Accéder au contenu

Aide concernant les règles relatives au consentement de l'utilisateur dans l'Union européenne

Pourquoi ces règles existent-elles ? Où s'appliquent-elles ?

Ces règles tiennent compte de certaines conditions imposées par deux réglementations européennes sur la vie privée, le Règlement général sur la protection des données (RGPD) et la directive vie privée et communications électroniques, ainsi que par les lois équivalentes au Royaume-Uni. Cette directive ne doit pas être confondue avec le projet de règlement sur la vie privée et les communications électroniques qui est actuellement en cours de discussion. Ces réglementations s'appliquent aux utilisateurs finaux du Royaume-Uni et de l'Espace économique européen (EEE), qui comprend les États membres de l'UE, l'Islande, le Liechtenstein et la Norvège.

La version originale de ces règles a été publiée en 2015, puis mise à jour le 25 mai 2018 lors de l'entrée en vigueur du Règlement général sur la protection des données (RGPD).

Dois-je respecter ces règles pour tous les utilisateurs si je suis un éditeur ou un annonceur établi dans l'EEE ou au Royaume-Uni ?

Les Règles relatives au consentement de l'utilisateur dans l'UE de Google ne s'appliquent qu'aux utilisateurs finaux basés dans l'EEE ou au Royaume-Uni.

Comment le respect de ces règles est-il garanti par Google ?

Notre méthode consiste à examiner des sites et des applications qui utilisent nos services de publicité, comme nous le faisons depuis que ces règles ont été instaurées en 2015. Nos examinateurs consultent un site ou une application de la manière dont le ferait un internaute, et nous regardons les informations fournies ainsi que les consentements obtenus auprès des utilisateurs.

Notre priorité sera toujours d'accompagner nos partenaires sur la voie de la conformité. S'il s'avère qu'un de nos partenaires ne respecte pas nos règles, nous commençons par l'informer du problème, puis nous travaillons avec lui afin qu'il se mette en conformité.

Comme c'est le cas depuis 2015, nous laissons un délai raisonnable aux sites et applications pour réaliser les modifications nécessaires. Cependant, si le partenaire ne nous répond pas ou ne semble pas vouloir se mettre en conformité dans un délai raisonnable, nous pourrons prendre des sanctions à l'échelle du ou des comptes, pouvant aller jusqu'à la suspension.

Outre l'examen des sites et des applications, nous avons annoncé en mai 2023 qu'à partir du 16 janvier 2024, les éditeurs seraient tenus d'adopter une CMP certifiée lorsqu'ils diffusent des annonces auprès des utilisateurs de l'Espace économique européen et du Royaume-Uni afin de se conformer à ces règles. Google continuera à effectuer des audits sur les sites et applications de nos éditeurs partenaires pour lesquels une CMP certifiée a été adoptée.

Quelles informations dois-je divulguer aux utilisateurs finaux ?

Conformément à nos règles, vous devez identifier chaque partie qui reçoit les données à caractère personnel des utilisateurs finaux du fait de l'utilisation d'un produit Google. Nos règles exigent également que les informations concernant l'utilisation de ces données à caractère personnel soient bien visibles et facilement accessibles. Nous avons publié des informations sur la manière dont Google utilise les données. Les éditeurs et les annonceurs doivent créer un lien vers cette page pour se conformer à l'obligation de divulguer l'utilisation que Google fait des données. Nous demandons également aux autres fournisseurs de technologie publicitaire intégrant des produits Google de publier des informations sur l'usage qu'ils font des données à caractère personnel.

Checklist pour éviter les erreurs courantes lors de l'implémentation d'un mécanisme de recueil du consentement

Les questions ci-dessous ne sont fournies qu'à titre d'exemple. Il ne s'agit pas d'une liste exhaustive. Si vous êtes un éditeur, et que vous avez adopté et correctement implémenté une CMP certifiée, vous devriez déjà être en conformité avec cette checklist. Veillez toujours à vous assurer que votre implémentation respecte toutes les exigences liées aux règles de Google.

