2022
L'APD remet de l'ordre dans l'industrie de la publicité en ligne : IAB Europe est tenue responsable d'un mécanisme qui viole le RGPD
L'Autorité de protection des données (APD) a estimé que le Transparency and Consent Framework (TCF) élaboré par IAB Europe violait plusieurs dispositions du RGPD. Le TCF est un mécanisme répandu qui facilite la gestion des préférences des utilisateurs pour la publicité personnalisée en ligne, et qui joue un rôle central dans ce qu'on appelle le Real Time Bidding (RTB). L'APD a infligé une amende de 250.000 € à IAB Europe et donne deux mois à l'entreprise pour présenter un plan d'action visant à mettre ses activités en conformité.
Contexte de l'affaire
Depuis 2019, l'APD a reçu toute une série de plaintes visant Interactive Advertising Bureau Europe (IAB Europe). Ces plaintes contestaient la conformité du "Transparency & Consent Framework (TCF)" avec le RGPD. Développé par IAB Europe, le TCF vise à favoriser le respect du RGPD par les organisations utilisant le protocole OpenRTB.
Le protocole OpenRTB est un des protocoles les plus utilisés pour le "Real-Time Bidding", c'est-à-dire la vente aux enchères en ligne automatisée et instantanée de profils d'utilisateurs pour la vente et l'achat d'espaces publicitaires sur Internet. Lorsque des utilisateurs accèdent à un site Internet ou à une application qui contient un espace publicitaire, les entreprises de technologie, qui représentent des milliers d'annonceurs, peuvent enchérir instantanément ("en temps réel") en coulisse pour cet espace publicitaire via un système d'enchères automatisé utilisant des algorithmes, afin d'afficher des publicités ciblées spécifiquement adaptées au profil de ces personnes.
Lorsque des utilisateurs visitent un site Internet ou une application pour la première fois, une interface (une plateforme de gestion du consentement dite Consent Management platform ou CMP) apparaît leur permettant de consentir à la collecte et au partage de leurs données à caractère personnel ou de s'opposer à différents types de traitements basés sur les intérêts légitimes des fournisseurs dits ad tech. C'est là qu'intervient le TCF : il facilite l'enregistrement des préférences des utilisateurs via la CMP. Ces préférences sont ensuite codées et stockées dans une "TC string" qui sera partagée avec les organisations participant au système OpenRTB afin qu'elles sachent ce à quoi l'utilisateur a consenti ou s'est opposé. La CMP place également un cookie (euconsent-v2) sur l'appareil de l'utilisateur. Lorsqu'ils sont combinés, la TC string et le cookie euconsent-v2 peuvent être liés à l'adresse IP de l'utilisateur, rendant ainsi identifiable l'auteur des préférences. Le TCF joue un rôle clé dans l'architecture du système OpenRTB, dès lors qu'il représente l'expression des préférences des utilisateurs à l'égard des fournisseurs potentiels et pour diverses finalités de traitement, incluant l'offre de publicités sur mesure.
Constatations majeures : le TCF implique le traitement de données à caractère personnel
Contrairement aux affirmations d'IAB Europe, la Chambre Contentieuse de l'APD a estimé qu'IAB Europe agissait en tant que responsable du traitement en ce qui concerne l'enregistrement du consentement, des objections et des préférences des utilisateurs individuels au moyen d'une Transparency and Consent (TC) String unique qui est liée à un utilisateur identifiable. Cela signifie qu'IAB Europe peut être tenue responsable de potentielles violations du RGPD.
L'APD a identifié une série de violations du RGPD dans le chef d'IAB Europe :
- Licéité : IAB Europe n'a pu déterminer aucune base légale pour le traitement de la TC String et les fondements juridiques offerts par le TCF pour le traitement ultérieur par les fournisseurs adtech sont insuffisants ;
- Transparence et information des utilisateurs : les informations fournies aux utilisateurs via l'interface CMP sont trop génériques et trop vagues pour leur permettre de comprendre la nature et la portée du traitement, particulièrement eu égard à la complexité du TCF. Il est dès lors difficile pour les utilisateurs de garder le contrôle de leurs données à caractère personnel ;
- Responsabilité, sécurité, protection des données dès la conception et protection des données par défaut : en l'absence de mesures techniques et organisationnelles conformément au principe de protection des données dès la conception et de protection des données par défaut, incluant de garantir l'exercice effectif des droits des personnes concernées et de contrôler la validité et l'intégrité des choix des utilisateurs, la conformité du TCF au RGPD n'est pas suffisamment garantie ni démontrée ;
- Autres obligations incombant à un responsable du traitement qui traite des données à caractère personnel à grande échelle : IAB Europe n'a pas tenu de registre des activités de traitement, n'a pas désigné de DPO et n'a pas réalisé d' "AIPD" (une analyse d'impact relative à la protection des données).
