# Exigences d’une bannière de consentement conforme à TCFv2.2

Sur un site web ou dans une application mobile, l'avis de consentement est généralement la première interface avec laquelle les utilisateurs interagissent. Souvent, les utilisateurs rencontrent l'avis de consentement avant même d'accéder au contenu principal du site. C'est là que la plupart des utilisateurs sont informés des finalités et des fournisseurs pour lesquels le consentement est recueilli, et de la manière dont les utilisateurs pourront choisir d'accorder ou de refuser leur consentement.&#x20;

![](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2Fog9ij3qiP3t9LtQLsQqS%2FScreenshot%202024-07-05%20at%2014-22-57-png.webp?alt=media\&token=1663bb1c-f601-437e-ac14-c35ee849218f)

En conséquence, **le contenu d'un avis de consentement est essentiel pour garantir la conformité** au RGPD, aux recommandations locales des autorités de protection des données, et au [IAB Transparency and Consent Framework](https://iabeurope.eu/tcf-for-publishers/).

Notez que Didomi fournit des textes standards pour les avis de consentement IAB TCF v2.2. Si vous souhaitez modifier ce texte, veuillez lire notre documentation dédiée [**ici**](https://7560723.hs-sites.com/knowledge/didomis-standard-texts?__hstc=47810744.e3242b41382537f7888fc4b653667b70.1755531154382.1757177104072.1757183146078.48&__hssc=47810744.6.1757183146078&__hsfp=3866128941).

Cet article vous guide à travers les exigences minimales imposées par IAB Europe qui doivent être respectées pour les avis de consentement lors de l'utilisation de l'intégration TCFv2.2. Les exigences énumérées sur cette page ne s'appliquent pas si vous n'activez pas l'intégration TCFv2.2 bien qu'elles constituent une bonne liste d'exigences pour tout avis de consentement conforme au RGPD.

Ce n'est pas une liste exhaustive et la mise en œuvre de toutes les recommandations de cet article ne garantit pas la conformité aux réglementations.

#### 1- Responsabilités de chaque partie

**A- Didomi**

Le rôle de Didomi est de fournir des outils et des conseils généraux pour se conformer aux différentes réglementations en matière de confidentialité (RGPD, CCPA, etc.) et aux normes ([IAB TCF](https://iabeurope.eu/), [IAB CCPA](https://www.iab.com/guidelines/ccpa-framework/), etc.) auxquelles les entreprises implémentant notre CMP peuvent être soumises.\
Didomi fournit des configurations et des textes d'exemple qui incorporent des règles provenant de différentes réglementations et des cadres IAB.\
\
En tant que CMP enregistré auprès de l'IAB, le rôle de Didomi est de veiller à ce que les exigences de l'IAB soient respectées par tous les sites web et applications mobiles qui les implémentent via le CMP Didomi. Didomi est tenu responsable par le [IAB Europe](https://iabeurope.eu/) par le biais d'audits réguliers des sites web et des applications mobiles de nos clients.

Bien que Didomi soit là pour aider, nous ne sommes pas autorisés légalement à fournir des conseils juridiques et ne pouvons être tenus responsables d'un défaut de conformité dû à un CMP mal configuré.

**B- Votre organisation**

Chaque organisation est différente et **vous devez personnaliser le CMP et ses textes pour vous assurer qu'il est conforme** et que les informations destinées à l'utilisateur sont complètes en ajoutant des informations sur les traitements de données supplémentaires effectués par votre organisation. Pour vous donner un contrôle maximal, Didomi vous permet de personnaliser le contenu d'un avis de consentement.\
\
Nous recommandons de travailler en étroite collaboration avec votre service juridique, et si nécessaire avec l'IAB Europe afin de garantir que votre configuration du CMP Didomi est conforme aux réglementations auxquelles votre organisation est soumise et au [IAB TCF.](https://iabeurope.eu/tcf-for-publishers/)\
\
Lors du lancement d'un avis de consentement, **vous devez vous assurer que vos textes et divulgations sont conformes** aux réglementations et au [Cadre IAB TCF](https://iabeurope.eu/tcf-for-publishers/).