  • Avez-vous expliqué aux utilisateurs comment leurs données à caractère personnel seront utilisées lorsqu'ils autorisent votre site/application à les collecter ? Par exemple, savent-ils que leurs données à caractère personnel serviront à personnaliser les annonces, et qu'il est possible que des cookies soient utilisés à des fins publicitaires (annonces personnalisées ou non) ?
  • Avez-vous vérifié que votre notification de consentement est affichée lorsque des utilisateurs situés dans des pays de l'EEE accèdent à votre site/application ?
  • Les utilisateurs ont-ils eu la possibilité d'indiquer leur consentement au moyen d'une action affirmative, par exemple en cliquant sur un bouton "OK" ou "J'accepte" ?
  • Avez-vous communiqué le nom des tiers (y compris Google) qui auront également accès aux informations sur l'utilisateur que vous collectez sur votre site/dans votre application ?
  • Avez-vous indiqué aux utilisateurs comment Google utilisera leurs données à caractère personnel s'ils donnent leur consentement sur votre site/dans votre application, par exemple en incluant un lien vers le site Responsabilité des données d'entreprise de Google ? Les avez-vous informés de la manière dont d'autres tiers utiliseront leurs données à caractère personnel ?
  • Si vous monétisez vos contenus uniquement via des annonces non personnalisées : avez-vous vérifié que vous obteniez le consentement des utilisateurs pour l'utilisation des cookies ou de toute autre méthode de stockage en local (comme les identifiants d'appareils mobiles) lorsque la législation l'impose ? Sachez que les cookies sont malgré tout indispensables au fonctionnement des annonces non personnalisées que nous diffusons sur des sites Web.
  • Si vous monétisez les impressions uniquement avec des annonces limitées, en plus de désactiver la collecte, le partage et l'utilisation des données à caractère personnel pour la personnalisation des annonces, Google désactive les fonctionnalités qui nécessitent l'utilisation d'un identifiant local, comme la limitation de la fréquence d'exposition. Ce n'est que lorsque les annonces limitées programmatiques sont activées que les cookies dédiés uniquement à la détection du trafic incorrect et le stockage en local seront utilisés pour aider à lutter contre la fraude et les utilisations abusives. Notez que les technologies de diffusion d'annonces (nos tags JavaScript et/ou notre code SDK) continueront d'être mises en cache ou installées dans le cadre du fonctionnement normal des navigateurs et des systèmes d'exploitation mobiles des utilisateurs. Nous vous conseillons d'évaluer vous-même vos obligations concernant la conformité, y compris la notification et le consentement obligatoires, selon la loi en vigueur dans votre juridiction. Consultez les Centres d'aide Ad Manager, AdMob et AdSense pour plus d'informations sur cette fonctionnalité.
  • Si vous utilisez une plate-forme de gestion du consentement (PGC) certifiée par l'IAB, avez-vous inclus la mention "Produits publicitaires Google" en tant que fournisseur ?
  • Avez-vous vérifié qu'en l'absence de consentement, aucun cookie Google Ads n'est installé et que l'état par défaut des annonces non personnalisées n'a pas été modifié ?

Que faire si je ne veux pas que les données à caractère personnel des utilisateurs finaux servent à personnaliser des annonces ?

Vous pouvez choisir d'utiliser ou non les données à caractère personnel des utilisateurs finaux pour personnaliser les annonces. Sachez que les cookies ou les identifiants pour mobile restent indispensables pour que les annonces non personnalisées que nous diffusons sur des sites Web ou dans des applications fonctionnent. Vous êtes tenu d'obtenir le consentement des utilisateurs pour utiliser des cookies ou des identifiants pour mobile lorsque la loi l'exige.

Pour les impressions Ad Manager, AdSense et AdMob, vous pouvez également choisir de monétiser avec des annonces limitées. Veillez à évaluer vous-même vos obligations concernant la conformité, y compris la notification et le consentement obligatoires, selon la loi en vigueur dans votre juridiction pour la diffusion d'annonces limitées et d'annonces non personnalisées.

