Skip to main content

IAB TCF v2.3 : le guide complet du Transparency and Consent Framework

L'IAB Transparency and Consent Framework (TCF) est une norme sectorielle créée par IAB Europe qui définit la façon dont le consentement est recueilli, stocké et communiqué entre les éditeurs, les annonceurs et les fournisseurs de technologies publicitaires. Si votre site web utilise la publicité programmatique dans l'Espace économique européen, la conformité au TCF n'est pas facultative.

Depuis janvier 2024, Google exige que tous les éditeurs diffusant des publicités auprès d'utilisateurs de l'EEE utilisent une plateforme de gestion du consentement (CMP) enregistrée auprès de l'IAB TCF. Sans elle, la publicité personnalisée est désactivée et les revenus publicitaires chutent de façon significative.

Qu'est-ce que le TCF ?

Le TCF résout un problème de coordination. Lorsqu'un utilisateur visite un site web, des dizaines de fournisseurs de technologies publicitaires peuvent traiter ses données via des enchères en temps réel, du reciblage, des analyses et de la personnalisation de contenu. Chaque fournisseur doit savoir si l'utilisateur a consenti à son type spécifique de traitement de données. Avant le TCF, il n'existait aucun moyen standard de communiquer cette information à travers la chaîne d'approvisionnement des technologies publicitaires.

Le framework définit un langage commun pour le consentement. Une CMP enregistrée auprès du TCF recueille le consentement de l'utilisateur et l'encode dans une TC String (Transparency and Consent String). Cette chaîne est une représentation compacte et standardisée des choix de consentement de l'utilisateur, que tout fournisseur participant peut lire et interpréter.

Historique des versions du TCF

Version Publication Principaux changements
TCF v1.0 2018 Framework initial. Collecte de consentement de base et format de TC String.
TCF v2.0 2019 Ajout de l'intérêt légitime, des finalités spéciales, des fonctionnalités et des restrictions éditeur. Refonte majeure du format de la chaîne de consentement.
TCF v2.2 2023 Suppression de l'intérêt légitime pour la publicité ciblée (finalités 3, 4, 5, 6). Réponse à la pression réglementaire des autorités de protection des données de l'UE.
TCF v2.3 2024 Version actuelle. Ajustements techniques, exigences de divulgation des fournisseurs renforcées et alignement sur les dernières recommandations des autorités de protection des données.

Les 11 finalités du TCF

Le TCF définit 11 finalités de traitement des données. Chaque finalité décrit un type spécifique d'activité qu'un fournisseur peut réaliser avec les données des utilisateurs. Les utilisateurs peuvent consentir à chaque finalité ou la refuser individuellement.

Finalité Description Consentement requis
1Stocker et/ou accéder à des informations sur un appareilOui (toujours)
2Sélectionner des publicités de baseOui
3Créer un profil publicitaire personnaliséOui
4Sélectionner des publicités personnaliséesOui
5Créer un profil de contenu personnaliséOui
6Sélectionner du contenu personnaliséOui
7Mesurer la performance des publicitésOui
8Mesurer la performance du contenuOui
9Appliquer des études de marché pour générer des connaissances sur l'audienceOui
10Développer et améliorer les produitsOui
11Utiliser des données limitées pour sélectionner du contenuOui

Remarque : dans le TCF v2.2 et les versions ultérieures, l'intérêt légitime n'est plus disponible comme base juridique pour les finalités 3, 4, 5 et 6. Ces finalités nécessitent un consentement explicite.

La Global Vendor List (GVL)

La Global Vendor List est un registre central tenu par IAB Europe qui répertorie chaque fournisseur participant au TCF. Chaque fournisseur déclare les finalités et les fonctionnalités qu'il utilise, et s'il s'appuie sur le consentement ou l'intérêt légitime pour chacune d'elles.

Lorsqu'une CMP affiche une interface de consentement, elle extrait les informations sur les fournisseurs de la GVL afin que les utilisateurs puissent voir précisément quelles entreprises traiteront leurs données et à quelles fins. Les utilisateurs peuvent consentir à des fournisseurs individuels ou les refuser, et pas seulement les finalités.

