Gestion du consentement à la pub digitale et aux traceurs : 2 mois pour clarifier les prestataires à conserver

L’échéance du 1^er avril fixée par la Cnil se rapproche rapidement, et les sites web doivent se presser de mettre à jour leur interface de gestion du consentement des internautes pour l’usage des cookies tiers. Ce que l’on appelle les plateformes de CMP ou Consent Management Platform. La démarche concerne tous les sites internet dont en particulier ceux qui commercialisent leur audience. Dès lors, le Syndicat des Régies internet (SRI) a décidé d’épauler ses adhérents afin de clarifier la situation.

Difficulté de connaitre tous les prestataires de la chaîne de valeur

Toute la difficulté pour un éditeur de site web est de présenter à ses visiteurs une liste exhaustive des prestataires et des finalités pour lesquels il doit recueillir leur consentement afin que l’internaute soit suivi via un cookie par tous ces prestataires. Un éditeur ne connait pas tous les prestataires techniques et commerciaux qui interviennent dans la chaîne de valeur de la publicité digitale. Difficile dans ce cas de recueillir le consentement de l’internaute pour chacun des prestataires. De plus, difficile de savoir si tous les prestataires respectent le cadre légal et présentent un réel intérêt pour son activité.

Afin de classifier la qualité des prestataires (« vendors »), le SRI (Syndicat des Régies Internet) a commandité un audit à la jeune société Agnostik, créée en 2014. L’objectif est de qualifier des différents acteurs de la «Vendors List » du TCF 2.0 (TCF ou Transparency & Consent Framework ou cadre de recueil du consentement des internautes) défini par l’IAB (Interactive Advertising Bureau) qui comprend environ 500 prestataires.

Dès lors, il s’agit pour un éditeur – une fois qu’il a identifié la totalité des différents prestataires avec lesquels il travaille – de décider s’il souhaite poursuivre avec eux ou pas, en appréciant le niveau de risque qu’ils représentent et leur importance financière dans la chaîne de valeur.  Un prestataire issu de Russie présentera un niveau de risque supérieur par exemple.

Urgence de savoir comment paramétrer une CMP

Le SRI analyse les « vendors » inscrits au TCF 2.0 de l’IAB avec Agnostik. Le passage à la version 2 du TCF à l’été 2020 et la publication des lignes directrices et recommandations de la Cnil concernant les cookies et les autres traceurs dans le cadre du RGPD induisent une révision des paramétrages des CMP (Consent Management Platform). Le SRI souhaite disposer pour ses adhérents – une trentaine de régies internet – d’une grille de lecture commune facilitant la qualification des différents acteurs de la « Vendors List » du TCF 2.0.

« Cette indispensable catégorisation doit aider à mieux comprendre qui participe légitimement à la bonne exécution des campagnes digitales » souligne le SRI. Il s’agit de recenser les partenaires de monétisation, de mesure, de reporting, d’attribution des clics, de DMP (Data Management Platform) ou d’expérience utilisateur. Cette analyse doit permettre aux éditeurs, dans une démarche de mise en conformité et de transparence, de paramétrer efficacement leurs plateformes de CMP.

Les travaux menés par le SRI qualifient ainsi les « vendors » selon 3 critères. Le premier est la nature du prestataire. Ce critère est basé sur la typologie d’activité, sur les finalités fonctionnalités déclarées dans le TCF 2.0 et sur le pays d’origine et les pays d’exploitation. Le deuxième critère est lié au comportement du prestataire : analyse des cookies et des autres traceurs déposés, leur nature et leur durée de vie, leur position dans la chaîne d’appels (« hardcodé » ou « piggybacking »). Le troisième critère est la contribution du prestataire, s’agit-il d’une contribution fonctionnelle [Analytics, Contre mesure, …] ou d’un apport direct dans les revenus publicitaires programmatiques.

Cette première étude a recensé 180 prestataires

Cette étude a été menée en août 2020 puis en novembre 2020, sur un périmètre de 41 sites web qui représentent 47 millions de visiteurs uniques mensuels. L’étude a mené à analyser 20 millions de requêtes dont 7 millions de premier niveau, c’est-à-dire opérées par un « vendor » en relation directe avec l’éditeur ou sa régie [« hardcodé » ou figurant dans le fichier ads.txt]. Elle a permis d’analyser 50 000 cookies et autres traceurs uniques [pixels, local storage, …].

L’étude a ainsi détecté et catégorisé – selon la classification en 3 critères voulue par le SRI – 180 « vendors » inscrits au TCF 2.0. « Cet éclairage ‘macro’ a pour vocation d’aider chaque éditeur et sa régie à conduire son propre diagnostic et procéder à des arbitrages » propose le SRI. « L’analyse de la contribution de chacun des prestataires technologiques et des risques associés est capitale » souligne le SRI. Cela permet à un éditeur ou à sa régie publicitaire « de se conformer à l’obligation d’information et de transparence vis-à-vis des utilisateurs [NDLR : les internautes] et de recueillir un consentement valide » insiste le SRI.

Cette étude réalisée par Agnostik pour le compte du SRI, constitue une première étape et sera renouvelée en 2021. Pour rappel, « Hardcodé » signifie qu’un prestataire est  appelé en premier rang par l’éditeur de site web. Ce type d’acteur est lié contractuellement à l’éditeur ou à sa régie, avec une notion juridique de sous-traitant. Le « Piggybacking » est le fait d’être appelé en second rang (ou plus) par le biais initial d’un acteur « hardcodé ». Ces acteurs ne sont pas systématiquement liés contractuellement à l’éditeur ou sa régie, avec une notion juridique de sous-traitant ultérieur.