L’année 2020 marque l’entrée en vigueur d’une nouvelle loi sur la protection des données. Depuis le 1er janvier, la California Consumer Privacy Act (CCPA) autorise les internautes à refuser l’utilisation de leurs informations personnelles par les entreprises à des fins de diffusion publicitaire numérique. Si cette loi présente des similitudes avec le RGPD en vigueur depuis peu dans l’Union européenne, il existe à coup sûr diverses nuances qui devront être prises en compte par tous les acteurs de notre écosystème.
Index Exchange est en train de mettre en œuvre le cadre de conformité à la CCPA de l’IAB pour OpenRTB (cliquez ici pour consulter le cahier des charges en anglais) et nous encourageons nos partenaires (et l’écosystème AdTech dans son ensemble) à en faire autant. Aux termes de la CCPA, nous nous classons dans la catégorie des « prestataires de services », c’est-à-dire que nous traitons des informations personnelles sur instruction (et au profit) de nos éditeurs partenaires.
Afin d’aider nos acheteurs et éditeurs partenaires à prendre leurs marques dans ce nouveau contexte, nous avons rédigé la FAQ ci-dessous et répertorié les changements à venir les concernant :
Qu’est-ce que la CCPA ?
La CCPA est une nouvelle loi sur la protection des données qui autorise les internautes californiens à refuser l’utilisation de leurs informations personnelles par les entreprises (notamment à des fins de diffusion publicitaire digitale).
Elle concerne toutes les entreprises qui traitent des informations personnelles relatives aux habitants de la Californie. Cette loi parle de « vente d’informations personnelles », mais donne une définition très large de ce terme en incluant :
« la collecte, le recueil, la consultation, la réception, la divulgation, la mise à disposition, le transfert et la communication à un tiers par une entreprise à titre onéreux ».
En vertu de cette loi, les entreprises qui collectent et « vendent » des informations personnelles concernant les résidents californiens sont tenues d’afficher sur leur site Web une bannière contenant un lien libellé « Do Not Sell My Personal Information » (M’opposer à la vente de mes informations personnelles) afin que les internautes puissent exprimer leur préférence. Sinon, les entreprises peuvent choisir de ne pas personnaliser les publicités diffusées auprès des internautes californiens. Elles doivent également octroyer aux consommateurs un droit de consultation et de suppression des informations personnelles qu’elles détiennent les concernant.
Quelle est la date d’entrée en vigueur de la CCPA ?
Cette loi est en vigueur depuis le 1er janvier 2020. Dans la pratique, le bureau du Procureur général (Attorney General) de Californie a fait savoir qu’aucune sanction ne serait prise avant le 1er juillet 2020.
Qu’est-ce que le cadre américain de protection des données (US Privacy) de l’IAB ?
Le cadre américain de protection des données (US Privacy) de l’IAB a pour but de normaliser les démarches de mise en conformité du secteur de l’Ad Tech avec les exigences prévues par la CCPA et toute future loi touchant cette question aux États-Unis. Ce cadre explique comment enregistrer et transmettre le signal indiquant l’opposition exprimée par un consommateur selon une procédure standard.
Les éditeurs peuvent aussi adopter leur propre démarche hors cadre. Dans tous les cas, ce signal doit être diffusé auprès des Ad Exchanges, qui le transmettront aux plateformes DSP.
Qu’est-ce qu’un prestataire de services limités ?
Le cadre américain de protection des données de l’IAB prévoit également un accord de prestation de services limités (Limited Service Provider Agreement). Cet outil permet aux parties en aval, comme les Ad Exchanges, de normaliser leur relation avec l’éditeur en s’identifiant comme ses prestataires de services.
Par la signature de ce contrat, toutes les parties en aval deviennent des « prestataires de services limités » uniquement habilités à utiliser les informations personnelles à des fins commerciales spécifiques, telles que la limitation de la fréquence, les mesures publicitaires, la diffusion de publicités, la prévention des fraudes ou d’autres objectifs sans lien avec la publicité personnalisée.
Que se passe-t-il en cas d’opposition d’un internaute ?
- Le choix des internautes est valable au minimum pour l’association site Web + appareil/navigateur utilisée au moment de l’opposition. Par exemple, si j’exprime mon opposition sur le site XYZ.com à partir d’un PC, ce choix *ne s’applique pas* sur l’application mobile XYZ. Ce cas de figure n’est pas systématique, car certains éditeurs peuvent décider de synchroniser les préférences de l’utilisateur à l’échelle de leurs canaux.
- Cette opposition ne bloque pas la diffusion des publicités, mais signifie simplement que les informations personnelles de l’internaute ne peuvent plus être utilisées à des fins de personnalisation.
- La diffusion des types de publicités suivants reste possible en cas d’opposition à la « vente » :
- Publicités non personnalisées
- Publicités basées sur les data first-party des éditeurs, par exemple : les données vous concernant qui ont été recueillies directement par CNN
- Publicités basées sur les data third-party acquises avant l’entrée en vigueur de la CCPA
Qu’est-ce qui change à mon niveau ?
Pour les partenaires de l’IX Library :
- À l’issue de la mise en conformité de l’IX Library avec la CCPA selon le cadre de l’IAB, nous serons prêts à recevoir, à traiter et à transmettre les préférences des consommateurs (acceptation et opposition) au moyen de la chaîne us_privacy.
- Le cahier des charges de l’IAB à l’attention des éditeurs est disponible ici (en anglais).
- Aucune mise à jour du code de l’IX Library n’est requise dans votre instance : dès lors que vous collectez et diffusez la chaîne us_privacy conformément au cahier des charges de l’IAB, l’IX Library détectera automatiquement le signal. Une fois terminés les préparatifs nécessaires, contactez votre chargé de compte chez Index Exchange afin de configurer la lecture de ce signal dans l’IX Library.
- Il incombe à l’éditeur de collecter et de transmettre fidèlement les signaux de consentement du consommateur. Vous pouvez recourir à une CMP pour gérer les préférences utilisateur, mais ce n’est pas une obligation.
- L’IX Library partagera également la chaîne us_privacy émanant de l’API US Privacy avec l’ensemble des adaptateurs certifiés configurés dans votre Library. À partir de là, les adaptateurs en conformité avec la CCPA seront en mesure de transmettre le signal à leurs plateformes respectives.
- Nous n’aurons plus aucun avenant à prévoir avec les éditeurs signataires de l’accord de prestation de services limités de l’IAB.
Pour les adaptateurs Prebid partenaires :
- Nous avons mis à jour notre intégration avec la Library Prebid pour assurer la prise en charge de la chaîne us_privacy.
- Les éditeurs concernés devront mettre à jour leurs intégrations et les déployer sur leurs sites.
- Pour en savoir plus sur les mises à jour de l’adaptateur Prebid relatives à la CCPA, consultez ce site (en anglais) répertoriant Index Exchange parmi les adaptateurs en conformité avec cette loi.
Pour les plateformes DSP et agences partenaires :
- À l’issue de la mise en conformité de l’IX Library avec la CCPA selon le cadre de l’IAB, nous serons prêts à recevoir, à traiter et à transmettre les préférences des consommateurs (acceptation et opposition) au moyen de la chaîne us_privacy.
- Nous intégrerons le champ us_privacy dans l’objet Réglementations (rendez-vous dans notre Knowledge Base pour plus d’informations).
Pour toute autre question, n’hésitez pas à contacter directement votre chargé de compte.
Retour au blog