Quelles instructions dois-je fournir aux utilisateurs finaux concernant la rétractation du consentement ?

Conformément à nos règles, les utilisateurs finaux doivent être informés de la procédure à suivre pour révoquer leur consentement concernant la personnalisation d'annonces. Les utilisateurs doivent pouvoir révoquer leur consentement aussi facilement qu'ils l'ont donné initialement. Au minimum, les utilisateurs finaux doivent disposer d'informations suffisantes pour accéder facilement aux paramètres des annonces de votre site ou application, afin de modifier leurs préférences de consentement.

Quels sont les autres produits Google qui incorporent ces règles ?

Outre les produits publicitaires et de mesure, ces règles sont référencées dans d'autres produits Google tels que Blogger, et dans les conditions d'utilisation de Google Maps Platform, des services de l'API YouTube et de reCAPTCHA.

Quels types d'annonces sont considérés comme "personnalisés" selon ces règles ?

La publicité personnalisée (précédemment appelée "publicité ciblée par centres d'intérêt") est un outil puissant qui permet d'améliorer la pertinence de la publicité pour les utilisateurs et d'augmenter le ROI pour les annonceurs. Nos produits destinés aux éditeurs nous aident à déduire les centres d'intérêt des utilisateurs d'après les sites qu'ils consultent ou les applications qu'ils utilisent. Les annonceurs peuvent ainsi cibler leurs campagnes en conséquence, ce qui leur facilite la tâche tout en améliorant l'expérience utilisateur. Pour en savoir plus, consultez les Règles applicables aux annonceurs pour la publicité personnalisée.

Google considère les annonces comme étant personnalisées lorsque leur sélection est déterminée ou influencée par des données historiques ou collectées précédemment. Il peut par exemple s'agir de requêtes de recherche, d'activités, et de visites de sites ou d'applications déjà enregistrées, ainsi que de données démographiques ou de localisation de l'utilisateur. Une telle personnalisation inclut, par exemple, le ciblage démographique, le ciblage par catégorie de centre d'intérêt, le remarketing, le ciblage par listes de clients et le ciblage par listes d'audience importées dans Google Marketing Platform.

Ma bannière de consentement a été jugée non conforme lors de l'audit. Quel est le meilleur moyen de résoudre ce problème ?

Si nous constatons un non-respect de ces règles, notre priorité sera d'aider nos partenaires à se remettre en conformité. Notre équipe d'audit vous fournira les détails de ce non-respect et vous indiquera les mesures à prendre pour que votre site/application soit conforme à ces règles.

Pour s'assurer qu'une bannière est configurée de manière à respecter les choix de l'utilisateur, nous encourageons les annonceurs à collaborer avec leur CMP tierce, ou à consulter la documentation appropriée sur la gestion des paramètres de consentement et à veiller à ce qu'ils soient bien intégrés dans le mode Consentement.

Pourquoi est-il nécessaire d'obtenir le consentement de l'utilisateur pour les cookies en vertu de ces règles, même s'ils sont utilisés à d'autres fins que la personnalisation, par exemple pour mesurer les performances des annonces ?

Les cookies ou les identifiants pour mobile permettent la prise en charge des annonces (personnalisées ou non) diffusées par Google, de lutter contre la fraude et les utilisations abusives, de limiter la fréquence d'exposition et de créer des rapports agrégés sur les annonces. Conformément à nos règles, l'utilisation des cookies et des identifiants pour mobile nécessite le consentement des utilisateurs dans les pays où le consentement aux cookies ou les identifiants pour mobile sont une obligation légale.

Que dois-je faire si je suis un annonceur et que j'utilise des produits Google sur mon site ?

Si vous utilisez des balises pour des produits publicitaires comme Google Ads ou Google Marketing Platform sur vos pages, vous êtes tenu d'obtenir le consentement des utilisateurs de l'Espace économique européen et du Royaume-Uni pour respecter les Règles de Google relatives au consentement de l'utilisateur dans l'UE. Conformément à ces règles, un tel consentement est requis pour les cookies permettant de mesurer les performances des annonces, ainsi que pour l'utilisation de données à caractère personnel dans des annonces personnalisées, par exemple si des balises de remarketing sont présentes sur vos pages.