Sanction
Au vu de ces violations, la Chambre Contentieuse de l'APD a décidé d'infliger des sanctions sévères, notamment en raison du fait que le TCF pourrait engendrer une perte de contrôle de leurs données à caractère personnel pour de grands groupes de citoyens. La Chambre Contentieuse a dès lors infligé une amende administrative de 250.000 EUR à IAB Europe. De plus, elle a ordonné à l'entreprise de prendre une série de mesures correctrices destinées à mettre la version actuelle du TCF en conformité avec le RGPD.
Ces mesures comprennent (notamment) :
- l'établissement d'une base légale valable pour le traitement et la diffusion de préférences d'utilisateurs dans le contexte du TCF, ainsi que l'interdiction d'invoquer l'intérêt légitime comme base du traitement de données à caractère personnel par les organisations participant au TCF ;
- le contrôle strict des organisations participantes afin de s'assurer qu'elles respectent les exigences du RGPD.
L'APD donne à IAB Europe un délai de deux mois pour soumettre un plan d'action pour la mise en œuvre de ces mesures correctrices.
Cette décision peut faire l'objet d'un recours.
Hielke Hijmans, président de la Chambre Contentieuse de l'APD explique : "Dans la version actuelle du TCF, le traitement de données à caractère personnel (par exemple l'enregistrement de préférences d'utilisateur) est incompatible avec le RGPD, vu la violation inhérente du principe de loyauté et de licéité. Les utilisateurs sont invités à donner leur consentement alors que la plupart d'entre eux ne savent pas que leur profil est vendu à maintes reprises chaque jour afin de leur montrer des publicités ciblées. Même si elle concerne le TCF et non l'ensemble du système d'enchères en temps réel, notre décision d'aujourd'hui aura un impact significatif sur la protection des données à caractère personnel des internautes. Il faut rétablir l'ordre au sein du système TCF afin que les utilisateurs reprennent le contrôle de leurs données."
Le mécanisme de guichet unique ou « one-stop-shop »
Le projet de décision que l'APD avait préparé a été examiné dans le cadre du mécanisme de coopération du RGPD (le "mécanisme de guichet unique"). Après un examen approfondi et deux objections que l'APD a intégrées dans un nouveau projet, la présente décision a été approuvée par toutes les autorités concernées représentant la plupart des trente pays de l'Espace économique européen.
David Stevens, président de l'APD déclare : "Le petit pays que nous sommes a de nouveau démontré qu'il ne craint pas de s'attaquer à des affaires de grande envergure telles que celle-ci et qui concernent tous les citoyens européens qui font des achats, travaillent et jouent en ligne. La vie privée en ligne et la lutte contre des formes trop intrusives de publicité sont pour nous des priorités majeures.”
Hielke Hijmans conclut : "Je suis fier du travail essentiel accompli par le Service d'Inspection et par notre Chambre Contentieuse dans cette affaire, en étroite collaboration avec nos homologues européens dans le cadre du mécanisme de guichet unique. Cet exemple démontre que le mécanisme de guichet unique peut être efficace."
Update 11/01/2023 : La Chambre Contentieuse de l’APD approuve le plan d’action d’IAB Europe
La Chambre Contentieuse de l’APD a informé IAB Europe qu’elle approuvait son plan d’action ayant pour but de mettre le traitement de données personnelles dans le cadre du TCF en conformité avec les dispositions du Règlement Général sur la protection des données (RGPD).
Dans une décision du 2 février 2022, la Chambre Contentieuse avait en effet constaté une série d’infractions au RGPD dans le chef de IAB Europe, et avait ordonné à l’entreprise de lui remettre un plan d’action pour la mise en œuvre de mesures correctrices. Après avoir reporté la validation du plan d’action en raison de la procédure d’appel devant la Cour des marchés, qui a décidé de poser des questions préjudicielles à la CJUE sans toutefois annuler la décision du 2 février 2022, la Chambre Contentieuse a aujourd’hui formellement validé le plan d’action. IAB Europe dispose ainsi désormais d’un délai maximum de six mois pour mettre en œuvre les mesures proposées.
L’APD ne pourra pas communiquer sur le contenu du plan d’action en raison de la procédure en attente devant les cours et tribunaux.
Update 16/03/2023
En raison d’un second appel d’IAB Europe auprès de la Cour des marchés, la période d’implémentation du plan d’action d’IAB Europe est suspendue par la Chambre Contentieuse de l’APD jusqu’à ce que la Cour se prononce sur ce nouvel appel, dont l’audience des parties est prévue le 31 mai 2023.