TCF 2.2 : micro audit
IAB Europe a demandé la mise en oeuvre du TCF 2.2 au 20 novembre 2023. Micro audit et état des lieux.
Publié le 24 novembre 2023
Dans un article précédent que nous vous proposons de lire pour mieux appréhender celui-ci, nous avons fait le point mi septembre sur la situation de l'implémentation du TCF 2.2, qui initialement devait s'achever fin septembre. Il se trouve que cette date a été repoussée au 20 novembre ; c'est donc l'occasion de vérifier les points de conformité qu'a demandé l'IAB aux différents acteurs de l'écosystème programmatique. Nous avons repris notre tableau en fin d'article dernier, avec ses 55 sites les plus visités en France utilisant le TCF, pour le mettre à jour et le compléter de quelques précisions.
Quelques observations liminaires importantes
Il faut en premier lieu, commme déjà dit, reconnaître qu'IAB a fourni un travail important pour mettre en oeuvre son plan d'action, notamment en termes de mise à disposition d'outils techniques et de calendrier.
Ensuite, nous avons déploré dans notre article précédent l'absence de mise en oeuvre de certains points de conformité. C'est en réalité un peu plus nuancé que cela. Comme expliqué, nous avons utilisé pour vérifier les sites concernés l'add-on fourni par IAB : le "CMP Validator". Il apparaît cependant que cet outil n'a pas forcément été pleinement utilisé par certaines CMP et / ou éditeurs. Pour autant, ce n'est pas parce que ce validator ne détecte pas certains points, que ceux-ci n'ont pas été mis en place. Le tableau présenté à la fin de cet article fait suite à des vérifications point par point, factuelles, ne se reposant pas sur le "Validator".
Il est également important de rappeler que le micro audit réalisé ne se concentre que sur certains points, et sont relatifs à ce que IAB a demandé. Il ne reflète donc pas le caractère conforme ou non conforme RGPD des fenêtres de consentement en elle-même. A titre d'exemple, si le site "cnews.fr" apparaît sur le tableau en bas de page tout de vert vêtu, cela signifie qu'il a répondu sur les points de conformité évoqués ci-après, et non que sa fenêtre de consentement en elle-même est conforme, ainsi que le montre cette capture ci-dessous
Le lecteur aura observé que la mention "continuer sans accepter", noyée dans le texte, avec une mise en valeur différente de celle des boutons en bas de fenêtre, ne répond pas aux lignes directrices et recommandations de la CNIL. Il ne s'agit donc pas de confondre autour et alentour. Dans le cadre de la procédure juridique en cours, IAB apporte des réponses vis-à-vis du TCF, et non de la fenêtre de consentement en elle-même, bien que les deux ne soient tout de même pas sans lien.
Enfin, il faut garder à l'esprit que ces modifications récentes sont des conséquences indirectes de la procédure en cours entre IAB et l'Autorité de Protection des Données Belge. En l'état actuel des choses, rien ne contraint juridiquement IAB à imposer ces règles. On renvoie le lecteur à notre article précédent pour en comprendre le mécanisme de genèse et les étapes à venir.
Pour notre part, nous nous sommes essentiellement concentrés sur les principaux points de la politique de conformité demandée par IAB aux éditeurs et aux CMP (CMP : Consent Managment platform, i.e. les entités qui conçoivent les "cookies banners"), parce que ce sont ces items qui impactent le plus l'Internaute à notre sens. Nous allons les décrire.
Point n° 1
Citation de l'IAB : "Suppression de la base juridique de l'intérêt légitime pour la publicité et la personnalisation du contenu : dans le cadre du TCF, les Fournisseurs ne pourront sélectionner le consentement comme base juridique acceptable pour les finalités 3, 4, 5 et 6 qu'au niveau de l'inscription". NDLR : On rappelle ce à quoi correspondent ces finalités :
- accéder à des informations concernant le terminal de l'utilisateur
- créer un profil personnalisé
- sélectionner des publicités personnalisées
- créer un contenu personnalisé.
C'est là le point le plus important à notre sens parmi ceux proposés, et on estime qu'il s'agit là de la plus grosse avancée pour l'utilisateur à ce stade. En effet, l'utilisation de l'intérêt légitime permettait de contourner le consentement ; il est heureux (et grand temps !) que les revendications de cette base légale pour profiler les usagers disparaissent.
Il faut reconnaître que les éditeurs et fournisseurs on plutôt joué le jeu dans l'ensemble. 9% des 55 sites font cependant toujours défaut à ce point pourtant crucial et plutôt central au sein de la procédure IAB / ADPB, comme vous pouvez le constater sur le tableau final.