IAB Europe réalise des audits réguliers des CMP et des sites web où le cadre TCF est mis en œuvre. En cas de non-conformité, Didomi pourrait recevoir des avertissements, et après plusieurs avertissements, nous pourrions être complètement exclus du TCF. Cette exclusion affecterait non seulement le client concerné mais également tous nos clients. Pour éviter cette situation, nous travaillerons étroitement avec nos clients pour résoudre et améliorer tout problème de conformité et prévenir ces avertissements. Cependant, en cas de non-conformité persistante et de désaccord, nous nous réservons le droit de désactiver l'avis de consentement afin d'éviter l'exclusion par IAB Europe

#### 2- Exigences

Le consentement en vertu du RGPD doit être éclairé, librement donné, spécifique et univoque.\
\
Les exigences énumérées ci-dessous aident à garantir que votre avis de consentement est configuré pour respecter la définition d'un consentement valide telle que définie par IAB Europe dans le contexte du TCF.\
\
La liste des exigences et les textes d'exemple fournis constituent la liste minimale d'exigences pour un avis valide fonctionnant sur le CMP Didomi. Elle ne garantit pas un avis conforme aux réglementations et nécessite une personnalisation pour s'adapter aux traitements de données et aux pratiques commerciales exactes de votre organisation. Elle ne garantit pas non plus un avis conforme au TCF.

Voici un exemple de texte d'avis qui répond à toutes les exigences énumérées ci-dessous (à l'exception de la liste complète des traitements de données et des bases juridiques, qui dépend de votre organisation) :

*Avec votre accord, nous et nos 21 partenaires utilisons des cookies ou des technologies similaires pour stocker, accéder et traiter des données personnelles telles que votre visite sur ce site web, les adresses IP et les identifiants de cookies. Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fondent sur leur intérêt légitime. Vous pouvez retirer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus » ou dans notre politique de confidentialité sur ce site web.*

#### Exigence 1 - Liste complète des traitements de données et des bases juridiques utilisées par votre organisation et ses partenaires

Pour que l'utilisateur soit pleinement informé, il doit avoir la possibilité de consulter la liste complète de tous les traitements de données opérés par votre organisation et vos partenaires, ainsi que toutes les bases juridiques utilisées pour ces traitements de données.\
Ceci inclut les finalités et leurs bases juridiques, ainsi que les [IAB TCF](https://iabeurope.eu/tcf-2-0/) entités telles que les fonctionnalités, fonctionnalités spéciales et finalités spéciales.

Didomi fournit un moyen simple d'afficher une liste automatisée des traitements de données et des bases juridiques configurés dans le CMP :

![Capture d’écran 2024-07-05 à 15.06.56](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2FDr5Zfr0GEQfq6bJlNnCK%2FScreenshot%202024-07-05%20at%2015.06.56.webp?alt=media\&token=d6fa5e4d-8eea-4daa-8a8e-d44b6f728569)

Bien qu'il soit acceptable d'énumérer les traitements de données et les bases juridiques dans vos textes personnalisés, nous recommandons d'activer cette liste automatisée afin de garantir que la liste est toujours à jour à partir de la configuration de votre avis.\
Trouvez la liste complète des finalités et fonctionnalités dans [Résumé des finalités/fonctionnalités : IAB TCF v2.2 (version actuelle)](https://support.didomi.io/iab-tcf-v2.2-purposes/features-summary)

#### Exigence 2 - Indiquer que les données sont stockées et consultées depuis l'appareil de l'utilisateur par votre organisation et par des tiers

Votre avis doit inclure une information sur le fait que des informations sont stockées et consultées depuis l'appareil de l'utilisateur (par ex. utilisation de cookies, identifiants d'appareils ou autres données d'appareil) **par votre organisation et par des tiers**. Informer simplement l'utilisateur au sujet de votre organisation n'est pas suffisant.\
Bien que cela soit en partie couvert en informant l'utilisateur sur les traitements de données liés aux cookies dans le cadre de la liste des traitements de données, cette information doit être explicitée de manière plus détaillée pour que l'utilisateur soit pleinement informé.

Exemple : *Nous et nos partenaires stockons et consultons des informations non sensibles depuis votre appareil ...*

#### Exigence 3 - Indiquer que votre organisation et des tiers traitent des données personnelles de l'utilisateur

L'utilisateur a généralement une relation directe avec votre organisation mais une connaissance limitée des tiers avec lesquels vous travaillez et de la manière dont ils peuvent traiter leurs données personnelles. Il est important que l'utilisateur soit informé que des tiers traitent également leurs données personnelles sur votre site web ou application mobile.&#x20;

Exemple pour le Web : *Nous et nos partenaires stockons et consultons des informations non sensibles depuis votre appareil, comme des cookies, **pour le traitement des données ...***\
\
Exemple pour les applications mobiles : *Nous et nos partenaires stockons et consultons des informations non sensibles depuis votre appareil, comme des identifiants d'appareils, **pour le traitement des données ...***

#### Exigence 4 - Exemples de données personnelles traitées

L'utilisateur doit pouvoir comprendre quelles données personnelles seront collectées et traitées. Le texte doit inclure des exemples de telles données, comme « identifiants de cookies » (pour le Web), « identifiants d'appareil » (pour les applications mobiles), données de navigation, informations sur vos centres d'intérêt, etc.

