À propos du jugement
Le 2 février 2022, l’autorité belge de protection des données (APD) a rendu une décision sur IAB Europe et le cadre de transparence et de consentement (TCF).
Récapitulons rapidement ; qui est IAB, et qu’est-ce que le TCF ?
- IAB Europe est l’association européenne de l’écosystème du marketing et de la publicité numérique. Son objectif est de diriger la représentation politique et d’encourager la collaboration de l’industrie pour établir des cadres, des normes et des programmes industriels afin d’aider les entreprises à réussir sur le marché européen.
- Le TCF est une norme volontaire open-source lancée en avril 2018 par l’IAB Europe pour aider les entreprises de l’écosystème de la publicité numérique dans leurs tentatives de mise en conformité avec la réglementation européenne en matière de protection de la vie privée et des données. En d’autres termes, le TCF fournit un processus standard pour obtenir le consentement de l’utilisateur soumis au RGPD et signaler ces préférences de consentement à travers la chaîne d’approvisionnement publicitaire (vous pouvez lire les politiques du cadre ici).
L’APD a considéré que certaines caractéristiques du TCF n’étaient pas conformes au RGPD et a statué que :
1) La TC String est une donnée personnelle
Les TC Strings sont les signaux numériques créés par les plateformes de gestion des consentements (CMP). Ces signaux permettent aux éditeurs (personnes qui monétisent le contenu de leur site/application) de saisir les choix des personnes concernées pour le traitement de leurs données personnelles à des fins de publicité numérique, de contenu et de mesure. Les vendeurs peuvent recevoir ces signaux directement des CMP ou d’autres participants au TCF pour vérifier qu’ils ont obtenu le consentement ou l’intérêt légitime pour une fin particulière.
2) L’IAB Europe est un
responsable du traitement de données pour la TC String et donc
3) L’IAB n’a pas établi de base juridique pour le traitement des TC Strings
À la suite de ces constatations, plusieurs mesures correctives ont été imposées.
Impact sur le TCF
- Interdire l’utilisation des intérêts légitimes comme base juridique du traitement.
- Exiger des CMP qu’elles adoptent une approche encore plus harmonisée et conforme au RGPD en matière de communication d’informations aux utilisateurs.
- Assurer « la conformité du TCF avec les obligations d’intégrité et de sécurité ».
Impact sur l’IAB
- Une sanction de 250 000,00 euros
- Établir une base juridique pour le traitement de la chaîne de caractères TC
- Supprimer les données personnelles collectées en sa qualité de responsable du traitement de la TC String établie dans le contexte de champ d’application globale
Qu’est-ce que le champ d’application globale ?
La politique TCF permettait auparavant d’établir des bases juridiques à l’intérieur du cadre avec un « champ d’application globale », ce qui signifiait qu’une base juridique, par exemple le consentement, pouvait être applicable non seulement au site web où elle a été obtenue, mais aussi à tous les autres sites web qui appliquent également des préférences de champ d’application globale. Même si le consentement, dans cet exemple, n’a pas été obtenu directement sur les autres sites web.
La suppression de la prise en charge du champ d’application globale a été annoncée le 22 juin 2021, en raison de l’utilisation relativement négligeable du champ d’application globale par les éditeurs et de l’indication par plusieurs autorités de protection des données que les utilisateurs devraient être clairement informés des propriétés numériques auxquelles leurs choix s’appliquent, par exemple en recevant une liste de domaines.
- L’IAB doit tenir un registre des activités de traitement, réaliser une analyse d’impact relative à la protection des données et désigner un DPD.
L’APD belge a-t-elle déclaré le TCF illégal ?
Non. Le jugement de l’APD n’a pas interdit le TCF, et ne suggère pas non plus que l’écosystème de la publicité numérique ne devrait pas utiliser le consentement pour se conformer aux exigences légales du cadre de protection des données de l’UE.
Au lieu de cela, l’APD a demandé à l’IAB Europe de proposer des mesures correctives, notamment la fourniture d’une fonctionnalité de conformité supplémentaire.
Mon risque de non-conformité est-il plus élevé en utilisant le TCF ?
En principe non, en considérant les points suivants :
- La décision elle-même ne conclut pas à l’illégalité de l’utilisation de TC Strings ou plus largement du TCF ;
- La décision n’a pas conclu que les vendeurs, éditeurs ou CMP adhérant au TCF collectent automatiquement des données personnelles en violation du RGPD. En d’autres termes, toute constatation d’infraction par un éditeur, un vendeur ou une CMP devra résulter d’une enquête spécifique tenant compte de sa spécificité et de tous les faits pertinents ;
- La décision est administrative et peut faire l’objet d’un recours.
N’est-il plus possible d’invoquer l’intérêt légitime ?
