L’autorité belge de protection des données (APD) a sanctionné l’association IAB EUROPE, car le standard qu’elle a créé et qui est utilisé par la quasi-totalité des sites Internet pour gérer le consentement des internautes n’est pas conforme au RGPD.

L’association qui « travaille à la standardisation de l’industrie de la publicité »[1] a conçu, en 2017, un ensemble de règles permettant aux sites Internet de gérer le consentement des internautes conformément au RGPD entré en application en 2018. Cet ensemble de règles se nomme « Transparency and Consent Framework » ou TCF.

Le TCF consiste à générer une chaîne de caractères, appelée « TC String », contenant les choix de l’internaute relatifs à l’utilisation de ses données personnelles, c’est-à-dire la liste des traitements auxquels il consent et ceux auxquels il s’oppose. Cette chaîne est ensuite, d’une part, stockée sur l’appareil de l’utilisateur, dans un cookie par exemple, pour permettre au site de mémoriser les préférences de l’utilisateur et, d’autre part, partagée avec tous les acteurs de la chaîne publicitaire, notamment ceux participant aux enchères en temps réel[2] d’espaces publicitaires, pour leur permettre de comprendre les préférences de l’utilisateur et de savoir s’ils sont autorisés à traiter les données personnelles de l’internaute.

Concernant cette « TC String », la Commission belge de protection des données a rappelé que la notion de données à caractère personnel correspondait à « toute information se rapportant à une personne physique identifiée ou identifiable »[3] et qu’il est nécessaire de « tenir compte de tous les moyens dont on peut raisonnablement supposer qu’ils seront utilisés soit par le responsable de traitement, soit par toute autre personne, pour identifier la personne physique directement ou indirectement ».

En tenant compte de cette « interprétation large », la Commission belge a estimé que cette « TC String » devait, par conséquent, être considérée comme une donnée à caractère à personnel, car IAB EUROPE était en mesure d’identifier l’internaute auquel sont rattachées les préférences, pas directement, mais avec l’aide des autres acteurs qui sont, d’après les règles du TCF, « tenus de communiquer à [IAB EUROPE], sur simple demande, les informations permettant d’identifier les utilisateurs ». La Commission note, par ailleurs, que ces autres acteurs peuvent, par exemple, obtenir l’adresse IP des internautes lorsqu’ils échangent avec eux. Cette adresse est considérée comme une donnée personnelle et peut être utilisée pour identifier l’auteur d’une « TC String ».

Concernant la responsabilité d’IAB EUROPE dans l’échange de cet « TC String »,, la Commission belge a rappelé que le « responsable de traitement » était l’entité qui, « seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »[4] et que cette notion devait, encore une fois, être interprétée de manière large, comme l’a déjà fait la jurisprudence européenne[5]. La Commission précise également qu’une entité « ne doit pas nécessairement traiter elle-même les données à caractère personnel » pour être considérée comme responsable de traitement.

Dans le cas du TCF, la Commission estime qu’IAB EUROPE doit être considérée comme responsable du traitement de cette « TC String », car les finalités ont été définies dans les règles créées par IAB EUROPE et car les moyens sont également définis dans ces mêmes règles. Cette décision est également motivée par le fait que les autres acteurs participant à ce système doivent non seulement s’enregistrer auprès de IAB EUROPE, mais aussi payer une redevance annuelle de 1 200 euros à IAB EUROPE et respecter les règles imposées par IAB EUROPE. C’est le cas, par exemple, des entreprises qui proposent des plateformes de gestion de consentement (CMP), s’ils souhaitent générer une de ces « TC String » et partager cette chaîne avec les autres acteurs.

De plus, cette « TC String » peut être stockée par les CMP, dans certains cas, dans un cookie associé au domaine « consensu.org » appartenant à IAB EUROPE, ce qui démontre, selon la Commission belge, que « la responsabilité d’IAB EUROPE va au-delà de la simple conception d’un cadre ». La Commission belge estime cependant qu’IAB EUROPE n’est pas seule responsable de ce traitement. Les autres acteurs participant au TCF et inscrits auprès d’IAB EUROPE doivent également être considérés comme des responsables de traitement conjoints.

Concernant les manquements de cette « TC String » au RGPD, la Commission belge estime que son traitement est illicite et ne repose sur aucune base légale, car les utilisateurs ne consentent pas à un tel traitement et car IAB EUROPE ne peut pas justifier d’un intérêt légitime étant donné que les utilisateurs ne reçoivent aucune information et n’ont pas la possibilité de s’y opposer. Par ailleurs, la Commission note qu’aucune mesure technique ou organisationnelle ne permet d’assurer l’intégrité de cette « TC String ». IAB EUROPE se contente simplement d’indiquer, dans ses règles, que les organismes ne doivent pas les générer ou les modifier sans autorisation.

