L'Interactive Advertising Bureau (IAB) publie des cadres et des solutions pour aider les entreprises à faire de la publicité numérique tout en respectant la confidentialité des données et en se conformant aux lois sur la protection de la vie privée.
Un consortium de l'IAB, le laboratoire technique de l'IAB(IAB Tech Lab), a publié la Global Privacy Platform (GPP), un cadre unique permettant aux sites web de respecter les mécanismes de retrait universel (UOOM), comme l'exigent plusieurs lois sur la protection de la vie privée.
Ci-dessous, j'aborde les BPP, les lois qui exigent la reconnaissance des OUC et ce dont les propriétaires de sites web pourraient avoir besoin pour mettre en œuvre les BPP.
- Qu'est-ce que la plate-forme mondiale de protection de la vie privée (GPP) de l'IAB ?
- Les entreprises sont-elles tenues de respecter la plate-forme mondiale de l'IAB en matière de protection de la vie privée ?
- Lois américaines sur la protection des données et GPP
- Comment mettre en œuvre les marchés publics écologiques sur votre site web
- Résumé
Qu'est-ce que la plate-forme mondiale de protection de la vie privée (GPP) de l'IAB ?
Lancée par le Tech Lab du Bureau international de la publicité (IAB), la Global Privacy Platform permet aux utilisateurs de signaler leur préférence en matière de confidentialité par le biais d'un mécanisme d'exclusion automatique et aide les sites web à se conformer aux lois nouvelles et existantes en matière de confidentialité des données.
Un utilisateur peut configurer GPP pour refuser la vente de données à des fins de publicité ciblée dès qu'il arrive sur une page sans avoir vu et interagi avec une bannière consentement aux cookies .
La version actuelle de GPP prend en charge les chaînes de confidentialité suivantes :
- IAB EU TCF
- IAB Canada TCF
- La chaîne nationale américaine de la MSPA
- Les chaînes de confidentialité spécifiques aux États américains pour la Californie, le Colorado, le Connecticut, la Virginie et l'Utah.
Le Tech Lab de l'IAB prévoit d'étendre le champ d'application du GPP à d'autres juridictions si nécessaire.
Les marchés publics écologiques constituent-ils un mécanisme universel de renonciation ?
Techniquement, le GPP de l'IAB Tech Lab n'est pas exactement un mécanisme universel d'opt-out ou UOOM.
L'expression "mécanisme universel d'exclusion" est un terme générique qui désigne les drapeaux ou les extensions de navigateur qui communiquent automatiquement aux sites web les préférences des utilisateurs en matière de consentement lorsqu'ils utilisent l'internet.
Ils permettent spécifiquement aux utilisateurs de refuser la vente ou le partage de leurs données, un droit accordé aux personnes couvertes par certaines lois sur la protection de la vie privée au niveau des États américains, telles que le California Consumer Privacy Act (CCPA) et le Colorado Privacy Act (CPA).
Cependant, le GPP enregistre le souhait de l'utilisateur de ne pas recevoir de publicité ciblée et se limite aux fournisseurs de technologies publicitaires qui sont membres de l'IAB.
Cela dit, le GPP prend en charge les UOOM connues telles que le contrôle mondial de la vie privée (GPC).
Plate-forme mondiale pour la protection de la vie privée vs. contrôle mondial de la protection de la vie privée (GPC)
Le GPP est similaire au contrôle mondial de la protection de la vie privée (GPC) dans la mesure où tous deux signalent des préférences en matière de protection de la vie privée, mais le GPP n'agit pas comme un drapeau "ne pas vendre".
En outre, les deux ont été créés et maintenus par des organisations différentes.
Les différents cadres existent parce que plusieurs lois plus récentes sur la protection de la vie privée, dont la plupart proviennent des États américains, ont été adoptées récemment.
Ces lois comprennent des dispositions exigeant que les sites web respectent les paramètres techniques du navigateur en tant que demande vérifiable de l'utilisateur pour donner suite à son droit de refuser la vente ou le partage de ses informations personnelles.
Mais la législation ne précise pas quelles doivent être ces spécifications techniques.
Au lieu de cela, les autorités chargées de la protection des données devraient publier des lignes directrices et nommer les technologies spécifiques couvertes par les différentes lois.
Entre-temps, nous assistons à l'élaboration et à la publication de cadres tels que le GPP et le GPC de l'IAB Tech Lab, qui pourraient constituer des solutions de mise en conformité.
Comme indiqué plus haut, la CCPA, telle que modifiée par la loi californienne sur les droits à la vie privée (CPRA), exige officiellement des entités concernées qu'elles respectent les signaux GPC, comme l'indiquent les FAQ de la CCPA du procureur général.
Plate-forme mondiale de protection de la vie privée et plates-formes de gestion du consentement (CMP)
La plate-forme mondiale de protection de la vie privée diffère des plates-formes de gestion des consentements (CMP), mais les deux technologies fonctionnent ensemble pour aider les sites web à se conformer aux lois sur la protection de la vie privée.
Un CMP permet d'obtenir, de suivre et de gérer les préférences des utilisateurs en matière de consentement :
- Un scanner de site web pour trouver et catégoriser les cookies internet utilisés par le site
- Un site politique de cookies généré automatiquement sur la base des résultats de l'analyse du site web.
- Une bannière consentement aux cookies personnalisable permet aux utilisateurs de choisir de donner leur consentement.
- Un centre de préférences pour que les utilisateurs puissent facilement changer d'avis et se retirer ou choisir de donner leur consentement à tout moment.
