Qui ?
L'équipe de Petitweb avec une lampe de poche dans les couloirs sombres du programmatique et Nicolas Rieul et Arthur Millet (président et DG de l'IAB France), Jawad Stouli, co-fondateur de Didomi (en photo), Franck Ducret, Pdg d'Agnostik .
Quoi ?
Les implications pratiques de la crise du TCF de l'IAB, après la décision de l'autorité belge de la data.
Comment ?
La "terreur des cookie banners"
Vous en trouverez la trace ici : en juin 2021, NOYB (None Of Your Business), l'association de l'activiste autrichien Max Schrems (voir son portrait là) envoie 560 plaintes auprès de sociétés de 33 pays, avant de saisir leurs autorités compétentes. L'association promet alors de déposer 10 000 autres plaintes en 2021. Le but ? Mettre fin à la "terreur des cookie banners" en Europe. Les plaintes visent les éditeurs et leurs CMP. Grosso modo, les contrôleurs de la data échouent à contrôler la validité du consentement des utilisateurs finaux. Un an et demi après, l'autorité belge de la data, en lien avec les autres autorités, a donc rendu son verdict de 130 pages (voir ici). La décision stipule que le TCF a privé les citoyens européens de leurs droits fondamentaux. le TCF ne garantit pas que la data est maintenue confidentielle et en sûreté. Le TCF n'est pas transparent sur ce qui est fait à la data. Le transfert de données interne ne fournit pas de protection à l'utilisateur. L'IAB Europe, qui écope d'une amende de 250 000 € "a été consciente du risque et négligente". l'IAB a également échoué à protéger ses propres données dans les enchères ouvertes et en temps réel. Le bureau européen de la pub en ligne écope d'une amende de 250 000 € et doit revoir la copie du TCF sous deux mois, ou faire appel. "Deux mois pour répondre à un document de 130 pages, c'est court" estime Nicolas Rieul, qui préside l'IAB France. Les éditeurs ont 6 mois pour se mettre en conformité avec la décision belge.
L'IAB réagit
Nicolas Rieul, nous précise qu'E Privacy, qui devait préciser l'implémentation de la RGPD, n'est jamais arrivé, bloqué depuis 4 ans par des divergences entre membres (voir ici). Avant la décision belge, l'IAB France avait entamé les discussions avec la CNIL, pour établir un code de conduite sur le TCF.
Arthur Millet rappelle les enjeux côté éditeurs : "Nous avons mis beaucoup de ressource pour que le marché continue à exister. Alors que le RGPD a favorisé les jardins clos. Le TCF est un chantier énorme. Et la finalité de tout cela, c'est que les gens aient toujours accès à de l'information de qualité et gratuite !"
Par ailleurs, le RGPD a mobilisé le marché pendant huit ans, ce qui n'a pas favorisé l'innovation dans l'Internet ouvert. Et puis les éditeurs s'interrogent sur les motivations de certains plaignants comme le navigateur Brave, sans traçage, mais dont on ne connait pas le modèle économique, dans ces recours.
64 % de la pub en ligne de l'open web est concerné
Le TCF figure sur 80 % des sites de l'open Internet en Europe. Il permet de faire de la publicité ciblée conforme au RGPD sur les sites média, dans le cadre de la publicité programmatique. Le programmatique représente plus de la moitié de la publicité en ligne : selon l'observatoire du SRI 64 % des recettes de la pub en ligne, en croissance de 38 % en 2021 (le non programmatique est à +23 % de croissance). C'est donc la majorité des recettes des éditeurs qui cherche de nouvelles règles pour se conformer au RGPD dans le recueil du consentement.
Que va t-il se passer ?
Le 9 février, l'IAB tenait un webinaire pour ses membres, auxquels 120 personnes ont assisté. L'association européenne va devoir décider de faire appel de la décision ou pas. Vu les délais pour la mise en conformité, il est probable qu'il y ait appel, pour aider le marché à s'adapter. Le lendemain, la société Didomi, spécialisée dans le recueil de consentement, faisait un webinaire pour aider les éditeurs à réagir (replay ici). "L'IAB ne savait pas qu'elle avait un rôle de contrôleur". La recommandation de Didomi ? Restreindre le nombre de vendeurs sur les plateformes des éditeurs. "Il s'agit d'identifier les vendeurs et de les évaluer". Limiter à combien ? Un chiffre raisonnable pourrait être" 200 sur le Web et 50 pour les web apps". Autre conseil : ranger les motifs de consentement par catégorie et faciliter le retrait du consentement. Mais le point majeur, c'est qu'il faudrait que les éditeurs "recommencent à demander le consentement". Aie aie aie. Car les éditeurs ont perdu 25 % de consentement en moyenne sur la publicité en ligne et 80 % dans l'écosystème mobile iOS.
Qui achète quoi ?
Avec le programmatique, les éditeurs ont perdu la main sur leur commercialisation passée par les tuyaux de l'ad server de Google. La technologie a pris le pas sur l'humain. Le programmatique a fait monter le CPM, mais les éditeurs ne savent plus qui leur achète quoi. Et les intermédiaires pullulent. Sur le TCF de l'IAB Europe, le nombre de vendeurs est passé de 600 à 820 !
Pretty good report on the earth shaking decision that the IAB’s consent framework and related pop up spam in Europe is illegal. Two unfortunate perspectives included in the piece that i’d like to flag to everyone. /1 pic.twitter.com/p1KwblDd5x
— Jason Kint (@jason_kint) February 11, 2022
Des acteurs comme Tik Tok, dont le siège social est en Chine, un pays non RGPD, participe à la place de marché. De fait, le TCF sera aussi d'échangeur entre l'open web et les walled garden américains et chinois qui peuvent aspirer au passage les data des éditeurs. Certaines impressions sont achetées mais la publicité, pas livrée. L'acheteur aspire alors seulement la donnée. "Comme acteur média, vous devez comprendre votre supply chain. Chaque vendeur doit avoir du sens pour vous. Il faut faire ce travail d'évaluer vos vendeurs. Et identifier ceux qui travaillent avec d'autres vendeurs" nous explique Franck Ducret, dont la société, Agnostik, a été rachetée par Didomi. Le coup de semonce belge peut être une opportunité pour les éditeurs pour mieux contrôler les acteurs et les intermédiaires inutiles qui font grimper les frais techniques et l'addition finale.
"Corrective measures in this regard could be adopted soon", CNIL says. If you want to understand why the first pieces fell in the Transatlantic data transfers domino, see my analysis. Also, if anyone spotted the actual CNIL order somewhere,please share 3/3 https://t.co/ThE8fWaKq9
— Dr. Gabriela Zanfir-Fortuna (@gabrielazanfir) February 10, 2022
Le grand ménage commence, il va se poursuivre avec l'interdiction de Google Analytics, prononcé par la CNIL également cette semaine. Mais aussi par d'autres petits mouvements, comme l'allemand, qui a interdit les "Font" (typographies) de Google : la typo de Google aspire aussi au passage de la data !