En 2026, la GVL compte plus de 1 200 fournisseurs enregistrés, dont Google, Meta, Amazon et la plupart des grandes entreprises de technologies publicitaires.

La TC String

La TC String est le cœur technique du framework. Il s'agit d'une chaîne encodée en Base64 qui contient l'état complet du consentement de l'utilisateur : les finalités auxquelles il a consenti, les fournisseurs qu'il a approuvés, l'applicabilité de l'intérêt légitime et toutes les restrictions éditeur.

Chaque fournisseur de la chaîne des technologies publicitaires lit cette chaîne pour déterminer quel traitement il est autorisé à effectuer pour cet utilisateur spécifique. La chaîne est stockée dans le navigateur de l'utilisateur (généralement dans un cookie nommé euconsent-v2) et transmise tout au long de la chaîne d'enchères via l'API JavaScript __tcfapi().

L'API JavaScript __tcfapi()

L'API __tcfapi() est une fonction JavaScript standardisée que les CMP doivent implémenter. Elle permet à n'importe quel script de la page d'interroger l'état actuel du consentement. Les balises publicitaires, les scripts d'analyse et les wrappers de header bidding utilisent tous cette API pour vérifier s'ils ont l'autorisation de traiter des données.

Parmi les commandes clés :

  • getTCData : renvoie la TC String actuelle et les données de consentement analysées.
  • addEventListener : enregistre une fonction de rappel pour les changements d'état du consentement.
  • ping : vérifie si la CMP est chargée et prête.

Prebid.js, Google Publisher Tags (GPT) et la plupart des grands SDK de technologies publicitaires appellent automatiquement __tcfapi() pour récupérer le consentement avant de lancer des demandes d'enchères ou de déclencher des pixels.

Messagerie inter-frames

Les emplacements publicitaires s'exécutent souvent dans des iframes sur un domaine différent de celui de la page de l'éditeur. Ces iframes ne peuvent pas accéder directement à la fonction __tcfapi() de la page parente en raison des restrictions de la politique de même origine des navigateurs.

Le TCF résout ce problème grâce à un protocole de messagerie inter-frames. La CMP crée une iframe portant un nom spécifique (__tcfapiLocator) qui sert de relais de messages. Les scripts de fournisseurs situés dans les iframes publicitaires envoient des requêtes postMessage à cette iframe locator, qui les transmet à la CMP et renvoie les données de consentement.

Ce mécanisme est essentiel au bon fonctionnement de la publicité programmatique avec le consentement. Sans lui, les emplacements publicitaires dans les iframes n'auraient aucun moyen de vérifier l'état du consentement.

Le TCF et Google

Depuis janvier 2024, Google exige que les éditeurs diffusant des publicités auprès d'utilisateurs de l'EEE utilisent une CMP certifiée par Google qui implémente l'IAB TCF v2.3. Cette exigence s'applique à Google Ads, AdSense, Ad Manager, AdMob et DV360.

Google exige également le Consent Mode v2 en complément du TCF. Le Consent Mode gère les propres balises de Google (Analytics, Ads), tandis que le TCF gère l'écosystème plus large des technologies publicitaires. Les deux sont nécessaires pour une conformité complète.

Sans une CMP conforme au TCF, Google ne diffusera pas de publicités personnalisées auprès des utilisateurs de l'EEE, ce qui entraîne des revenus publicitaires nettement plus faibles.

Le TCF et Passiro

Passiro est enregistré auprès d'IAB Europe sous le CMP ID 499, avec une prise en charge complète de l'IAB TCF v2.3 incluse dans son widget de consentement gratuit. Cela comprend la génération de la TC String, l'API JavaScript __tcfapi(), la messagerie inter-frames via l'iframe __tcfapiLocator, l'intégration de la Global Vendor List v3, le consentement par fournisseur, l'opposition à l'intérêt légitime et les restrictions éditeur.

La plupart des CMP concurrentes facturent 30 à 40 EUR par site et par mois pour la prise en charge du TCF. Passiro l'inclut gratuitement, sans limite de pages, sans limite de trafic et sans restriction de fonctionnalités sur la gestion du consentement.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement