Publicité en ligne : Le Transparency & Consent Framework, le standard de l'IAB, violerait le RGPD

Le TCF, un standard sur lequel se basent les pop-up, ne serait pas conforme au RGPD. C'est l'IAB Europe, l'organisation européenne créatrice du TCF, qui l'annonce avant le verdict final de l'autorité de protection des données belge. Une façon de rassurer les acteurs de la publicité en ligne, car l'IAB promet de pouvoir se mettre en conformité dans les six mois suivant la publicité de la décision finale.

Publicité en ligne : Le Transparency & Consent Framework, le standard de l'IAB, violerait le RGPD © Picjumbo/Pixabay

Le Transparency & Consent Framework (TCF) violerait le Règlement général sur la protection des données (RGDP). C'est le principal concerné, soit l'International Advertising Bureau (IAB) Europe, qui annonce cette conclusion par voie de communiqué citant une future décision de l'autorité de protection des données belge (APD).

Le TFC est un standard de recueil du consentement initié par l'IAB Europe, une organisation regroupant la majorité des acteurs de la publicité sur Internet. C'est la norme sur laquelle sont basées ce qu'on appelle les fenêtres contextuelle, ou "pop-up". 

"Le projet de décision devrait qualifier l'IAB Europe comme responsable de traitement des 'TC Strings', les signaux digitaux permettant la mémorisation et la propagation des choix des utilisateurs concernant l'utilisation des données personnelles pour des finalités liées à la publicité, au contenu et à la mesure d'audience", détaille l'IAB Europe dans son communiqué publié le 5 novembre 2021.

L'autorité belge mène l'enquête
Pour comprendre cette affaire, il convient de revenir quelques mois en arrière. Saisie de plusieurs plaintes, la Cnil belge a lancé une enquête sur la conformité du TCF au RGPD. Dans un rapport publié en octobre 2020, elle a conclu que le TCF n'était pas conforme au texte européen car il permettait la collecte et l'utilisation des données personnelles même si elles n'ont pas été autorisées par l'utilisateur. Elle doit désormais publier son verdict final. 

En réalité, la décision finale de non conformité pourrait ne pas sortir avant 2022 car la procédure en cours est loin d'être finie. En effet, la conclusion de l'APD doit encore être partagée à ses homologues européens qui auront 30 jours pour l'examiner et déposer des objections. Si les autorités ne s'accordent pas, le Comité européen de la protection des données sera chargé de trancher la question. 

L'IAB tente de calmer le jeu avant le verdict final
Mais l'IAB préfère prendre de l'avance avant que la décision ne sorte et calmer le jeu auprès des acteurs de la publicité qui utilisent le TCF. "Nous tenons donc à rassurer nos membres ainsi que l'ensemble du secteur : le projet de décision ne remet pas en cause le bien-fondé du TCF mais précise la responsabilité de l'IAB Europe en tant qu'administrateur de ce standard (...)", écrit l'organisation basée à Bruxelles. 

Une décision de non conformité est loin d'être anodine car le TCF est un standard qui propose des solutions pour transmettre l'information sur le statut du consentement aux différents acteurs de la chaîne publicitaire. Il est principalement utilisé par les éditeurs pour recueillir et partager le consentement et les vendors pour connaître les traitements de données qui leurs sont possibles en fonction du choix de l'utilisateur. Google, réticent à l'origine, a finalement adopté la V2 du TCF en juillet 2020. 

L'IAB assure pouvoir se mettre en conformité dans les six mois
Pas d'inquiétude, assure l'IAB Europe, car "les infractions au RGPD" peuvent "être corrigées dans les six mois suivant la publicité de la décision finale par le biais d'un plan d'action supervisé par l'APD et exécuté par l'IAB Europe". Il reste à voir si ce futur "plan" permettra réellement de rendre le TCF conforme au texte européen. 

De son côté, l'un des plaignants, l'Irish Council for Civil Liberties, une organisation irlandaise à but non lucratif dédiée à la protection des droits fondamentaux, s'est réjouie de cette décision. Dans un communiqué, elle déclare : "Nous avons gagné. Il a été constaté que le secteur de la publicité en ligne et son organisme professionnel IAB Europe ont privé des centaines de millions d'Européens de leurs droits fondamentaux".