Règles et réglementations qui définissent une bannière de consentement conforme au RGPD et comment garantir la validité du consentement
Sur un site web ou dans une application mobile, la bannière est la principale interface de consentement avec laquelle les utilisateurs interagissent. C'est là que la plupart des utilisateurs sont informés sur les finalités et les tiers pour lesquels le consentement est collecté, et sur la manière dont les utilisateurs peuvent donner ou refuser leur consentement.
Par conséquent, le contenu d'une bannière de consentement est essentiel pour garantir la conformité avec le RGPD, les recommandations locales des autorités de protection des données et le TCF de l'IAB.
Didomi fournit des Textes Standards par défaut. Si vous souhaitez les changer, consutlez notre documentation dédiée ici.
Cet article vous guide à travers les exigences minimales que Didomi exige que vos bannières de consentement respectent. Il ne s'agit pas d'une liste exhaustive et la mise en œuvre de toutes les recommandations de cet article ne garantit pas le respect de la réglementation.
Responsabilités
Didomi
Le rôle de Didomi est de fournir des outils et des conseils généraux pour se conformer aux différentes réglementations (RGPD, CCPA, etc.) et standards (IAB TCF, IAB CCPA, etc.) qui s'appliquent aux entreprises déployant notre CMP .
Didomi fournit des exemples de configurations et de textes qui intègrent les règles de différentes réglementations et les frameworks IAB.
En tant que CMP enregistrée auprès de l'IAB, le rôle de Didomi est de veiller à ce que les frameworks IAB soient respectés par tous les sites web et applications mobiles qui les mettent en œuvre via la CMP Didomi.
Didomi est tenu responsable par l'IAB Europe à travers des audits réguliers des sites web et des applications mobiles de nos clients.
Bien que Didomi soit là pour vous aider, nous ne sommes pas légalement autorisés à fournir des conseils juridiques et ne pouvons être tenus responsables d'un manque de conformité en raison d'une CMP mal configuré.
Votre entreprise
Chaque entreprise est différente et vous devez personnaliser la CMP et ses textes pour vous assurer qu'elle est conforme et que les informations utilisateur sont complètes en ajoutant des informations sur les traitements de données supplémentaires que votre entreprise opère.
Pour vous donner un contrôle maximal, Didomi vous permet de personnaliser le contenu de vos bannières de consentement.
Nous vous recommandons de travailler en étroite collaboration avec Didomi, votre service juridique et les organisations IAB locales pour vous assurer que votre configuration de la CMP Didomi est conforme aux réglementations auxquelles votre organisation est soumise et au framework IAB TCF.
Lors du lancement d'une bannière de consentement, vous devez vous assurer que vos textes sont conformes aux réglementations et au framework TCF de l'IAB.
Dans la mesure où la non-conformité de vos sites web et applications mobiles avec le framework TCF de l'IAB peut avoir un impact sur la validité de Didomi en tant que CMP IAB pour tous nos clients, Didomi vérifiera de manière proactive la conformité de vos bannières de consentement et travaillera avec vous pour s'assurer qu'elles sont conformes. Dans de rares cas et si la conformité ne peut être obtenue par le biais de discussions engagées par Didomi avec votre entreprise, Didomi pourra désactiver temporairement les bannières consentement ou désactiver la prise en charge du TCF pour les bannières qui non conformes.
Exigences
Le consentement au titre du RGPD doit être informé, donné librement, spécifique et sans ambiguïté.
Les exigences énumérées ci-dessous aident à s'assurer que votre bannière de consentement est configurée pour respecter la définition d'un consentement valide.
La liste des exigences et les exemples de textes fournis sont la liste minimale des exigences pour une bannière de consentement valide sur la CMP Didomi. Cette liste ne garantit pas une bannière conforme en ce qui concerne les réglementations et nécessite une personnalisation pour s'adapter aux pratiques exactes de traitement des données de votre entreprise.
