur le site. 

Le message de second niveau, que Sourcepoint appelle Privacy Manager, est le message qui s’affiche lorsque l’utilisateur clique pour gérer ses options. Il lui permet d’affiner ses préférences de consentement.

Les stacks apparaissent dans le message de premier niveau pour aider les utilisateurs à comprendre rapidement les informations qui sont recueillies par un éditeur sans avoir à faire défiler un long texte. 

Si l’utilisateur souhaite avoir plus de détails, il peut développer un stack pour afficher une description détaillée et facile à comprendre avant de cliquer pour passer au deuxième niveau et affiner ses choix.

Rappel

Prédéfinies par l’IAB, les descriptions des stacks peuvent uniquement être modifiées dans certains cas bien précis. 

En outre, les stacks étant conçus pour simplifier la communication avec l’utilisateur et réduire les redondances, une finalité ne peut pas être incluse dans plusieurs stacks. Elle ne peut pas non plus être présentée à l’intérieur d’un stack et en dehors d’un autre.

–

Contrôle des éditeurs 

L’une des critiques formulées à l’égard du TCF d’origine était que lorsqu’un fournisseur tiers déclarait une base légale dans son inscription sur la liste GVL, l’éditeur devait l’utiliser comme telle. Si une finalité de traitement était déclarée par le fournisseur tiers mais que l’éditeur ne voulait pas l’utiliser, ce dernier n’avait aucun recours. 

Les nouveautés

Publishers can switch from the default legal basis

As we discussed above, when vendors register with flexible legal bases, they assign either consent or legitimate interest as the default. The new publisher controls allow you to select the legal basis most appropriate for your audience, per purpose per vendor. 

Publishers can write rules about purposes

Publishers can now write rules to allow only certain vendors to process data for certain purposes (e.g., only vendors X and Y are allowed to do Purpose 3). 

Rappel

Seule une base légale déclarée comme flexible par le fournisseur tiers peut être modifiée. Si le fournisseur tiers n’a pas déclaré de base légale flexible, vous devez décider si vous souhaitez travailler avec ce fournisseur tiers pour cette finalité.

–

Possibilité pour les utilisateurs de s’opposer au traitement sur la base d’un intérêt légitime

Enfin, les utilisateurs peuvent désormais exercer leur droit d’opposition au traitement des données sur la base d’un intérêt légitime, directement dans la CMP, par fournisseur tiers et/ou par finalité. 

Auparavant, les utilisateurs pouvaient uniquement s’opposer au traitement des données sur la base d’un intérêt légitime en contactant directement le fournisseur tiers, ce qui n’était pas très pratique. Ce changement permet aux utilisateurs d’exercer plus facilement leur droit d’opposition.

That’s it for our overview of what’s new in TCF v2.0. We believe this version of the framework provides much more transparency and control for both the consumer and the publisher. If you have questions about your specific implementation, please contact us.

–

Articles associés : 

• TCFv2.1 released to address Planet49 ruling
• [Webinar] “Switching to TCF v2.0: What publishers need to know”
• Deadline for TCF v2.0 switchover has been extended