Concernant les manquements du TCF au RGPD, la Commission belge a estimé que le consentement obtenu par les CMP en appliquant les règles du TCF d’IAB EUROPE ne correspond pas à une volonté « libre, spécifique, éclairé[e] et univoque de leur part »[6], car :

  • les douze finalités définies par IAB EUROPE et proposées par les CMP aux utilisateurs ne sont pas suffisamment claires et peuvent même être, dans certains cas, « trompeuses » ;
  • les catégories de données collectées ne sont pas communiquées aux utilisateurs ;
  • l’identité des responsables de traitement de données est « particulièrement difficile » à obtenir ;
  • les destinataires des données sont « sont si nombreux que les utilisateurs auraient besoin d’un temps disproportionné pour lire ces informations » ;
  • les informations communiquées sont « trop générales » et ne reflètent pas les traitements réels des organismes ;
  • les opérations d’enrichissement des données réalisées par les organismes ne sont pas expliquées aux utilisateurs ;
  • le système permettant aux utilisateurs de retirer leur consentement n’est pas immédiat, mais intervient uniquement lorsque l’organisme récupère les nouvelles préférences de consentement des utilisateurs ;

De plus, la Commission belge estime que les organismes participant aux TCF ne peuvent pas recourir à l’intérêt légitime pour justifier un traitement de données, car les informations communiquées aux utilisateurs ne sont pas suffisamment spécifiques et car aucune mesure ne permet de garantir que seules les données nécessaires au traitement sont traitées.

Enfin, la Commission reproche divers autres manquements à IAB EUROPE comme le fait de ne pas avoir établi un registre des activités de traitement, de ne pas avoir réalisé une analyse d’impact ou de ne pas avoir désigné un délégué à la protection des données.

Une amende de 250 000 € a été prononcée contre IAB EUROPE ainsi que l’obligation de mise en conformité.

Lire :

Ma réaction à cette décision

Une personne de bonne foi ne peut pas prétendre que les internautes qui « consentent » à une bannière de consentement sur un site Internet ont la moindre idée du traitement réel qui est effectué sur leurs données, car les explications données sont trop vagues, trop nombreuses et souvent incompréhensibles. À vrai dire, les éditeurs qui mettent en place ces bannières et qui partagent les données des internautes avec quelques centaines de sociétés différentes ne comprennent pas mieux le sort des données de leurs internautes. Ils se moquent du traitement réellement effectué. Leur objectif est de partager les données avec un maximum d’entreprises afin d’en tirer un bénéfice maximum, peu importe les conséquences de ce traitement sur les personnes et sur la société en général, chaque éditeur voit son profit personnel.

Le (beau) travail de la Commission belge confirme une partie de ce constat. Les internautes ne comprennent pas le traitement réellement effectué, même s’ils le voulaient. Les informations sont trop vagues et trop nombreuses, bref, incompréhensibles.

Cette décision remet simplement en cause la légalité de la quasi-totalité des bannières de consentement sur Internet. Elle met également un terme au système élaboré par l’association IAB Europe, car il ne permet pas de satisfaire aux exigences du RGPD. Pas étonnant, étant donné que le système a été conçu par une association qui « a pour mission principale de promouvoir le secteur du marketing et de la publicité digitale ». On peut cependant se demander pourquoi un tel système n’a pas été audité en amont par les autorités compétentes. Il aura fallu attendre qu’il soit utilisé par la très grande majorité du Web avant de se rendre compte qu’il n’était pas conforme. Espérons que le système de remplacement d’IAB Europe le sera et qu’on ne fera pas la même erreur une seconde fois.

Enfin, j’aimerais saluer le travail et la détermination des associations de consommateurs, notamment l’ONG polonaise Panoptykon et l’ONG néerlandaise Bits of Freedom, qui sont à l’origine de cette décision. Sans leurs travaux préparatoires et leurs analyses, cette décision n’aurait probablement jamais existée.

Appel de cette décision par IAB Europe

IAB Europe a fait appel de la décision. Suite à cet appel, la Cour belge (Market Court) a décidé, le 7 septembre 2022, de demander à la CJUE de répondre à certaines questions précises, qui pourraient se résumer à :

  • Est-ce que la TC String constitue une donnée à caractère personnel ?
  • Est-ce que IAB Europe doit être considéré comme responsable de traitement ?

Lire :

Notes et références

  1. L’association IAB Europe « travaille à la standardisation de l’industrie de la publicité interactive » selon ses propres termes (source : iabfrance.com).
  2. L’organisation IAB Tech Lab, qui est, d’une certaine façon, la maison mère américaine d’IAB Europe, a également conçu un standard pour les enchères en temps réel d’espaces publicitaires. Ce standard est appelé « Open Real-time Bidding » ou « OpenRTB ».
  3. Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source : RGPD, article 4-1). Voir « Comment savoir si une donnée est à caractère personnel ? ».
  4. Le RGPD définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (source : RGPD, article 4-7).
  5. La CJUE a affirmé que la notion de « responsable » devait avoir une « définition large » pour « [assurer] une protection efficace et complète des personnes concernées » (source : CJUE, affaire C-25/17, 10 juillet 2018, Témoins de Jéhovah, §66).
  6. Le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (source : RGPD, article 4-11).

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • CMP : Content Management Platform
  • CJUE : Cour de justice de l'Union européenne