« L’Autorité de protection des données (APD) a jugé que le Transparency and Consent Framework (TCF), développé par l’Interactive Advertising Bureau Europe (IAB Europe), n’est pas conforme à un certain nombre de dispositions du RGPD. Le TCF est un protocole très répandu qui facilite la gestion des préférences des utilisateurs pour les publicités personnalisées en ligne. Il joue un rôle clé dans le Real Time Bidding (RTB) ».
C’est par ces mots que l’APD annonce sa décision concernant le TCF.
Si une chose est sûre, c’est que l’APD n’a pas pris cette décision à la légère : en 139 pages, l’Autorité argumente les raisons pour lesquelles elle estime nécessaire d’imposer à l’IAB Europe une amende de 250 000 euros et une obligation de supprimer les données personnelles non conformes collectées. Le dossier se fonde sur 9 plaintes, dont 4 ont été déposées directement auprès de l’APD, et a été rédigé après consultation des 27 autres autorités de protection des données.
Les principaux arguments de l’APD
Voici les principaux arguments de l’APD pour justifier l’amende, relativement élevée selon les normes belges :
- L’IAB Europe n’est pas un sous-traitant des données personnelles traitées par la TCF, mais le responsable du traitement.
- L’IAB Europe aurait dû désigner un délégué à la protection des données, compte tenu de l’important volume de données à caractère personnel traitées.
- L’IAB Europe aurait dû réaliser une analyse d’impact (DPIA) pour le TCF, en mettant en balance les risques du traitement pour les droits et libertés des personnes concernées avec les principes du RGPD et les mesures techniques et organisationnelles prises pour protéger ces droits et libertés.
- L’IAB Europe n’a pas de registre des opérations de traitement.
- L’IAB Europe ne peut pas démontrer suffisamment que les partenaires avec lesquels elle travaille se conforment au RGPD et peuvent assurer une sécurité suffisante du traitement.
- L’IAB Europe doit garantir de meilleures mesures techniques et organisationnelles pour le traitement des données personnelles.
Qu’en est-il du rôle de l’IAB Europe en tant que responsable du traitement ?
Une partie importante des arguments ci-dessus est liée à l’évaluation de l’APD selon laquelle l’IAB Europe agit en tant que responsable du traitement en ce qui concerne l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs individuels au moyen d’une Transparency and Consent (TC) String unique, qui est liée à un utilisateur identifiable.
On est responsable du traitement lorsque l’on détermine les objectifs et les moyens du traitement. En ce sens, le raisonnement de l’APD est que l’IAB Europe joue effectivement de rôle pour le TFC étant donné que ce dernier a été développé par l’IAB Europe et que l’IAB Europe impose des règles contraignantes aux organisations participantes. Selon les services d’inspection de l’APD, ces règles contraignantes concernent, entre autres, le traitement des données personnelles lors de la collecte et du traitement des opt-ins et des préférences des utilisateurs en ligne, les finalités du traitement et les vendeurs autorisés.
Et maintenant ?
Le fait que l’IAB Europe étudie ses possibilités de faire appel de cette décision ne surprendra personne. L’élément clé qu’elle contestera probablement est qu’elle est responsable du traitement, car les arguments de l’APD seraient largement invalidés s’il était établi qu’elle n’intervient qu’en qualité de sous-traitant.
Dans l’intervalle, l’IAB Europe n’a toutefois que deux mois pour élaborer un plan visant à remédier aux manquements constatés. Certaines mesures simples, comme la nomination d’un délégué à la protection des données et la préparation d’une DPIA, permettraient de gagner la confiance de l’APD, mais ils ne suffiront pas pour garantir une conformité à long terme.
Pour les utilisateurs du TCF, l’issue finale d’une éventuelle procédure d’appel est donc encore incertaine. Étant donné la minutie avec laquelle l’APD a traité ce dossier, un travail important attend l’IAB Europe pour démontrer qu’elle n’est qu’un simple sous-traitant. Si elle ne parvient pas à l’établir, le TCF devra être revu en profondeur.
Postface
Si l’on considère l’arrêt de l’APD ainsi qu’un certain nombre d’autres arrêts, comme celui de l’Autorité autrichienne de protection des données sur Google Analytics et celui de l’Autorité allemande de protection des données sur Google fonts, l’année 2022 semble celle d’une profonde remise en question des traitements basés sur les cookies et les pixels.
Nous conseillons donc à chacun de suivre de près l’actualité du RGPD dans les mois à venir et de porter un regard critique sur sa propre approche de la protection des données. À cet égard, ce dossier se fonde sur un certain nombre d’éléments de base tels que la présence d’une finalité légale valable, le registre des traitements, le délégué à la protection des données et l’élaboration de DPIA. Dans tous les cas, l’UBA fera le nécessaire pour vous tenir informé.