Pourquoi ces règles existent-elles ? Où s'appliquent-elles ?
Ces règles tiennent compte de certaines conditions imposées par deux réglementations européennes relatives à la confidentialité (le Règlement général sur la protection des données (RGPD) et la directive vie privée et communications électroniques), ainsi que par les lois équivalentes au Royaume-Uni. Ces règles s'appliquent aux utilisateurs finaux basés dans l'EEE, au Royaume-Uni et en Suisse. L'Espace économique européen (EEE) comprend les États membres de l'UE, l'Islande, le Liechtenstein et la Norvège.
La version originale de ces règles a été publiée en 2015, puis modifiée le 25 mai 2018 lorsque le Règlement général sur la protection des données est entré en vigueur. Ces règles ont été modifiées pour la dernière fois le 31 juillet 2024 et s'appliquent aux utilisateurs basés en Suisse.
Dois-je respecter ces règles pour tous les utilisateurs si je suis un éditeur ou un annonceur établi dans l'EEE, au Royaume-Uni ou en Suisse ?
Les Règles de Google relatives au consentement de l'utilisateur dans l'UE ne s'appliquent qu'aux utilisateurs finaux basés dans l'EEE, au Royaume-Uni ou en Suisse.
Comment le respect de ces règles est-il garanti par Google ?
Notre méthode consiste à mener des audits périodiques portant sur les sites Web et les applications qui utilisent nos services publicitaires, comme nous le faisons depuis que ces règles ont été instaurées en 2015. Nos examinateurs visitent un site Web ou consultent une application comme le ferait un utilisateur, et nous regardons les informations fournies ainsi que les consentements obtenus auprès des utilisateurs.
Notre priorité sera toujours d'accompagner nos partenaires sur la voie de la conformité. S'il s'avère qu'un de nos partenaires ne respecte pas nos règles, nous commençons par l'informer du problème, puis nous travaillons avec lui afin qu'il se mette en conformité.
Comme c'est le cas depuis 2015, nous laissons un délai raisonnable aux sites Web et applications pour réaliser les modifications nécessaires. Cependant, si le partenaire ne nous répond pas ou ne semble pas vouloir se mettre en conformité dans un délai raisonnable, nous pourrons prendre des sanctions à l'échelle du ou des comptes, pouvant aller jusqu'à la suspension des fonctionnalités d'audience, y compris la personnalisation des annonces (par exemple, le remarketing) et les capacités de mesure des conversions pour les annonceurs. Pour les éditeurs, seules les annonces limitées et les annonces limitées programmatiques pourront être diffusées (si les annonces limitées programmatiques sont activées).
En plus de mener des audits de sites Web et d'applications, nous demandons aux éditeurs d'adopter une CMP certifiée lorsqu'ils diffusent des annonces auprès des utilisateurs de l'EEE, du Royaume-Uni et de la Suisse afin de se conformer à ces règles. Google continuera à effectuer des audits sur les sites et applications de nos éditeurs partenaires pour lesquels une CMP certifiée a été adoptée.
Pour les annonceurs générant du trafic dans l'EEE, si un utilisateur de l'EEE utilise votre site Web ou votre application et que vous mesurez son comportement à l'aide de SDK ou de balises Google et/ou que vous exploitez la fonctionnalité d'audience ou de personnalisation des annonces, vous devez transmettre à Google les choix de consentement de l'utilisateur final (par exemple, via le mode Consentement ou le TCF). Si vous chargez la balise Google et que vous n'avez pas implémenté la dernière version du mode Consentement, nous vous recommandons de travailler avec une CMP dans le CMP Partner Program de Google. Cette liste n'est pas exhaustive, et Google n'oblige pas les annonceurs à utiliser une CMP du Programme Partenaires.
Quelles informations dois-je divulguer aux utilisateurs finaux ?
Conformément à nos règles, vous devez identifier chaque partie qui reçoit les données à caractère personnel des utilisateurs finaux du fait de l'utilisation d'un produit Google. Nos règles exigent également que les informations concernant l'utilisation de ces données à caractère personnel soient bien visibles et facilement accessibles. Nous avons publié des informations sur la manière dont Google utilise les données. Les éditeurs et les annonceurs doivent créer un lien vers cette page pour se conformer à l'obligation de divulguer l'utilisation que Google fait des données. Nous demandons également aux autres fournisseurs de technologie publicitaire intégrant des produits Google de publier des informations sur l'usage qu'ils font des données à caractère personnel.
Checklist pour éviter les erreurs courantes lors de l'implémentation d'un mécanisme de recueil du consentement
Les questions ci-dessous ne sont fournies qu'à titre d'exemple. Il ne s'agit pas d'une liste exhaustive. Veillez toujours à vous assurer que votre implémentation respecte toutes les exigences liées aux règles de Google.
- Avez-vous implémenté une bannière de consentement ou un mécanisme de recueil du consentement ? Pour les partenaires éditeurs, la bannière de consentement ou le mécanisme de recueil du consentement ont-ils été certifiés par Google ?
- Avez-vous expliqué aux utilisateurs comment leurs données à caractère personnel seront utilisées sur votre site Web ou dans votre application ? Par exemple, savent-ils que leurs données à caractère personnel serviront à personnaliser les annonces, et qu'il est possible que des cookies ou des identifiants d'annonce pour mobile soient utilisés à des fins publicitaires (annonces personnalisées et non personnalisées) ?
- Avez-vous vérifié que votre bannière de consentement ou votre mécanisme de recueil du consentement s'affichent lorsque des utilisateurs situés dans tous les pays de l'EEE, au Royaume-Uni et en Suisse accèdent à votre site Web ou votre application ?
- Les utilisateurs ont-ils eu la possibilité d'indiquer leur consentement au moyen d'une action affirmative, par exemple en cliquant sur un bouton "OK" ou "J'accepte" ?
- Avez-vous communiqué le nom des tiers (y compris Google) qui auront également accès aux informations sur l'utilisateur que vous collectez sur votre site Web ou dans votre application ?
- Avez-vous indiqué aux utilisateurs comment Google utilisera leurs données à caractère personnel s'ils donnent leur consentement sur votre site ou dans votre application, par exemple en incluant un lien vers le site Responsabilité des données d'entreprise de Google ? Les avez-vous informés de la manière dont d'autres tiers utiliseront leurs données à caractère personnel ?
- Pour les annonceurs : concernant vos utilisateurs de l'EEE, envoyez-vous à Google des signaux de consentement validés qui reflètent les préférences de l'utilisateur final ? Avez-vous correctement implémenté la dernière version du mode Consentement ou du TCF ?
- Avez-vous vérifié qu'en l'absence de consentement, aucun cookie n'est installé lorsque le consentement est requis ? Sachez que les cookies sont malgré tout indispensables au fonctionnement des annonces non personnalisées que nous diffusons sur des sites Web.
- Pour les éditeurs : avez-vous adopté une CMP certifiée par Google conformément aux exigences du TCF ? Dans la mesure où vous utilisez le Consentement supplémentaire, l'avez-vous correctement implémenté ?
En quoi consistent les annonces limitées ?
Si vous êtes un éditeur, lorsque vous monétisez les impressions uniquement avec les annonces limitées, Google désactive non seulement la collecte, le partage et l'utilisation des données à caractère personnel pour la personnalisation des annonces, mais aussi les fonctionnalités qui nécessitent l'utilisation d'un identifiant local, comme la limitation de la fréquence d'exposition. Ce n'est que lorsque les annonces limitées programmatiques sont activées que les cookies dédiés uniquement à la détection du trafic incorrect et le stockage en local seront utilisés pour aider à lutter contre la fraude et les utilisations abusives. Notez que les technologies de diffusion d'annonces (nos tags JavaScript et/ou notre code SDK) continueront d'être mises en cache ou installées dans le cadre du fonctionnement normal des navigateurs et des systèmes d'exploitation mobiles des utilisateurs. Nous vous conseillons d'évaluer vous-même vos obligations liées à la conformité, y compris la notification et le consentement obligatoires, selon la loi en vigueur dans votre juridiction. Pour en savoir plus sur cette fonctionnalité, reportez-vous aux centres d'aide Ad Manager, AdMob et Adsense.
Quelles instructions dois-je fournir aux utilisateurs finaux concernant la rétractation de consentement ?
Conformément à nos règles, les utilisateurs finaux doivent être informés de la procédure à suivre pour révoquer leur consentement. Les utilisateurs doivent pouvoir révoquer leur consentement aussi facilement qu'ils l'ont donné initialement. Au minimum, les utilisateurs finaux doivent disposer d'informations suffisantes pour accéder facilement aux paramètres des annonces de votre site Web ou application, afin de modifier leurs préférences de consentement.
