IAB Europe se voit infliger une amende par la DPA belge pour violation du GDPR

Qu'est-ce que l'IAB Europe ?

L'IAB (Interactive Advertising Bureau) Europe est une association de marketing et de publicité numériques composée d'IAB nationaux, de sociétés de médias, d'entreprises technologiques et d'agences de marketing et de publicité. Sa mission est de promouvoir la collaboration entre les responsables politiques et le secteur de la publicité et du marketing, afin de créer des normes et des pratiques applicables à l'ensemble du secteur qui favorisent le développement commercial dans toute l'Europe.

Qu'est-ce que le cadre de transparence et de consentement (TCF) ?

L'une de leurs plus grandes réalisations est la création et la mise en œuvre du TCF. Ils le décrivent comme "la seule solution de consentement GDPR construite par le secteur pour le secteur, créant une véritable approche standard du secteur."

Fondamentalement, le TCF crée un environnement dans lequel les propriétaires de sites web peuvent informer les visiteurs des types de données personnelles collectées, de la manière dont les données seront traitées et utilisées, et des autres tiers qui y ont accès. Le TCF donne également aux professionnels un langage commun à utiliser lorsqu'ils fournissent des informations sur le consentement éclairé concernant la collecte de données personnelles.

L'objectif était de contribuer à garantir que toutes les personnes impliquées dans le processus de marketing et de publicité numériques soient conformes au GDPR et à ePrivacy lorsqu'elles traitent des données personnelles ou stockent des informations sur des appareils par l'utilisation de cookies, d'identifiants et d'autres technologies de suivi.

Cela a été particulièrement important pour les entreprises qui utilisent le protocole OpenRTB - l'un des protocoles d'enchères en temps réel les plus utilisés, important pour les annonceurs qui enchérissent sur des espaces publicitaires sur des sites web. Les utilisateurs quotidiens ne sont souvent pas conscients de ces protocoles et algorithmes, qui les ciblent et contrôlent les processus en coulisse, mais ils connaissent bien les fenêtres pop-up. Ces pop-ups ou bannières - généralement gérées par des plateformes de gestion du consentement (CMP) - permettent aux utilisateurs de consentir à la collecte et à l'utilisation de leurs données personnelles. Le TCF aide à saisir, par l'intermédiaire de la CMP, les préférences des utilisateurs.

Ensuite, les préférences sont stockées dans une chaîne TC qui peut être partagée avec d'autres organisations dans le système OpenTRB. Cette chaîne, ainsi que les cookies, sont liés à l'adresse IP d'un utilisateur, ce qui permet de l'identifier.

L'affaire contre IAB Europe

Depuis 2019, l'APD belge a reçu de nombreuses plaintes contre IAB Europe, spécifiques au TCF et à la façon dont il viole le GDPR. Juste cette semaine, ils ont conclu l'affaire et ont accepté les arguments des plaintes.

Sur la base de l'utilisation du TCF, la DPA a déclaré qu'IAB Europe "agit en tant que contrôleur de données en ce qui concerne l'enregistrement du signal de consentement, des objections et des préférences des utilisateurs individuels au moyen d'une chaîne unique de transparence et de consentement (TC), qui est liée à un utilisateur identifiable". Cela signifie qu'ils sont liés par le GDPR et responsables de toute violation. Ils ont ensuite énuméré diverses infractions au GDPR :

• Licéité : IAB Europe n'a pas établi de base juridique pour le traitement du TC String.
• Transparence : Les informations fournies par le CMP sont trop génériques et vagues, ce qui rend difficile pour les utilisateurs d'avoir le contrôle de leurs données personnelles.
• Responsabilité et sécurité : Il n'y a pas de mesures organisationnelles ou techniques conformes à la protection des données par conception et par défaut.
• Autres obligations : IAB Europe n'avait pas nommé de DPD, ni réalisé d'évaluation d'impact sur la protection des données (DPIA), ni tenu un journal des activités de traitement.

Sur la base de ces constatations, l'autorité belge de protection des données a infligé une amende de 250 000 euros à IAB Europe, tout en lui donnant deux mois pour élaborer un plan d'action visant à remédier à ces infractions et six mois pour le mettre en œuvre. La DPA a également déclaré qu'IAB Europe devait, sans délai, supprimer toutes les données des utilisateurs qui ont été traitées dans le cadre du système TCF actuel.

IAB Europe prévoit de faire appel de cette décision, déclarant au magazine Forbes: "Nous rejetons la conclusion selon laquelle nous sommes un contrôleur de données dans le contexte du TCF. Nous pensons que cette conclusion est erronée en droit et qu'elle aura des conséquences négatives importantes et involontaires allant bien au-delà du secteur de la publicité numérique. Nous envisageons toutes les options en ce qui concerne une contestation judiciaire."

L'impact de la décision de l'autorité belge de protection des données

Tout comme la décision de l'autorité autrichienne de protection des données contre Google Analytics, la récente décision belge aura des effets considérables en Europe et aux États-Unis.

Comme l'a déclaré Hielke Hijmans, président de la chambre des litiges de l'autorité belge de protection des données, "le traitement des données à caractère personnel (par exemple, la saisie des préférences des utilisateurs) dans le cadre de la version actuelle du TCF est incompatible avec le GDPR, en raison d'une violation inhérente du principe d'équité et de légalité. Les personnes sont invitées à donner leur consentement, alors que la plupart d'entre elles ne savent pas que leur profil est vendu un grand nombre de fois par jour afin de les exposer à des publicités personnalisées. Bien qu'elle concerne le TCF, et non l'ensemble du système d'enchères en temps réel, notre décision d'aujourd'hui aura un impact majeur sur la protection des données personnelles des internautes. L'ordre doit être rétabli dans le système TCF afin que les utilisateurs puissent reprendre le contrôle de leurs données."

Basée sur le mécanisme du guichet unique, cette décision prise en Belgique est immédiatement exécutoire dans toute l'UE. Actuellement, environ 80 % de l'internet européen repose sur le TCF, selon le Conseil irlandais pour les libertés civiles. La décision de sanctionner l'IAB Europe et de limiter l'utilisation du TCF, ainsi que l'obligation de supprimer toutes les données actuelles, auront un impact sur les éditeurs, les annonceurs, les entreprises technologiques et les grandes entreprises technologiques comme Google et Amazon.

De nombreux annonceurs cherchent un moyen d'aller de l'avant, mais pour les éditeurs et les propriétaires de sites Web, les prochaines étapes pourraient consister à mettre en œuvre des options sans cuisson qui ne suivent plus les adresses IP, ne stockent plus de données sur les appareils des utilisateurs ou exigent des préférences de consentement par le biais de CMP.

Chez Visitor Analytics, nous construisons tout avec un état d'esprit axé sur la protection de la vie privée, ce qui signifie que notre produit est conforme au GDPR/CCPA et capable de fonctionner sans l'exigence de cookies, de bannières de consentement ou de stockage de données.