Ce qu'est le MSPA — et ce qu'il n'est pas

Le MSPA est un cadre privé basé sur un contrat, publié par l'IAB. Ce n'est pas une loi et il ne remplace pas les lois des États. Il s'agit plutôt d'un accord multipartite auquel les participants — éditeurs, agences, régies publicitaires, SSP, DSP et fournisseurs de données — adhèrent afin d'émettre des affirmations juridiques cohérentes sur la façon dont les données personnelles transitent dans la publicité programmatique. Lorsque tous les maillons d'une chaîne signent le même contrat, les prestataires en aval n'ont pas besoin de négocier cinquante accords de traitement de données bilatéraux distincts pour traiter une seule requête d'enchère.

Le MSPA est simultanément trois choses :

• Un contrat qui se propage automatiquement en aval lorsqu'un signataire transmet des données à un autre signataire.
• Un vocabulaire pour exprimer les choix des utilisateurs via des chaînes encodées GPP, incluant les opt-outs pour la vente, le partage, la publicité ciblée et le traitement des données sensibles.
• Un cadre d'allocation des risques qui attribue à chaque signataire l'un des trois rôles — Entreprise couverte, Prestataire de services/Sous-traitant, ou Tiers — ainsi que les obligations correspondantes.

Ce que le MSPA n'est pas : un substitut à votre politique de confidentialité, un remplacement du consentement direct de l'utilisateur là où celui-ci est requis, ou une garantie de conformité avec une loi d'État spécifique. C'est un outil qui, utilisé correctement, rend opérationnellement réalisable la conformité avec plusieurs lois étatiques. Mal utilisé — par exemple, en signalant la participation tout en continuant à partager des données après un opt-out — il accroît votre responsabilité plutôt qu'il ne la réduit.

Qui doit s'en préoccuper : les trois rôles du MSPA

Avant de signer quoi que ce soit, identifiez le rôle que vous jouez réellement. La plupart des éditeurs sont surpris de découvrir qu'ils portent plusieurs casquettes selon le flux de données.

Entreprise couverte

Vous êtes une Entreprise couverte si vous déterminez les finalités et les moyens du traitement des données personnelles d'un utilisateur — généralement l'éditeur qui exploite le site web ou l'application que visite l'utilisateur. En tant qu'Entreprise couverte, vous êtes responsable de la collecte du consentement, de l'affichage des avis, du respect des opt-outs et de la configuration du signal GPP sur lequel les prestataires en aval s'appuient. La charge vis-à-vis de l'utilisateur vous incombe.

Prestataire de services ou Sous-traitant

Vous êtes un Prestataire de services lorsque vous traitez des données personnelles pour le compte d'une Entreprise couverte en vertu d'un contrat et uniquement à des fins limitées et autorisées. La plupart des éditeurs d'outils analytiques, des hébergeurs et des plateformes de gestion du consentement opèrent dans ce rôle. Le MSPA impose des restrictions : pas de vente, pas de publicité comportementale inter-contextuelle pour votre propre compte, et des règles de conservation et de suppression strictement définies.

Tiers

Vous êtes un Tiers lorsque vous recevez des données personnelles d'une Entreprise couverte et les utilisez à vos propres fins — la plupart des SSP, DSP, fournisseurs d'identité et courtiers en données entrent dans cette catégorie. Les Tiers ont les obligations contractuelles les plus lourdes, incluant la gestion directe des droits des utilisateurs et des obligations de flux en aval lorsqu'ils partagent des données avec leurs propres partenaires.

Le MSPA et la Global Privacy Platform (GPP)

Le MSPA n'existe pas dans le vide. C'est la couche contractuelle ; le GPP est la couche de signalisation technique. La Global Privacy Platform de l'IAB Tech Lab encode les choix des utilisateurs en une chaîne unique qui accompagne les requêtes d'enchères via le protocole OpenRTB. Pour la signalisation américaine, le GPP transporte des chaînes de section pour chaque État doté d'une loi complète sur la vie privée — par exemple USCA (Californie), USCO (Colorado), USVA (Virginie), USCT (Connecticut), USUT (Utah), et la chaîne nationale américaine pour les États sans section dédiée.

Le MSPA indique à votre CMP quels champs définir dans ces sections GPP pour revendiquer la couverture. Les champs les plus importants que les éditeurs verront et configureront sont :

• MspaCoveredTransaction — défini sur Yes lorsque l'éditeur affirme que la requête d'enchère est couverte par le cadre MSPA.
• MspaOptOutOptionMode — indique si l'utilisateur s'est vu proposer une option d'opt-out claire conformément aux règles de transparence du MSPA.
• MspaServiceProviderMode — défini lorsque les prestataires en aval doivent traiter les données uniquement en tant que prestataire de services.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — les marqueurs de consentement granulaires que les enchérisseurs lisent pour décider ce qu'ils peuvent faire de l'impression.
• SensitiveDataProcessing — un tableau à plusieurs éléments signalant les choix de l'utilisateur pour l'origine raciale, les croyances religieuses, la santé, l'orientation sexuelle, la citoyenneté, la géolocalisation précise et d'autres catégories sensibles définies par la loi de l'État.