Exemple pour le Web : *Nous et nos partenaires stockons et consultons des informations non sensibles depuis votre appareil, comme des cookies ou un identifiant d'appareil unique, et **traitons des données personnelles telles que les adresses IP et les identifiants de cookies**, ...*

Exemple pour les applications mobiles : *Nous et nos partenaires stockons et consultons des informations non sensibles depuis votre appareil, **l**ike des identifiants d'appareils, et **traitons des données personnelles telles que les adresses IP et les identifiants de cookies**, ...*

#### Exigence 5 - Lien vers la liste des tiers traitant des données personnelles

Votre avis doit inclure un lien permettant à l'utilisateur d'accéder à la liste complète des tiers susceptibles de traiter leurs données personnelles.\
\
Didomi ajoute automatiquement un lien « Voir nos partenaires » à tous les avis. Le lien ajouté par Didomi sera automatiquement masqué si vous spécifiez votre propre lien vers **Didomi.preferences.show()** dans le texte de votre avis.

#### Exigence 6 - Conséquences du fait de consentir ou non

Comme le consentement doit être librement donné, l'utilisateur doit être clairement informé des conséquences d'accepter ou de refuser.\
\
Gardez à l'esprit qu'il ne peut y avoir de conséquences défavorables pour le fait de ne pas consentir. Par exemple, vous ne pouvez pas empêcher les utilisateurs d'accéder à votre site web ou application mobile s'ils ne consentent pas au traitement de leurs données personnelles.

#### Exigence 7 - Droit de modifier ses choix de consentement

Les utilisateurs ont le droit de modifier leurs choix de consentement à tout moment et doivent être informés de ce droit et de la manière de l'exercer. Les instructions pour modifier leurs choix doivent être claires et spécifiques.

Exemple pour le Web : *Vous pouvez modifier vos préférences à tout moment dans notre politique de confidentialité sur ce site web.*\
\
Exemple pour les applications mobiles : *Vous pouvez modifier vos préférences à tout moment dans le menu Confidentialité de cette application.*

#### Exigence 8 - Modification des choix de consentement

En plus de l'exigence 7 (Droit de modifier ses choix de consentement), un lien devrait être ajouté à votre site web ou application mobile pour afficher à nouveau les Préférences et permettre à l'utilisateur de mettre à jour ou de retirer ses choix de consentement.\
Ce lien devrait de préférence être ajouté à toutes les pages / vues de votre site web ou application mobile, ou dans la politique de confidentialité.

Ajoutez un lien vers javascript :[Didomi.preferences.show()](https://developers.didomi.io/cmp/web-sdk/reference/api#preferences-show-view) pour permettre à l'utilisateur d'ouvrir la vue Préférences.

#### Exigence 9 - Intérêt légitime

Votre organisation et des tiers peuvent utiliser l'intérêt légitime comme base juridique pour certains traitements de données. Si tel est le cas, l'utilisateur doit en être informé et doit savoir qu'il a le droit de s'opposer à ce traitement de données.

Exemple : *Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fondent sur leur intérêt commercial légitime. Vous pouvez vous opposer à ces traitements en cliquant sur « En savoir plus ».*

**Note importante : cette exigence ne s'applique pas au TCF v1.1 et ne s'applique qu'aux versions récentes.**

#### Exigence 10 - Les appels à l'action doivent avoir la même importance visuelle

Les choix offerts à l'utilisateur (Accepter / Refuser, En savoir plus, etc.) doivent avoir la même importance visuelle afin de ne pas laisser entendre qu'un choix est préférable à l'autre. Bien que les appels à l'action n'aient pas besoin d'être identiques, pour garantir qu'ils sont clairement visibles, ils doivent recevoir un traitement de texte identique (police, taille de police, style de police) et, pour le texte de chacun, un contraste minimal de 5 contre 1.\
\
Par exemple, si *Accepter* qu'aux *En savoir plus* sont les deux options disponibles, elles devraient toutes deux être des boutons ou des liens. Vous ne pouvez pas afficher un *Accepter* bouton et *En savoir plus* lien :