Bien que cela puisse sembler encore peu clair, l’IAB considère que l’interdiction de l’APD sur l’intérêt légitime ne s’applique qu’à ceux liés à la publicité personnalisée et aux fins de profilage et non une interdiction générale de l’intérêt légitime pour toutes les fins soutenues par le TCF.
N’oubliez pas que d’autres autorités nationales de protection des données, comme le Garante italien, ont déjà exclu l’utilisation de l’intérêt légitime comme base juridique valable (vous pouvez en savoir plus sur ce sujet ici).
Que dois-je faire jusqu’à ce qu’une décision finale soit prise ?
Pour l’instant, il semble qu’il n’y ait pas grand-chose à faire, si ce n’est attendre de voir comment se déroulera la procédure d’appel, ainsi que toute exigence future en matière de TCF.
Note
Comme il s’agit d’une affaire juridique en cours, chaque entreprise devra décider elle-même de ce qu’elle doit faire.
Cette FAQ ne peut être considérée comme un conseil juridique et ne constitue qu’un résumé pratique du jugement. Par conséquent, si vous pensez être en danger, veuillez envisager de demander l’aide de votre conseiller juridique.
Cependant, à la lumière du jugement, les entreprises qui utilisent le TCF doivent se préparer à des changements substantiels (améliorations) dus au jugement, et pourraient désirer créer des plans et stratégies d’atténuation dans le cas de diverses situations qui pourraient survenir.
Actions recommandées pour nos clients
En attendant une décision finale, nous recommandons aux clients de iubenda de prendre les mesures suivantes.
Comment faire en utilisant Privacy Controls and Cookie Solution de iubenda
1) Dans la section TCF de l’IAB du configurateur Privacy Controls and Cookie Solution iubenda, cliquez sur « Modifier »
2) Après cela, sélectionnez l’option « Délimiter les finalités »
3) Ensuite, sélectionnez « Consentement uniquement » pour des finalités actives.
Il est recommandé de n’afficher que les fournisseurs du TCF avec lesquels vous travaillez plutôt que la liste complète des fournisseurs du TCF. Les fournisseurs seront bientôt tenus de fournir des informations supplémentaires dans la Global Vendor List (GVL), ce qui permettra aux éditeurs de décider plus facilement avec quels fournisseurs travailler.
Comment faire en utilisant Privacy Controls and Cookie Solution de iubenda
1) Dans la section TCF de l’IAB du configurateur Privacy Controls and Cookie Solution iubenda, cliquez sur « Modifier »
2) Sélectionnez l’option « N’autoriser que les annonceurs figurant dans votre politique de confidentialité et de cookies »
Comment faire en utilisant Privacy Controls and Cookie Solution de iubenda
- Nous prenons soin de ce point pour vous. Nous sommes en train d’ajouter les informations pertinentes au panneau des préférences relatives au TCF.
Comment faire en utilisant Privacy Controls and Cookie Solution de iubenda
1) Dans le configurateur Privacy Controls and Cookie Solution iubenda, sélectionnez la section conformité RGPD et cliquez sur « Modifier »
2) Cliquez sur « Configuration manuelle »
3) Sélectionnez ensuite « Mentionner explicitement le droit de retirer le consentement »
4) Sous « Style et texte » dans le configurateur Privacy Controls and Cookie Solution de iubenda, vous pouvez ajouter/modifier le widget de confidentialité. Le widget de confidentialité permettra à vos utilisateurs d’accéder à leurs préférences en matière de confidentialité et de les modifier facilement, soit via un bouton persistant sur chaque page, soit via un lien de votre choix. Nous vous fournirons également un texte personnalisé supplémentaire qui pourra être ajouté à la copie de votre bandeau pour mentionner les conséquences du refus de consentement.
Une fois que tout ce qui précède est fait, vous pouvez envisager de recueillir le consentement de vos utilisateurs.
Et ensuite ?
En ce qui concerne le calendrier et la procédure, l’APD attend de l’IAB Europe qu’il soumette un plan d’action dans les deux mois suivant la publication de la décision. Une fois que l’autorité belge de protection des données aura validé le plan d’action, les mesures de mise en conformité devront être réalisées dans un délai maximum de six mois.
L’IAB est convaincu que le plan d’action et le dialogue à venir avec l’APD sont une opportunité. Il est possible que la mise en œuvre des recommandations de l’APD dans cette situation aboutisse à une nouvelle version du TCF plus conforme aux attentes de l’APD, ce qui en ferait un candidat potentiel pour un code de conduite, l’APD étant la principale autorité de contrôle.
IAB Europe a annoncé qu’elle ferait appel d’une partie de la décision auprès de la Court des Marchés Belge.