Si votre CMP définit MspaCoveredTransaction = Yes mais que l'éditeur n'a pas effectivement signé le contrat MSPA, vous venez d'émettre une fausse déclaration sur laquelle les signataires en aval vont se fier. C'est un chemin rapide vers un litige contractuel et, selon l'État, une plainte réglementaire.

Données sensibles : le piège que la plupart des éditeurs manquent

Chaque loi étatique américaine sur la vie privée adoptée depuis la Californie a élargi la définition des informations personnelles sensibles, et le MSPA les regroupe dans un champ GPP unifié. Les catégories comprennent généralement :

• Les identifiants gouvernementaux (numéro de sécurité sociale, permis de conduire, passeport).
• Les identifiants de compte et les informations financières.
• La géolocalisation précise, généralement inférieure à 533 mètres.
• L'origine raciale ou ethnique, les croyances religieuses, les diagnostics de santé mentale ou physique.
• La vie sexuelle et l'orientation sexuelle.
• La citoyenneté et le statut d'immigration.
• Les données génétiques et biométriques utilisées pour identifier une personne.
• Les données concernant un enfant connu de moins de 13 ans — et dans certains États, de moins de 16 ans avec des protections supplémentaires.

Plusieurs États exigent un consentement opt-in pour le traitement des données sensibles, tandis que d'autres autorisent le traitement assorti d'un droit d'opt-out. L'encodage GPP du MSPA vous permet d'exprimer l'un ou l'autre, mais votre CMP doit savoir lequel demander en fonction de l'État de l'utilisateur. La mauvaise classification des données sensibles — par exemple, traiter la consultation de contenus liés à la santé comme des données comportementales ordinaires — est le mode d'échec le plus fréquent relevé par les procureurs généraux des États dans les actions coercitives de 2024-2025.

Construire un flux de consentement prêt pour le MSPA

L'implémentation du MSPA sur votre site ou application est un problème de coordination entre les équipes juridiques, techniques et des opérations publicitaires. Le travail se divise en cinq flux de travail approximatifs.

1. Signer le MSPA et maintenir votre statut de signataire

Le MSPA est un vrai contrat que votre conseil juridique doit examiner et exécuter. Vous déclarerez le ou les rôles dans lesquels vous opérez, les États américains où vous exercez vos activités et les catégories de données que vous traitez. Renouvelez annuellement et mettez à jour le portail des signataires de l'IAB Tech Lab dès que votre rôle ou votre juridiction change.

2. Configurer votre CMP pour la logique multi-états

Une seule bannière CCPA ne suffit plus. Votre CMP doit détecter l'État de l'utilisateur — généralement via la géolocalisation IP assortie d'un mécanisme de repli axé sur la vie privée — et afficher les avis, liens et contrôles d'opt-out appropriés pour cette juridiction. FlexyConsent et autres CMP certifiées par Google modernes proposent des modèles multi-états qui mappent État par État vers les bonnes chaînes de section GPP.

3. Injecter les chaînes GPP dans votre stack publicitaire

La chaîne GPP doit être insérée dans chaque requête d'enchère OpenRTB provenant d'un utilisateur américain. Pour les utilisateurs de Google Ad Manager, cela signifie activer la prise en charge du GPP dans les paramètres réseau ; pour les utilisateurs de Prebid, cela signifie installer les modules gppControl_usnat et par État, et vérifier que l'adaptateur consentManagement transmet la chaîne encodée. Testez à l'aide du décodeur GPP de l'IAB Tech Lab pour vérifier l'aller-retour depuis le CMP jusqu'à la requête d'enchère.

4. Respecter le signal Global Privacy Control (GPC)

La plupart des lois étatiques — Californie, Colorado, Connecticut, et une liste croissante — exigent le respect d'un signal GPC au niveau du navigateur en tant qu'opt-out valide. Le MSPA attend des signataires qu'ils détectent le GPC et pré-configurent les champs SaleOptOut, SharingOptOut et TargetedAdvertisingOptOut en conséquence, même avant que l'utilisateur n'interagisse avec la bannière. Si votre CMP ne peut pas détecter le GPC et agir en conséquence, vous êtes hors conformité indépendamment de votre adhésion au MSPA.

5. Auditer les prestataires en aval

La logique de flux en aval du MSPA ne fonctionne que si vos prestataires sont également signataires. Avant d'envoyer des données à un SSP, DSP ou partenaire de données, vérifiez leur statut de signataire dans le portail de l'IAB Tech Lab. Les prestataires non signataires doivent soit être retirés de votre stack publicitaire pour le trafic américain, soit être couverts par des accords de traitement de données bilatéraux distincts qui reproduisent les termes du MSPA.