Comment ma notification de consentement doit-elle être formulée ?

Les règles de Google n'imposent pas les options à proposer aux utilisateurs, car le texte de votre notification de consentement dépendra de l'utilisation que vous faites des données (par exemple, si vous utilisez les données pour vos propres besoins ou pour assurer le fonctionnement d'autres services).

Le message demandant le consentement des utilisateurs doit-il suivre un format particulier pour les applications ?

Oui. En mai 2023, nous avons annoncé que dès le 16 janvier 2024, les annonceurs seraient tenus d'adopter une plate-forme de gestion du consentement (CMP) certifiée lorsqu'ils diffusent des annonces auprès des utilisateurs de l'Espace économique européen ou du Royaume-Uni. Si votre CMP ne figure pas sur cette liste, nous vous encourageons à collaborer avec elle pour obtenir la certification.

Pour les partenaires publicitaires, le CMP Partner Program a été créé afin d'aider les annonceurs à créer et à configurer des bannières de consentement. Remarque : cette liste de CMP n'est pas exhaustive.

Comment les partenaires peuvent-ils choisir leur fournisseur de PGC ?

Pour les partenaires publicitaires, le CMP Partner Program a été créé afin d'aider les annonceurs à créer et à configurer des bannières de consentement. Remarque : cette liste de CMP n'est pas exhaustive. Adopter l'une de ces CMP ne garantit pas la conformité avec les Règles relatives au consentement de l'utilisateur dans l'UE de Google. En effet, la conformité dépend de l'implémentation de la CMP et du message de consentement spécifique que vous adressez aux utilisateurs. (Veuillez consulter la partie "Checklist destinée aux partenaires pour éviter les erreurs courantes lors de la mise en place d'un mécanisme de recueil du consentement" ci-dessus pour plus d'informations.)

Qui sont les tiers qui collectent les données à caractère personnel des utilisateurs finaux et comment dois-je les identifier ?

De nombreux annonceurs et éditeurs utilisant les systèmes publicitaires de Google font appel à des tiers pour diffuser des annonces et mesurer l'efficacité de leurs campagnes publicitaires sur les sites Web et dans les applications. Conformément aux règles, vous êtes tenu de clairement identifier, en plus de Google, chaque partie qui pourrait être amenée à collecter, recevoir et/ou utiliser les données à caractère personnel des utilisateurs finaux parce que vous utilisez des produits Google. Dans AdSense, Google Ad Manager et AdMob, des paramètres vous permettent de sélectionner les fournisseurs autorisés à collecter des données sur votre site ou dans votre application.

Mon site n'étant pas basé en Europe, ces règles s'appliquent-elles ?

Oui, si vous utilisez des produits Google qui intègrent ces règles et que des utilisateurs de l'Espace économique européen ou du Royaume-Uni peuvent accéder à vos services.

Aucune de mes campagnes en tant qu'éditeur ne cible l'Espace économique européen ni le Royaume-Uni. Suis-je tout de même tenu de recueillir le consentement des utilisateurs ?

Le consentement n'est pas requis si les services Google ont été supprimés de votre site pour les utilisateurs de ces pays. En revanche, le consentement est toujours requis si des services Google continuent d'être utilisés, mais qu'aucune annonce n'est diffusée. En effet, Google AdMob, AdSense et Google Ad Manager utilisent des cookies, et nos règles exigent toujours le consentement aux cookies qui sont utilisés à des fins de mesure. Google Ad Manager collecte également des données à caractère personnel, sauf si la demande concerne une annonce non personnalisée et que cela figure dans les paramètres de consentement de l'utilisateur dans l'UE ou dans la demande proprement dite.

Notre entreprise a une vision différente de la loi et souhaite adopter une autre approche en ce qui concerne l'information et le consentement. Est-ce possible ?