Une assez grosse ombre au tableau sur ce point : dans ses suppressions de base légale "intérêt légitime" ne figure pas la finalité : "Utiliser des données limitées pour afficher de la publicité". Parmi les derniers points que nous allons aborder figure la possibilité pour l'usager de se voir expliquer les finalités avec des exemples simples (nous allons y revenir). Aussi la finalité "Utiliser des données limitées pour afficher de la publicité" est-elle décrite de façon compréhensible à l'utilisateur, comme le montre cette capture d'écran.
Comme vous pouvez le constater, les données utilisées pour parvenir à l'objectif publicitaire sont tout de même, à notre sens, assez loin d'être "limitées". Ainsi donc, si l'utilisation de l'intérêt légitime aux fins de ciblage devient significativement restreint, il est loin d'avoir totalement disparu.
Cette observation nous amène au point suivant.
Point n° 2
"Le fait de cliquer sur "continuer sans accepter", si cette mention existe, n'entraîne pas les fournisseurs à revendiquer l'intérêt légitime".
Il est à relever que nous avons nous-mêmes défini ce point (et non IAB), qui devrait être une conséquence logique et directe du point précédent. En effet, Bien souvent, l'utilisateur peut voir en coin de fenêtre la mention "continuer sans accepter".
Il est très important de savoir que cette mention PEUT NE PAS AVOIR LES MEMES EFFETS qu'une mention de type "Tout refuser".
En effet, l'interpétation d'un click sur "continuer sans accepter" est parfois considérée comme une acceptation tacite des finalités reposant sur l'intérêt légitime. C'est ainsi que certaines CMP ont exploité ce vide, et avaient pour habitude de faire revendiquer l'intérêt légitime lorsque l'utilisateur ne donnait pas son consentement, in extenso lorsqu'il cliquait sur la mention "continuer sans accepter". Ce contournement a longtemps été décrié, les dernières modifications de l'IAB sont donc de nature à restreindre ce cas d'usage. Sur les 55 sites étudiés, on en retrouve tout de même 7 qui pratiquent encore cette méthode, dont, et cela est bien triste, "orange.fr" pour lequel on retrouve pas moins de 265 sites revendiquant l'intérêt légitime en cas de click sur "continuer sans accepter", sans pour autant qu'il s'agisse des finalités les plus sensibles, comme évoqué dans le point précédent.
Point n° 3
"Transparence sur le nombre de fournisseurs : les CMP seront tenus de divulguer le nombre total de fournisseurs cherchant à établir une base juridique sur le premier niveau de leurs interfaces utilisateur."
Nous sommes assez attachés à ce point car nous pensons qu'il permettra à la marge une prise de conscience des usager en considérant ce nombre, souvent élevé. Le bilan est plutôt correct, puisque seuls 4 sites n'appliquent pas ce point de conformité ; peut-être même vont-ils le corriger prochainement par ailleurs.
Point n°4
"Exigences spécifiques pour faciliter le retrait du consentement des utilisateurs : les éditeurs et les CMP devront s'assurer que les utilisateurs peuvent réafficher les interfaces utilisateur des CMP et retirer facilement leur consentement."
Le bilan est assez mitigé. L'idéal, et c'est ce que du reste préconise la CNIL, est de créer un bouton permanent visible en coin de page qui permet à tout moment d'ouvrir la fenêtre de consentement. Force est de constater que ce type de bouton n'apparaît sur aucun des 55 sites audités. En revanche, la plupart du temps, un lien en bas de page (et présent sur chaque page du site) est tout de même disponible et souvent fonctionnel. En revanche, 11 sites offrent une possibilité de le faire de manière indirecte (en orange sur le tableau), voire trop indirecte ou pas du tout (en rouge sur le tableau).
Points n°5 et 6
N° 5 : "Améliorations des informations fournies aux utilisateurs finaux : les noms et descriptions des objectifs et des fonctionnalités ont changé. Le texte comporte des descriptions conviviales - complétées par des exemples de cas d'utilisation réels (illustrations)"
N° 6 : "Standardisation des informations supplémentaires sur les fournisseurs : les fournisseurs seront tenus de fournir des informations supplémentaires sur leurs opérations de traitement de données - afin que ces informations puissent à leur tour être divulguées aux utilisateurs finaux ;
Catégories de données collectées
Périodes de conservation par finalité
Intérêt(s) légitime(s) en jeu - le cas échéant"
Ces points sont à priori plus secondaires pour un utilisateur final, mais demeurent néanmoins très intéressants. De façon générale, lorsque ces points sont respectés, il faut le vouloir pour les trouver. Ils sont situés généralement en deuxième, voire troisième niveau de CMP, et il faut dérouler un nombre significatif de titres pour y parvenir, quelle que soit la CMP concernée. En revanche, point intéressant : l'ensemble des cookies déposés par les partenaire y est détaillé, avec les finalités, les éléments collectés, la fonction de chaque cookie, la durée de vie, etc.
