Recevez chaque jour toute l'actualité du numérique

x

Le standard pour la publicité en ligne "Transparency and Consent Framework" viole le RGPD

L'Autorité de protection des données belge juge que le standard pour la publicité en ligne "'Transparency and Consent Framework" n'est pas conforme au RGPD. L'IAB Europe, qualifié de responsable de traitement, écope d'une amende de 250 000 euros et a deux mois pour mettre ce standard en conformité. Les conséquences de cette décision sont potentiellement énormes puisque le TCF est utilisé par la majorité des acteurs de la chaîne publicitaire. L'organisation bruxelloise peut faire appel.
Twitter Facebook Linkedin Flipboard Email
×

Le standard pour la publicité en ligne Transparency and Consent Framework viole le RGPD
Le standard pour la publicité en ligne "Transparency and Consent Framework" viole le RGPD © Thomas Lefebvre/Unsplash

C'est une décision majeure qui vient d'être rendue par l'Autorité de protection des données belge (ADP). Elle a estimé ce mercredi 2 février que le Transparency and Consent Framework (TCF), un standard élaboré par l'Interactive Advertising Bureau (IAB) Europe, viole plusieurs dispositions du Règlement général sur la protection des données (RGPD). Le contrevenant se voit infliger une amende de 250 000 euros et a désormais deux mois pour présenter un plan d'action visant à mettre ses activités en conformité. 

Un standard largement utilisé
Ce jugement est très important car le TCF est un standard de recueil du consentement sur lequel sont basées ce que l'on appelle les fenêtres contextuelles, ou "pop-up", qu'utilisent un très grand nombre de sites web. Développé par l'IAB Europe, une organisation de lobbying regroupant la majorité des acteurs de la publicité sur Internet, il vise à favoriser le respect du RGPD par les acteurs utilisant le protocole OpenRTB.

OpenRTB est l'un des protocoles les plus utilisés pour le "Real-Time Bidding", c'est-à-dire les enchères en ligne automatisées et instantanées des profils utilisateurs pour la vente et l'achat d'espaces publicitaires sur Internet. En pratique, lorsque des utilisateurs accèdent à un site Internet ou à une application qui contient un espace publicitaire, les entreprises technologiques, qui représentent des milliers d'annonceurs, peuvent enchérir instantanément "en coulisse" pour cet espace publicitaire via ce système automatisé d'enchères afin d'afficher des publicités ciblées spécifiquement adaptées au profil de ces personnes.

Lorsque des internautes visitent un site web ou utilisent une application pour la première fois, une plateforme de gestion du consentement (Consent Management platform ou CMP) fait apparaître une fenêtre leur permettant de consentir à la collecte et au partage de leurs données ou de s'opposer à différents types de traitements. C'est là qu'intervient le TCF : il facilite l'enregistrement des préférences des utilisateurs via la CMP. Ces dernières sont "codées" et stockées dans une "TC string" qui sera partagé avec les acteurs participant au système OpenRTB.

L'IAB Europe tente de rassurer depuis plusieurs mois 
L'IAB Europe avait décidé de se défendre avant même que le verdict ne tombe. "Nous tenons donc à rassurer nos membres ainsi que l'ensemble du secteur : le projet de décision ne remet pas en cause le bien-fondé du TCF mais précise la responsabilité de l'IAB Europe en tant qu'administrateur de ce standard (...)", écrivait l'organisation basée à Bruxelles ans un communiqué publié en novembre dernier.

Elle arguait qu'elle n'était pas responsable de traitement au sens du RGPD et n'était donc pas responsable de la conformité du TCF à ce texte. Un argument rejeté par l'ADP qui affirme bien que l'organisation est responsable du traitement et non pas simple "administrateur" en ce qui concerne "l'enregistrement du consentement, des objections et des préférences des utilisateurs individuels au moyen d'une Transparency and Consent (TC) String unique qui est liée à un utilisateur identifiable". 

Pas de base légale, absence d'information...
Ainsi, l'autorité belge a relevé une série de violation. Premièrement, l'IAB Europe n'a pas mentionné de base légale pour traitement de la TC string et les fondements juridiques offerts par le TCF pour le traitement ultérieur par les fournisseurs adtech sont insuffisants. De plus, les informations fournies aux utilisateurs via l'interface CMP sont trop génériques et trop vagues pour leur permettre de comprendre la nature et la portée du traitement, particulièrement eu égard à la complexité du TCF.

Par ailleurs, l'autorité relève l'absence de mesures techniques et organisationnelles permettant de garantir l'exercice effectif des droits des personnes et de contrôler la validité et l'intégrité des choix des utilisateurs. Enfin, l'organisation bruxelloise n'a pas tenu de registre des activités de traitement, n'a pas désigné de délégué à la protection des données (DPA) et n'a pas réalisé d'une analyse d'impact relative à la protection des données (AIPD) .

Au-delà de la sanction pécuniaire, l'IAB Europe doit prendre une série de mesures correctives. La première vise à établir une base légale valable pour le traitement et la diffusion de préférences d'utilisateurs dans le contexte du TCF. La seconde est d'effectuer un contrôle strict des organisations participantes afin de s'assurer qu'elles respectent bien le RGPD. L'IAB Europe peut faire appel. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.