Ces exigences incluent les exigences du RGPD valables dans tous les pays et les exigences IAB TCF. Pour les exigences spécifiques à chaque pays, des articles dédiés sont disponibles dans notre documentation.
Voici un exemple de texte qui répond à toutes les exigences énumérées ci-dessous (à l'exception de la liste complète de traitements des données et des bases juridiques, qui dépend de votre entreprise) :
Nous et nos 20 partenaires stockons et accédons à des informations non sensibles sur votre appareil, comme des cookies ou l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie, pour des traitements de données comme l'affichage de publicités personnalisées, la mesure des préférences de nos visiteurs, etc.
Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité sur ce site web.
Certains partenaires ne demandent pas votre consentement pour traiter vos données et s'appuient sur leur intérêt commercial légitime. Vous pouvez vous opposer à ces traitements de données en cliquant sur «En savoir plus».
Exigence 1 - Liste complète des traitements de données et des bases légales utilisés par votre entreprise et ses partenaires
Pour être pleinement informé, l'utilisateur doit avoir la possibilité de consulter la liste complète de tous les traitements de données opérés par votre entreprise et vos partenaires, ainsi que toutes les bases juridiques utilisées pour ces traitements.
Cela inclut les finalités et leurs bases juridiques, ainsi que les entités spéciales IAB TCF telles que les fonctionnalités ("features"), les fonctionnalités spéciales ("special features") et les finalités spéciales ("special purposes").
Didomi fournit un moyen simple d'afficher une liste automatisée des traitements de données et des bases légales configurés dans la CMP :
Bien qu'il soit acceptable de répertorier les traitements de données et les bases légales dans vos textes personnalisés, nous vous recommandons d'activer cette liste automatisée pour vous assurer que la liste est toujours à jour depuis la configuration de votre bannière dans la CMP.
Exigence 2 - Indiquez que des données sont stockées et utilisées sur l'appareil de l'utilisateur par votre entreprise et par des tiers
Votre bannière doit informer l'utilisateur que des informations sont stockées et accessibles à partir de son appareil (par exemple, l'utilisation de cookies, d'identifiants uniques de l'appareil ou d'autres données d'appareil) par votre entreprise et par des tiers. Il n'est pas suffisant d'informer l'utilisateur que votre entreprise y accède.
Bien que cela soit partiellement couvert par l'information de l'utilisateur sur le traitement des données liées aux cookies dans le cadre de la liste des traitements de données, le stockage de données sur l'appareil doit être plus explicitement détaillé pour que l'utilisateur soit pleinement informé.
Exemple : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil ...
Exigence 3 - Indiquez que votre entreprises et des tiers traitent les données personnelles de l'utilisateur
L'utilisateur a généralement une relation directe avec votre entreprise mais une connaissance limitée des tiers avec lesquels vous travaillez et de la manière dont ils peuvent traiter leurs données personnelles. Il est important que l'utilisateur soit informé que des tiers traitent également leurs données personnelles sur votre site web ou votre application mobile.
Exemple pour un site web : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme des cookies, pour des traitements de données ...
Exemple pour une application mobile : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme l'identifiant unique de votre appareil, pour des traitements de données ...
Exigence 4 - Exemples de données personnelles traitées
L'utilisateur doit être en mesure de comprendre quelles données personnelles seront collectées et traitées. Le texte doit inclure des exemples de telles données, comme les «cookies» (pour le web), les «identifiants uniques d'appareil» (pour les applications mobiles), les données de navigation, les informations sur leurs centres d'intérêt, etc.
Exemple pour un site web : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme des cookies ou l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie ...
Exemple pour une application mobile : Nous et nos partenaires stockons et utilisons des informations non sensibles sur votre appareil, comme l'identifiant unique de votre appareil, et traitons vos données à caractère personnel comme votre adresse IP ou un identifiant cookie ...
Exigence 5 - Lien vers la liste des tiers (vendors) traitant des données personnelles
Votre bannière doit inclure un lien permettant à l'utilisateur d'accéder à la liste complète des tiers susceptibles de traiter ses données personnelles.
Didomi ajoute automatiquement un lien "Voir nos partenaires" à toutes les bannières. Le lien ajouté par Didomi sera automatiquement masqué si vous spécifiez votre propre lien vers Didomi.preferences.show() dans le contenu de votre bannière.
Exigence 6 - Conséquences du consentement ou de l'absence de consentement
Dans la mesure où le consentement doit être donné librement, l'utilisateur doit être clairement informé des conséquences d'un consentement ou d'un refus.
Gardez à l'esprit qu'il ne peut y avoir de conséquences négatives si un utilisateur ne consent pas. Par exemple, vous ne pouvez pas empêcher les utilisateurs d'accéder à votre site web ou à votre application mobile s'ils ne consentent pas au traitement de leurs données personnelles.
Exigence 7 - Droit de modifier les choix de consentement
Les utilisateurs ont le droit de modifier leurs choix de consentement à tout moment et doivent être informés de ce droit et de la manière de l'exercer. Les instructions pour modifier leurs choix doivent être claires et précises.
Exemple pour un site web : Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité sur ce site web.
Exemple pour les applications mobiles : Vous pouvez faire un choix ici et modifier vos préférences à tout moment dans notre Politique de confidentialité dans cette app.
Exigence 8 - Modification des choix de consentement
En plus de l'exigence 7 (Droit de modifier les choix de consentement), un lien doit être ajouté à votre site web ou application mobile pour afficher à nouveau les préférences et permettre à l'utilisateur de mettre à jour ou de retirer ses choix de consentement.
Ce lien doit de préférence être ajouté à toutes les pages / vues de votre site web ou application mobile, ou dans la politique de confidentialité.
Ajoutez un lien vers Didomi.preferences.show() pour permettre à l'utilisateur d'ouvrir la vue Préférences.
Exigence 9 - Intérêt légitime
Votre entreprise et des tiers peuvent utiliser l'intérêt légitime comme base légale pour certains traitements de données. Si tel est le cas, l'utilisateur doit en être informé, ainsi que du fait qu'il a le droit de s'opposer à ces traitements de données.
Exemple : Certains partenaires ne demandent pas votre consentement pour traiter vos données et s'appuient sur leur intérêt commercial légitime. Vous pouvez vous opposer à ces traitements de données en cliquant sur «En savoir plus».
Note : Cette exigence s'applique aux versions les plus récentes du TCF et non au TCFv1.1.
Exigence 10 - Les choix offerts à l'utilisateur doivent avoir une importance visuelle égale
Les choix offerts à l'utilisateur (Accepter, Refuser, En savoir plus, etc.) doivent avoir une importance visuelle égale afin de ne pas impliquer qu'un choix est meilleur que l'autre.
Cela implique que les composants visuels utilisés pour ces choix doivent être de même nature. Vous ne pouvez pas avoir une option affichée sous forme de bouton tandis que l'autre option est affichée sous forme de lien simple.
Par exemple, si Accepter et En savoir plus sont les deux options disponibles, elles doivent toutes deux être des boutons ou des liens.
Vous ne pouvez pas afficher un bouton Accepter et un lien En savoir plus:
L'IAB Europe a fourni des règles et recommendations détaillés dans sa documentation sur les exigences des Calls to action.
Exigence 11 - Nombre de partenaires
Dans la version 2.2 du TCF, vous devez afficher le nombre de partenaires avec lesquels vous travaillez dès la première vue. Vous pouvez utiliser nos macros pour ce faire.
Cette information doit être mise à disposition au premier niveau de la CMP, c'est-à-dire qu'elle doit être accessible avant que l'utilisateur puisse donner son consentement.
NB : Même si le TCF n'impose pas de limite spécifique de nombre de "vendors", vous devez être attentif au nombre de vendors avec lesquels vous vous associez. Avoir un nombre déraisonnablement élevé de vendors répertoriés est risqué, car cela empêchera les utilisateurs de prendre la décision la plus éclairée.