Ainsi, sur la fenêtre de consentement de "orange.fr" par exemple, voici les étapes pour voir apparaître les éléments mentionnés à partir de la première couche:
click sur "personnaliser vos choix", puis dérouler "publicité personnalisée", puis "autres publicités", puis "Publicités et contenu personnalisés, mesure de performance des publicités et du contenu, données d’audience et développement de produit", puis "Créer des profils pour la publicité personnalisée" et ENFIN un exemple simple et concret, rédigé en petite police, apparaît, comme le montre cette capture d'écran :
Pour ce qui concerne les informations sur les cookies, il faut généralement aller dans la liste des partenaires ("voir nos partenaires"), et cliquer sur le partenaire concerné, puis dérouler les différents items. Exemple ci-dessous, toujours sur la fenêtre de consentement de "orange.fr", avec le partenaire "1plusX".
Point très intéressant à noter : c'est au fin fond de cette fenêtre de consentement que l'utilisateur peut s'opposer à l'intérêt légitime de façon granulaire, dont vous pouvez constater dans le cas précis de "orange.fr", que celui-ci est déjà pré-coché sur "autoriser".
Ainsi, si vous souhaitez vous opposer à tout dépôt de traceurs, il est important de savoir que la façon la plus efficace de le faire est de faire apparaître la fenêtre "paramétrer mes choix", ou "en savoir plus" (selon le cas), et de refuser, finalité par finalité. C'est du reste la méthode automatisée utilisée par Ghostery qui propose un add-on de refus systématique de traceurs.
Soyons honnêtes sur deux points. Primo : il ne s'agit de tirer sur l'ambulance et il est plutôt positif que l'utilisateur final ait accès à ce type d'exemple et à une standardisation des informations collectées par les partenaires et les informations sur les traceurs. Mais, secundo : il faut aller au fin fond de la CMP pour y parvenir. On comprend cependant que tout placer en premier niveau est de nature à créer une grande fatigue au consentement. Sur le papier, donc, les exemples existent. Dans les faits, le moins que l'on puisse dire est que l'expérience utilisateur n'y est pas...
Sur les 55 sites audités, 8 ne respectent pas les points 5 et 6.
Tableau de synthèse
Voici donc le tableau final pour lesquels nous reprenons les 55 sites les plus visités en France qui utilisent le TCF. Nous y retrouvons le noms des sites, et, en regard, les 6 points que nous venons d'évoquer. Une couleur verte signifie que le point est totalement respecté, une couleur orange : partiellement, une couleur rouge : pas du tout.
Vous pouvez télécharger ce tableau en format pdf en cliquant ici.
Qu'en retenir ?
Tout d'abord, les éditeurs et les CMP ont dans l'ensemble joué le jeu. Tous critères et sites confondus, sur les 330 items (55 fois 6), 44 ne sont pas pleinement respectés, soit "seulement" 13 %, ce qui n'est pas trop mal. Mais ce respect des critères amène deux observations.
La première : en dépit des efforts réels fournis par IAB, fournisseurs, éditeurs et CMP, le TCF n'en reste pas moins ceci (allégorie qui peut choquer, mais c'est là un des noeuds du problème de fond).
Sur le fond, le TCF reste ce qu'il est : une interface qui ouvre les portes du Mordor, ou plutôt du marché d'enchères en temps réel (real time bidding ou RTB), dans lequel sont brassées des milliards de données personnelles. La volatilité de ces données au sein de l'écosystème programmatique reste préocupante, surtout au regard des derniers développement découverts tout récemment par Wolfie Christl, dont l'édifiante publication de ses recherches est téléchargeable en format pdf sur ce lien. Où l'on constate le prévisible détournement de finalité qui était à craindre, dès le départ, d'un tel système.
On peut ensuite s'interroger sur l'autorité qu'a l'IAB sur l'ensemble de l'écosystème. De façon générale, chaque acteur s'est mis à la page. Ce fait rassure autant qu'il inquiète, car qui en effet, prétend aujourd'hui détenir une réelle autorité dans le domaine de l'AdtecH ? N'observe-t-on pas, en dépit de l'impulsion initiale provoquée par une autorité de contrôle, plus de compliance de l'Adtech auprès de l'IAB que des autorités de contrôle elles-mêmes ? Ce que l'on pourrait qualifier de glissement d'autorité est à observer de près à notre sens.
Dignilog.