Quels sont les autres produits Google qui incorporent ces règles ?
Outre les produits publicitaires et de mesure, ces règles sont référencées dans d'autres produits Google tels que Blogger, et dans les conditions d'utilisation de Google Maps Platform, des services de l'API YouTube et de reCAPTCHA.
Quels types d'annonces sont considérés comme "personnalisés" selon ces règles ?
La publicité personnalisée permet d'améliorer l'expérience des utilisateurs (c'est-à-dire la pertinence de la publicité) et des annonceurs/éditeurs. Google considère les annonces comme étant personnalisées lorsque leur sélection est déterminée ou influencée par des données à caractère personnel. Pour en savoir plus, cliquez sur cette page.
Ma bannière de consentement a été jugée non conforme lors de l'audit. Quel est le meilleur moyen de résoudre ce problème ?
Si nous constatons un non-respect de ces règles, notre priorité sera d'aider nos partenaires à se remettre en conformité. Notre équipe d'audit vous fournira les détails de ce non-respect et vous indiquera les mesures à prendre pour que votre site Web/application soit conforme à ces règles.
Pour s'assurer qu'une bannière est configurée de manière à respecter les choix de l'utilisateur, nous encourageons les annonceurs à collaborer avec leur CMP tierce, ou à consulter la documentation appropriée sur la gestion des paramètres de consentement et à veiller à ce qu'ils soient bien intégrés dans le mode Consentement.
Nous encourageons les éditeurs à travailler avec leur CMP certifiée par Google et à consulter cet outil de dépannage pour résoudre les problèmes de non-conformité.
Pourquoi est-il nécessaire d'obtenir le consentement de l'utilisateur pour les cookies en vertu de ces règles, même s'ils sont utilisés à d'autres fins que la personnalisation, par exemple pour mesurer les performances des annonces ?
Les cookies ou les identifiants pour mobile permettent de prendre en charge des annonces (personnalisées ou non) diffusées par Google, de limiter la fréquence d'exposition et de créer des rapports agrégés sur les annonces. Conformément à nos règles, l'utilisation des cookies et des identifiants pour mobile nécessite le consentement des utilisateurs dans les pays où le consentement aux cookies ou les identifiants pour mobile sont une obligation légale.
Que dois-je faire si je suis un annonceur et que j'utilise des produits Google sur mon site Web ou dans mon application ?
Si vous utilisez des balises pour des produits publicitaires comme Google Ads ou Google Marketing Platform sur vos pages ou dans votre application, vous êtes tenu d'obtenir le consentement des utilisateurs de l'Espace économique européen, du Royaume-Uni et de la Suisse pour respecter les Règles de Google relatives au consentement de l'utilisateur dans l'UE. Conformément à ces règles, un tel consentement est requis pour les cookies, les identifiants pour mobile ou autre stockage en local lorsque la loi l'exige, ainsi que pour l'utilisation de données à caractère personnel dans des annonces personnalisées, par exemple si des balises de remarketing sont présentes sur vos pages ou dans votre application.
Comment dois-je formuler le contenu de ma bannière de consentement ou de mon mécanisme de recueil du consentement ?
Nous vous encourageons à consulter la checklist ci-dessus afin d'éviter les erreurs courantes et de vous assurer de respecter ces règles lorsque vous implémentez un mécanisme de recueil du consentement ou une bannière de consentement.
Les règles de Google n'imposent pas les options à proposer aux utilisateurs, car le texte de votre notification de consentement dépendra de l'utilisation que vous faites des données (par exemple, si vous utilisez les données pour vos propres besoins ou pour assurer le fonctionnement d'autres services).
Le message demandant le consentement des utilisateurs doit-il suivre un format particulier pour les applications ?
Pour les éditeurs, oui. Les éditeurs Google sont tenus d'adopter une CMP certifiée par Google lorsqu'ils diffusent des annonces personnalisées auprès d'utilisateurs de l'EEE, du Royaume-Uni et de la Suisse.
Les partenaires publicitaires de Google sont tenus d'envoyer à Google des signaux reflétant les préférences de l'utilisateur final via le mode Consentement ou le Transparency & Consent Framework (TCF) pour le trafic de l'EEE. Le CMP Partner Program a été créé pour aider les annonceurs à créer et à configurer des bannières de consentement. Remarque : cette liste de CMP n'est pas exhaustive, et Google n'impose pas aux annonceurs d'utiliser une CMP issue du Programme Partenaire.