&#x20;

![](https://support.didomi.io/hs-fs/hubfs/Knowledge%20Base%20Import/downloads.intercomcdn.comio196115439c67ae6fc255e76650efbc67fScreen+Shot+2020-03-28+at+2.47.21+PM.png?width=335\&height=132\&name=downloads.intercomcdn.comio196115439c67ae6fc255e76650efbc67fScreen+Shot+2020-03-28+at+2.47.21+PM.png) ![](https://support.didomi.io/hs-fs/hubfs/Knowledge%20Base%20Import/downloads.intercomcdn.comio19611558117fb1152559be06f258340b7Screen+Shot+2020-03-28+at+2.49.12+PM.png?width=376\&height=132\&name=downloads.intercomcdn.comio19611558117fb1152559be06f258340b7Screen+Shot+2020-03-28+at+2.49.12+PM.png)

&#x20;

L'IAB Europe a des règles détaillées et des exemples dans leur [documentation sur les exigences des CTA](https://iabeurope.eu/wp-content/uploads/2020/07/TCF_V-CMP_comms_AmendmentToTCFPolicyV2.0CTARequirements-_070720_IABEurope.pdf).&#x20;

#### Exigence 11 - Nombre de fournisseurs

Dans la version TCF 2.2, vous devez afficher le nombre de partenaires avec lesquels vous travaillez sur la première vue. Vous pouvez utiliser [nos macros ](https://support.didomi.io/how-to-use-number-of-vendors-macros)pour le faire.

Cette information doit être disponible sur la première couche du CMP - c'est-à-dire qu'elle doit être accessible avant que l'utilisateur ne puisse donner son consentement.

NB : Bien que le TCF n'impose pas de limite spécifique sur le nombre de fournisseurs, vous devriez être attentif au nombre de fournisseurs avec lesquels vous vous associez. Un nombre excessivement élevé de fournisseurs listés est risqué, car il empêche les utilisateurs de prendre la décision la plus éclairée possible.

#### Exigence 12 - Afficher les catégories de données

L'IAB définit une [liste de 11 catégories de données](https://iabeurope.eu/iab-europe-transparency-consent-framework-policies/) que les fournisseurs peuvent déclarer lors du processus d'enregistrement. Il est nécessaire de :

* Inclure les catégories de données traitées par chaque fournisseur dans la 3e couche.
* Inclure une description pour chaque catégorie.

Une nouvelle section est affichée par défaut dans la 3e couche de l'avis de consentement pour chaque fournisseur, incluant la liste des catégories de traitements de données utilisées par le fournisseur et la description de chaque catégorie.

![Capture d’écran 2023-10-04 à 16.31.05](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2FL3l9oTpPHag1oiSdeftq%2FScreenshot%202023-10-04%20at%2016.31.05.webp?alt=media\&token=01531a0c-859d-4d3c-8632-f0d640618b31) ![Capture d’écran 2023-10-04 à 16.31.54](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2FC11hTMONC3dAngViIAtA%2FScreenshot%202023-10-04%20at%2016.31.54.webp?alt=media\&token=d3b31418-0022-44e2-a45c-4ad1d645566b)

#### Exigence 13 - Afficher les périodes de conservation par finalité

Pour chaque fournisseur, les périodes de conservation par finalité doivent être divulguées (sauf pour la finalité 1).

Dans la console Didomi, dans la 3e couche, sous chaque fournisseur, la période de conservation (en jours) est affichée pour chaque finalité et fonctionnalité spéciale, sauf pour la Finalité 1.

![Capture d’écran 2023-10-04 à 16.34.48](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2Fs2yjHvPyuyhIjhMHY3Vt%2FScreenshot%202023-10-04%20at%2016.34.48.webp?alt=media\&token=619fd91c-459d-426e-8f65-856aa06d6033) ![Capture d’écran 2023-06-30 à 17.23.46](https://1244787492-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNDxbAdc00ce6bH5u1urh%2Fuploads%2FdmdvNbb1XpRU2qUGSVGW%2FCapture%20d%E2%80%99e%CC%81cran%202023-06-30%20a%CC%80%2017.23.46.webp?alt=media\&token=04de17b1-b3c7-4d9d-830b-9d7344052a48)