- Un formulaire de demande d'accès pour les personnes concernées (DSAR) afin que les utilisateurs puissent soumettre des demandes vérifiables pour faire respecter leurs droits en matière de protection de la vie privée.
Le GPP s'intègre aux CMP, de sorte que lorsque les utilisateurs ont installé le GPP sur leur navigateur, ces sites web lisent et respectent automatiquement leurs signaux de consentement sans jamais leur présenter de bannière contextuelle.
Il s'agit d'une demande vérifiable du consommateur, de sorte que les utilisateurs n'ont pas à s'inquiéter de soumettre des DSAR ou de contacter votre équipe chargée de la protection de la vie privée pour refuser la vente ou le partage de leurs données.
GPP vs. Demandes Do-Not-Track (DNT)
Le GPP permet aux entreprises d'utiliser un CMP pour enregistrer les signaux de consentement tels que les demandes de "Do-Not-Track" et tient compte des lois plus récentes.
À l'origine, DNT était un plugin créé pour permettre aux utilisateurs d'informer les sites web qu'ils ne souhaitent pas être suivis à des fins publicitaires ou d'analyse.
Il a été élaboré lorsque la loi californienne sur la protection de la vie privée en ligne (CalOPPA) a été modifiée en 2013 pour inclure des dispositions obligeant les entités à indiquer clairement comment elles répondent aux demandes DNT dans leurs politiques de confidentialité.
La technologie et les lois sur la protection de la vie privée ont rapidement évolué depuis 2013, et de nombreuses personnes pensent que les UOOM comme le GPC et le GPP remplacent l'ancienne technologie DNT.
Les entreprises sont-elles tenues de respecter la plate-forme mondiale de l'IAB en matière de protection de la vie privée ?
À l'heure actuelle, les entreprises ne sont pas tenues de respecter les bonnes pratiques de l'IAB Tech Lab.
Toutefois, si vous êtes soumis aux lois applicables en matière de protection de la vie privée, il serait utile d'envisager des CMP qui prennent déjà en charge le cadre des BPP, car il fournit plusieurs chaînes permettant de relier les préférences des utilisateurs entre les différentes juridictions.
Aux États-Unis, plusieurs lois récentes sur la protection de la vie privée au niveau des États comportent des dispositions obligeant les entreprises à considérer les signaux UOOM comme une demande vérifiable du consommateur de se retirer de certains types de traitement de données. Par conséquent, nous voyons différentes organisations développer cette technologie pour aider les consommateurs à faire valoir leurs droits.
Toutefois, les entreprises se posent plusieurs questions sur les règles d'utilisation spécifiques que leurs sites web doivent respecter et sur la complexité de la mise en place de ces règles.
Le Tech Lab de l'IAB a publié le U.S. National String dans le cadre des GPP pour répondre à certaines de ces préoccupations. Il permet également aux utilisateurs du GPP d'honorer les signaux de consentement provenant d'autres UOOM, y compris le GPC, et de satisfaire aux exigences légales en matière d'opt-out énoncées dans toutes les lois américaines en vigueur.
Lois américaines sur la protection des données et GPP
Le Tech Lab de l'IAB a publié le GPP pour aider les entreprises à se conformer aux lois sur la confidentialité des données. Vous trouverez ci-dessous les exigences légales définies par ces textes législatifs.
Comment mettre en œuvre les marchés publics écologiques sur votre site web
Les entreprises peuvent mettre en œuvre les marchés publics écologiques en utilisant l'une de ces méthodes :
- Suivez les spécifications techniques décrites sur GitHub.
- Utilisez un site plateforme de gestion du consentement qui est déjà intégré au GPP.
L'IAB recommande à toute entreprise soumise à la législation américaine en matière de protection de la vie privée d'intégrer le cadre des marchés publics écologiques afin de s'adapter aux dispositions relatives à la non-participation avant qu'elles ne deviennent exécutoires.
Comment les utilisateurs peuvent-ils mettre en œuvre les marchés publics écologiques sur leurs navigateurs ?
Pour que le GPP puisse lire les préférences de retrait des utilisateurs, ces derniers doivent utiliser un navigateur UOOM compatible ou une extension de navigateur.
Par exemple, les marchés publics écologiques liront et respecteront les signaux de consentement définis par les utilisateurs, comme les CPG, pour refuser la vente de leurs données.
Résumé
Si votre site web est soumis à des lois sur la protection de la vie privée qui incluent des lignes directrices pour honorer les signaux du navigateur de l'utilisateur en tant que demande vérifiée d'exclusion de certains types de traitement de données, envisagez d'examiner le GPP du Tech Lab de l'IAB.
L'IAB Tech Lab est un consortium indépendant et à but non lucratif de l'IAB. Ses normes techniques évolutives, comme le GPP, sont conçues pour aider les entreprises à se conformer aux exigences en matière de protection de la vie privée d'une manière rentable et efficace.
Le GPP représente une tentative de normalisation des spécifications techniques que les sites web doivent mettre en œuvre pour se conformer aux lois actuelles et futures sur la protection de la vie privée.
Écrit par Natasha Piirainen
Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.
Lire tous les articles de Natasha Piirainen
Révisé par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est avocate spécialisée dans la protection de la vie privée. Elle est titulaire d'une maîtrise de l'université Carnegie Mellon et d'un doctorat en droit de l'université de Pittsburgh. En tant qu'ancienne Fellow Westin Fellow l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et animé des webinaires et des tables rondes sur la protection de la vie privée et les technologies de protection de la vie privée aux États-Unis.
Lire tous les articles révisés par Anokhy Desai CIPP/US, CIPT, CIPM