Comment les partenaires peuvent-ils choisir leur fournisseur de PGC ?
Pour les partenaires publicitaires, le CMP Partner Program a été créé afin d'aider les annonceurs à créer et à configurer des bannières de consentement. Remarque : cette liste de CMP n'est pas exhaustive. Adopter l'une de ces CMP ne garantit pas la conformité avec les Règles relatives au consentement de l'utilisateur dans l'UE de Google. En effet, la conformité dépend de l'implémentation de la CMP et du message de consentement spécifique que vous adressez aux utilisateurs. (Veuillez consulter la partie "Checklist destinée aux partenaires pour éviter les erreurs courantes lors de la mise en place d'un mécanisme de recueil du consentement" ci-dessus pour plus d'informations.)
Les partenaires éditeurs sont tenus d'adopter une CMP certifiée par Google qui intègre le TCF de l'IAB Europe lorsqu'ils diffusent des annonces personnalisées auprès des utilisateurs basés dans l'EEE, au Royaume-Uni ou en Suisse.
Qui sont les tiers qui collectent les données à caractère personnel des utilisateurs finaux et comment dois-je les identifier ?
De nombreux annonceurs et éditeurs qui utilisent les systèmes publicitaires de Google font appel à des tiers pour diffuser des annonces et mesurer l'efficacité de leurs campagnes publicitaires sur les sites Web et dans les applications. Conformément aux règles, vous êtes tenu de clairement identifier, en plus de Google, chaque partie qui pourrait être amenée à collecter, recevoir et/ou utiliser les données à caractère personnel des utilisateurs finaux parce que vous utilisez des produits Google.
Mon site Web ou mon application ne sont pas basés en Europe. Ces règles s'appliquent-elles ?
Oui, si vous utilisez des produits Google qui intègrent ces règles. Ces règles ne s'appliquent qu'aux utilisateurs finaux basés dans l'EEE, au Royaume-Uni ou en Suisse.
Aucune de mes campagnes en tant qu'éditeur ne cible l'Espace économique européen, ni le Royaume-Uni, ni la Suisse. Suis-je tout de même tenu de recueillir le consentement des utilisateurs ?
Ces règles s'appliquent aux utilisateurs finaux dans l'EEE, au Royaume-Uni et en Suisse. Ces règles ne s'appliquent pas si les services Google ont été supprimés de votre site Web/application pour les utilisateurs de ces pays.
Notre entreprise a une vision différente de la loi et souhaite adopter une autre approche en ce qui concerne l'information et le consentement. Est-ce possible ?
Google s'engage à respecter le RGPD, y compris sa transposition dans la législation britannique, dans tous ses services proposés en Europe. Nos Règles relatives au consentement de l'utilisateur dans l'UE reflètent cet engagement, ainsi que les recommandations des autorités européennes chargées de la protection des données. Bien que les partenaires puissent avoir une interprétation différente des lois, nous exigeons de nos partenaires qu'ils répondent aux attentes de ces règles. Nous continuerons à évaluer la législation et les pratiques du secteur, et nous mettrons à jour nos recommandations et nos exigences en conséquence.
Pourquoi devons-nous obtenir le consentement pour mesurer les performances des annonces ? Ne s'agit-il pas d'un intérêt légitime ?
Pour mesurer les performances des annonces, Google utilise des cookies et différents identifiants d'annonce. Dans les pays où la législation sur la vie privée et les communications électroniques (ePrivacy) s'applique, le consentement est requis pour ces usages. Par conséquent, nos règles exigent de recueillir le consentement pour la personnalisation et le consentement pour la mesure des annonces lorsque des obligations légales existent à cet effet.
Dois-je obtenir le consentement de l'utilisateur avant que les balises d'annonceurs Google soient déclenchées, ou puis-je le recueillir par la suite ?
Pour les annonces personnalisées, et l'utilisation de cookies ou de toute autre méthode de stockage en local lorsque la législation l'impose, vous devez obtenir le consentement avant que les balises d'annonceurs Google ne soient activées sur vos pages Web ou dans vos applications.
Qu'en est-il des outils de suivi des clics ?
