Le système de consentement le plus utilisé en Europe jugé incompatible avec le RGPD

L’autorité belge de protection des données a constaté que la norme du secteur pour la gestion des préférences des utilisateurs en Europe viole plusieurs dispositions du Règlement général sur la protection des données (RGPD), et a demandé aux annonceurs de supprimer les données collectées.

L’autorité belge de protection des données a rendu mercredi (2 février) une décision très attendue, fondée sur une série de plaintes déposées en 2019 contre l’Interactive Advertising Bureau Europe (IAB), l’association professionnelle de la publicité numérique.

Les plaintes portaient sur le Transparency & Consent Framework (TCF) d’IAB Europe, que les annonceurs utilisent pour recueillir les préférences des utilisateurs. Ces préférences sont partagées dans le cadre d’enchères en temps réel qui se déroulent en quelques fractions de secondes pour attribuer des espaces publicitaires.

« Le traitement des données à caractère personnel (par exemple, la saisie des préférences des utilisateurs) dans le cadre de la version actuelle du TCF est incompatible avec le RGPD, en raison d’une violation inhérente du principe de loyauté et de licéité », a déclaré Hielke Hijmans, le président de la chambre des litiges de l’autorité.

Grâce à ce cadre, les utilisateurs sont invités à exprimer leurs préférences via une bannière contextuelle lorsqu’ils visitent un site web. Le TCF stocke cette préférence et la met à la disposition des organisations participant à la vente aux enchères en ligne.

« Les gens sont invités à donner leur consentement, alors que la plupart d’entre eux ne savent pas que leur profil est vendu un grand nombre de fois par jour pour les exposer à des publicités personnalisées », ajoute M. Hijmans.

Les préférences de l’utilisateur sont également stockées sur l’appareil par le biais d’un cookie qui, combiné aux données stockées par le TCF, renvoie à l’adresse IP, un code unique permettant d’identifier l’utilisateur.

L’autorité belge a estimé qu’IAB Europe était un contrôleur de données responsable des violations du RGPD, un point que l’association conteste en affirmant qu’elle n’a fait que soutenir l’industrie dans le développement d’une norme commune.

« La notion de contrôleur semble avoir été élargie à IAB exactement parce qu’elle a conçu le système, et non parce qu’elle traite des données », a déclaré Otto Lindholm, responsable des données et de la confidentialité chez Dottir Attorneys.

« Maintenant, les fournisseurs vont se creuser la tête en se demandant jusqu’où ils peuvent aller dans leur expertise en recommandant des systèmes et des solutions pour leurs clients, sans franchir la ligne floue du contrôle », a noté M. Lindholm.

Pour Charles-Albert Helleputte, responsable de la protection de la vie privée chez Steptoe, la décision « confirme une tendance ; les autorités de surveillance travaillent à explorer une large extension des concepts fondamentaux du RGPD. »

M. Helleputte a fait valoir que la raison, dans ce cas, était opportuniste, car cibler l’organisation normative est probablement plus pratique que de s’attaquer à l’ensemble de l’écosystème.

L’autorité belge a estimé que IAB Europe n’avait pas de base légale pour traiter les données personnelles, et que les motifs légaux pour partager ces données avec les fournisseurs étaient « inadéquats ».

« La DPA a rendu explicite ce que de nombreux observateurs disent depuis un certain temps : les “intérêts légitimes” ne constituent pas une base juridique valable pour le traitement des données personnelles obtenues via des cookies non essentiels », a déclaré à EURACTIV Robert Bateman, directeur de recherche aux GRC World Forums.

M. Bateman a noté que puisque les utilisateurs ne devraient pas être invités à refuser les cookies non essentiels, « cela pourrait être la fin de ces longues listes déroulantes de fournisseurs automatiquement activés par défaut que l’on voit sur de nombreux sites Internet. »

L’association professionnelle ne s’est pas non plus conformée aux obligations d’un processeur de données, comme la tenue d’un registre ou la réalisation d’analyses d’impact.

En outre, l’autorité a estimé que les utilisateurs n’étaient pas suffisamment informés du fonctionnement de la TCF. Ils ont noté que le système n’a pas réussi à préserver la sécurité et la confidentialité des données, violant ainsi l’exigence de « protection des données dès la conception. »

«  La décision d’aujourd’hui libère des centaines de millions d’Européens de demandes de consentement nuisibles et trompeuses. Elle devrait également les protéger de la surveillance illicite exercée par les entreprises technologiques  », a déclaré Johnny Ryan, membre senior du Conseil irlandais pour les libertés civiles (ICCL) et l’un des instigateurs des plaintes.

ICCL a estimé que le TCF représente 80 % de l’internet européen, dont plus de 1 000 entreprises et d’importants annonceurs tels que Google, Amazon et Microsoft. En conséquence de la décision, toutes les données collectées via le TCF seront supprimées.

L’autorité belge de protection des données a imposé à IAB Europe une sanction de 250  000 € et plusieurs mesures correctives pour que le TCF soit conforme au GDPR.

Ces mesures correctives comprennent l’établissement d’une base juridique et le contrôle des organisations participantes pour s’assurer qu’elles sont également conformes aux règles de l’UE en matière de protection de la vie privée.

« Cela pourrait avoir un impact important sur le paysage de la publicité numérique, mais il reste à voir avec quelle efficacité IAB peut garantir que les participants au TCF sont conformes au GDPR », a ajouté M. Bateman.

IAB Europe a maintenant deux mois pour présenter un plan d’action démontrant comment elle se conformera à la décision de l’autorité et six mois pour l’exécuter.

Dans une déclaration, IAB Europe s’est engagé à travailler avec l’autorité belge dans les mois à venir et s’est félicité que la décision n’interdise pas totalement le TCF, comme le demandaient les plaignants.

« Nous envisageons toutes les options en ce qui concerne une contestation judiciaire », ajoute la déclaration.