Erreurs courantes d'implémentation

Plusieurs schémas d'échec reviennent régulièrement lors des audits d'éditeurs :

• Signaler la couverture MSPA sans avoir signé. Définir MspaCoveredTransaction = Yes dans la chaîne GPP alors que l'entité juridique de l'éditeur n'a pas exécuté le MSPA expose l'éditeur à des allégations de fausse déclaration de la part des signataires en aval qui se sont fiés au signal.
• Oublier le Texas, l'Oregon et le Montana. Les éditeurs configurés pour le paysage initial des cinq États passent à côté des lois entrées en vigueur en 2024 et 2025. Chacune a ses propres déclencheurs d'opt-out ; le MSPA les couvre, mais seulement si la logique de détection d'État de votre CMP les inclut.
• Ignorer les signaux de données sensibles dans les contenus d'actualité et de style de vie. Un lecteur d'un article portant sur la santé, la religion ou la communauté LGBTQ peut traiter implicitement des données sensibles. Réalisez un audit de contenu et configurez des remplacements au niveau des catégories dans le CMP.
• Traiter le GPC comme consultatif. Le régulateur californien a clarifié en 2024 que ignorer le GPC constitue une infraction par violation. Le MSPA ne vous protège pas de cela — il dépend de vous pour honorer le GPC.
• Chaînes GPP obsolètes mises en cache en périphérie. La mise en cache CDN ou service worker des pages peut servir à un utilisateur une chaîne GPP périmée d'une session précédente. Désactivez la mise en cache sur le point de terminaison du consentement et ajoutez une étape de récupération fraîche lors du changement de consentement.

Comment le MSPA affecte les revenus publicitaires

Les éditeurs qui implémentent correctement le MSPA constatent généralement des baisses de revenus modestes à court terme suivies d'une stabilisation, tandis que les implémentations bâclées soit sur-contraignent les enchères, soit exposent l'éditeur à un risque d'application. Les variables qui font bouger le curseur :

• Taux d'opt-out — Dans les États avec des liens d'opt-out en évidence, 5 à 15 % des utilisateurs optent généralement pour l'opt-out de la vente ou du partage. Les prix des enchères sur les impressions opt-out chutent généralement de 30 à 60 % car le ciblage comportemental n'est pas disponible.
• Classification du contenu sensible — Classer à tort un contenu ordinaire comme sensible fera s'effondrer la demande. Soyez conservateur et précis dans les catégories.
• Mix de partenaires de header bidding — Les partenaires non signataires du MSPA que vous devez désactiver pour le trafic américain réduisent votre enchère. Remplacez-les par des signataires plutôt que de fonctionner avec une demande plus faible.
• Taggage côté serveur — Un conteneur côté serveur qui lit la chaîne GPP et déclenche conditionnellement des tags est la façon la plus propre de maintenir l'analytique et le consentement synchronisés.

La suite : 2026 et au-delà

Le MSPA est un accord évolutif. L'IAB le met à jour tous les ans ou deux au fur et à mesure que de nouvelles lois étatiques, les orientations des procureurs généraux et les propositions fédérales remodèlent le paysage. Les thèmes à surveiller en 2026 :

• Une éventuelle loi fédérale sur la vie privée qui préempterait partiellement les régimes étatiques — le MSPA inclut une logique de repli préemptive, de sorte que les signataires ne seront pas laissés en plan.
• L'extension du GPP pour couvrir la signalisation spécifique à la santé dans le cadre du Washington My Health My Data Act et des lois analogues.
• Un renforcement de l'application des règles anti-dark-patterns dans les flux d'opt-out par la California Privacy Protection Agency et le procureur général du Texas.
• L'intégration avec les divulgations sur l'entraînement de l'IA et des grands modèles de langage, que plusieurs législatures d'État débattent.

Les éditeurs qui traitent l'implémentation du MSPA comme un projet ponctuel prendront du retard. Traitez-la comme une hygiène opérationnelle continue, détenue conjointement par le juridique, les opérations publicitaires et l'ingénierie produit, et révisée trimestriellement. Les éditeurs qui s'en sortent le mieux en matière de conformité multi-états aux États-Unis ne sont pas ceux qui ont le plus d'avocats — ce sont ceux dont le CMP, le stack publicitaire et les journaux d'audit racontent tous la même histoire quand un régulateur pose des questions.

En résumé

Le MSPA est la réponse pratique à un paysage américain de la vie privée fragmenté. Il ne votera pas de lois à votre place, mais il donnera à votre flux d'enchères, à vos prestataires et à votre équipe juridique un langage commun unique pour les opt-outs, les données sensibles et les obligations en aval. Associez-le à un CMP conscient des États, une signalisation GPP précise et une gestion rigoureuse des prestataires, et vous passerez moins de temps à débattre de juridiction et plus de temps à monétiser les impressions que vous êtes autorisé à monétiser. C'est le seul chemin durable à travers 2026 et la vague de lois étatiques encore en file d'attente derrière elle.