Lorsque des annonceurs choisissent de recourir à des technologies tierces de suivi des clics (dont le fonctionnement consiste, en cas de clic sur une annonce, à rediriger le navigateur de l'utilisateur vers un fournisseur tiers de mesure des performances avant d'afficher la page de destination de l'annonceur), ils doivent le faire en respectant la loi applicable. Les paramètres de sélection des fournisseurs que Google propose aux éditeurs ne sont pas conçus pour couvrir les technologies de suivi des clics.
Quels enregistrements dois-je conserver ?
Conformément à nos règles, les clients doivent conserver une trace écrite du consentement. Celle-ci doit, au minimum, contenir le texte affiché et les options proposées aux utilisateurs dans le cadre du mécanisme de consentement, ainsi que l'enregistrement de la date et de l'heure du consentement effectif de l'utilisateur.
Pourquoi la CMP de mon éditeur a-t-elle été jugée non conforme, alors que j'utilise une CMP certifiée qui a également été certifiée par l'IAB ?
L'adoption d'une CMP certifiée ne garantit pas la conformité avec les Règles de Google relatives au consentement de l'utilisateur dans l'UE, car cela dépend de l'implémentation de la CMP et du mécanisme de recueil du consentement spécifique présenté aux utilisateurs. Pour plus d'informations, veuillez consulter la section "Checklist destinée aux partenaires pour éviter les erreurs courantes lors de la mise en place d'un mécanisme de recueil du consentement" ci-dessus.
Pourquoi mon site Web ou mon application sont-ils considérés comme non conformes, alors que j'utilise une CPM partenaire ?
Le CMP Partner Program a été conçu pour aider les partenaires annonceurs à créer et à configurer des bannières de consentement sur les sites Web et dans les applications, et à intégrer le mode Consentement. Travailler avec l'une de ces CMP ne garantit pas la conformité avec les Règles de Google relatives au consentement de l'utilisateur dans l'UE. En effet, la conformité dépend de l'implémentation de la CMP et du message de consentement spécifique que vous adressez aux utilisateurs. Pour plus d'informations, veuillez consulter la section "Checklist destinée aux partenaires pour éviter les erreurs courantes lors de la mise en place d'un mécanisme de recueil du consentement" ci-dessus.
Dois-je respecter ces règles si mes produits utilisent les API Privacy Sandbox ?
Oui. Lorsque vous utilisez des API Privacy Sandbox (Topics, Protected Audience et Attribution Reporting), il se peut que vous utilisiez des données à caractère personnel pour personnaliser les annonces et/ou pour accéder à l'espace de stockage local. Conformément aux Règles relatives au consentement de l'utilisateur dans l'UE, vous devez obtenir le consentement légal de l'utilisateur pour ces actions, comme vous devez le faire actuellement pour personnaliser les annonces et utiliser de l'espace de stockage non essentiel lorsque la législation l'impose. En savoir plus sur la Privacy Sandbox
Pour les annonceurs, un signal de consentement valide (via le TCF ou le mode Consentement) est-il nécessaire pour les utilisateurs basés au Royaume-Uni et en Suisse ?
Non, nous n'attendons pas des annonceurs qu'ils envoient un signal de consentement vérifié à Google pour le trafic enregistré au Royaume-Uni ou en Suisse (que ce soit via le mode Consentement ou le TCF). Remarque : l'exigence concernant l'envoi de signaux de consentement vérifiés s'applique aux annonceurs générant du trafic d'utilisateurs finaux dans l'Espace économique européen (EEE). Nous vous recommandons de travailler avec une CMP partenaire de Google pour obtenir des instructions d'implémentation. Remarque : cette liste de CMP n'est pas exhaustive, et Google n'impose pas aux annonceurs d'utiliser une CMP issue du Programme Partenaire.
Modifications apportées à ces règles
La version initiale des Règles de Google relatives au consentement de l'utilisateur dans l'UE a été mise à jour le 25 mai 2018. À la suite de l'évolution de la relation du Royaume-Uni avec l'Union européenne, nous y avons apporté des modifications mineures le 31 octobre 2019.
En juillet 2024, nous avons modifié les Règles relatives au consentement de l'utilisateur dans l'UE et nous les avons étendues pour inclure la Suisse.
Aucune autre modification de nos règles n'est prévue pour le moment. Toutefois, comme indiqué ci-dessus, nous continuerons à évaluer la législation ainsi que les pratiques du secteur, et nous mettrons à jour nos recommandations et nos exigences en conséquence.