L’échéance du 1er avril fixée par la Cnil se rapproche rapidement, et les sites web doivent se presser de mettre à jour leur interface de gestion du consentement des internautes pour l’usage des cookies tiers. Ce que l’on appelle les plateformes de CMP ou Consent Management Platform. La démarche concerne tous les sites internet dont en particulier ceux qui commercialisent leur audience. Dès lors, le Syndicat des Régies internet (SRI) a décidé d’épauler ses adhérents afin de clarifier la situation.
Difficulté de connaitre tous les prestataires de la chaîne de valeur
Toute la difficulté pour un éditeur de site web est de présenter à ses visiteurs une liste exhaustive des prestataires et des finalités pour lesquels il doit recueillir leur consentement afin que l’internaute soit suivi via un cookie par tous ces prestataires. Un éditeur ne connait pas tous les prestataires techniques et commerciaux qui interviennent dans la chaîne de valeur de la publicité digitale. Difficile dans ce cas de recueillir le consentement de l’internaute pour chacun des prestataires. De plus, difficile de savoir si tous les prestataires respectent le cadre légal et présentent un réel intérêt pour son activité.
La qualification des prestataires inscrits au TCF 2.0 de l’IAB a été confié à la société Agnostik
Dès lors, il s’agit pour un éditeur – une fois qu’il a identifié la totalité des différents prestataires avec lesquels il travaille – de décider s’il souhaite poursuivre avec eux ou pas, en appréciant le niveau de risque qu’ils représentent et leur importance financière dans la chaîne de valeur. Un prestataire issu de Russie présentera un niveau de risque supérieur par exemple.
Urgence de savoir comment paramétrer une CMP
Le SRI analyse les « vendors » inscrits au TCF 2.0 de l’IAB avec Agnostik. Le passage à la version 2 du TCF à l’été 2020 et la publication des lignes directrices et recommandations de la Cnil concernant les cookies et les autres traceurs dans le cadre du RGPD induisent une révision des paramétrages des CMP (Consent Management Platform). Le SRI souhaite disposer pour ses adhérents – une trentaine de régies internet – d’une grille de lecture commune facilitant la qualification des différents acteurs de la « Vendors List » du TCF 2.0.
Il s’agit de recenser les partenaires de monétisation, de mesure, de reporting ou d’expérience utilisateur
Les travaux menés par le SRI qualifient ainsi les « vendors » selon 3 critères. Le premier est la nature du prestataire. Ce critère est basé sur la typologie d’activité, sur les finalités fonctionnalités déclarées dans le TCF 2.0 et sur le pays d’origine et les pays d’exploitation. Le deuxième critère est lié au comportement du prestataire : analyse des cookies et des autres traceurs déposés, leur nature et leur durée de vie, leur position dans la chaîne d’appels (« hardcodé » ou « piggybacking »). Le troisième critère est la contribution du prestataire, s’agit-il d’une contribution fonctionnelle [Analytics, Contre mesure, …] ou d’un apport direct dans les revenus publicitaires programmatiques.
Cette première étude a recensé 180 prestataires
Cette étude a été menée en août 2020 puis en novembre 2020, sur un périmètre de 41 sites web qui représentent 47 millions de visiteurs uniques mensuels. L’étude a mené à analyser 20 millions de requêtes dont 7 millions de premier niveau, c’est-à-dire opérées par un « vendor » en relation directe avec l’éditeur ou sa régie [« hardcodé » ou figurant dans le fichier ads.txt]. Elle a permis d’analyser 50 000 cookies et autres traceurs uniques [pixels, local storage, …].
« Cet éclairage a pour vocation d’aider chaque éditeur et sa régie à procéder à des arbitrages »
Cette étude réalisée par Agnostik pour le compte du SRI, constitue une première étape et sera renouvelée en 2021. Pour rappel, « Hardcodé » signifie qu’un prestataire est appelé en premier rang par l’éditeur de site web. Ce type d’acteur est lié contractuellement à l’éditeur ou à sa régie, avec une notion juridique de sous-traitant. Le « Piggybacking » est le fait d’être appelé en second rang (ou plus) par le biais initial d’un acteur « hardcodé ». Ces acteurs ne sont pas systématiquement liés contractuellement à l’éditeur ou sa régie, avec une notion juridique de sous-traitant ultérieur.