Google s'engage à respecter le RGPD, y compris sa transposition dans la législation britannique, dans tous ses services proposés en Europe. Nos Règles relatives au consentement de l'utilisateur dans l'UE reflètent cet engagement, ainsi que les recommandations des autorités européennes chargées de la protection des données. Nous continuerons à évaluer la législation et les pratiques du secteur, et nous mettrons à jour nos recommandations et nos exigences en conséquence.

Pourquoi devons-nous obtenir le consentement pour mesurer les performances des annonces ? Ne s'agit-il pas d'un intérêt légitime ?

Pour mesurer les performances des annonces, Google utilise des cookies et différents identifiants d'annonce. Dans les pays où la législation sur la vie privée et les communications électroniques (ePrivacy) s'applique, le consentement est requis pour ces usages. Par conséquent, nos règles exigent de recueillir le consentement pour la personnalisation et la mesure des annonces. Cela inclut les cas d'utilisation de mesures hors ligne (par exemple, les ventes en magasin).

Dois-je obtenir le consentement de l'utilisateur avant le déclenchement des balises, ou puis-je le recueillir par la suite ?

Pour les annonces personnalisées, le consentement doit être obtenu avant que les balises de Google soient déclenchées sur vos pages.

Qu'en est-il des outils de suivi des clics ?

Lorsque des annonceurs choisissent de recourir à des technologies tierces de suivi des clics (dont le fonctionnement consiste, en cas de clic sur une annonce, à rediriger le navigateur de l'utilisateur vers un fournisseur tiers de mesure des performances avant d'afficher la page de destination de l'annonceur), ils doivent le faire en respectant la loi applicable. Les paramètres de sélection des fournisseurs que Google propose aux éditeurs ne sont pas conçus pour couvrir les technologies de suivi des clics.

Quels enregistrements dois-je conserver ?

Conformément à nos règles, les clients doivent conserver une trace écrite du consentement. Celle-ci doit, au minimum, contenir le texte affiché et les options proposées aux utilisateurs dans le cadre du mécanisme de consentement, ainsi que l'enregistrement de la date et de l'heure du consentement effectif de l'utilisateur.

Pourquoi la CMP de mon éditeur a-t-elle été jugée non conforme, alors que j'utilise une CMP certifiée qui a également été certifiée par l'IAB ?

Adopter une CMP ne garantit pas la conformité avec les Règles relatives au consentement de l'utilisateur dans l'UE de Google. En effet, la conformité dépend de l'implémentation de la CMP et du message de consentement spécifique que vous adressez aux utilisateurs. (Veuillez consulter la partie "Checklist destinée aux partenaires pour éviter les erreurs courantes lors de la mise en place d'un mécanisme de recueil du consentement" ci-dessus pour plus d'informations.)

Dois-je respecter ces règles si mes produits utilisent les API Privacy Sandbox?

Oui. Lorsque vous utilisez des API Privacy Sandbox (Topics, Protected Audience et Attribution Reporting), il se peut que vous utilisiez des données à caractère personnel pour personnaliser les annonces et/ou pour accéder à l'espace de stockage local. Conformément aux Règles relatives au consentement de l'utilisateur dans l'UE, vous devez obtenir le consentement légal de l'utilisateur pour ces actions, comme vous devez le faire actuellement pour personnaliser les annonces et utiliser de l'espace de stockage non essentiel pour les utilisateurs situés dans l'Espace économique européen et au Royaume-Uni. En savoir plus sur la Privacy Sandbox.

Modifications apportées à ces règles

La version initiale des règles de Google relatives au consentement de l'utilisateur dans l'UE a été mise à jour le 25 mai 2018. À la suite de l'évolution de la relation du Royaume-Uni avec l'Union européenne, nous avons apporté des modifications mineures le 31 octobre 2019. Aucune autre modification de nos règles n'est prévue pour le moment. Toutefois, comme indiqué ci-dessus, nous continuerons à évaluer la législation ainsi que les pratiques du secteur, et nous mettrons à jour nos recommandations et nos exigences en conséquence.