Du point de vue technique, l'affaire est compliquée et porte notamment sur les cookies émergents, sur la façon dont une grande partie des publicités en ligne sont proposées et sur l'autorisation que l'utilisateur donne. Tout cela contrevient à la législation européenne, aussi connue sous les appellations GDPR ou AVG.

Suite à ce jugement, l'association sectorielle IAB Europe, qui a mis au point le système en question, devra non seulement s'acquitter de l'amende, mais présenter aussi dans les deux mois un plan d'action en vue d'améliorer la façon de faire.

Consentement aux annonces en temps réel

L'affaire porte sur la norme TCF (Transparency and Consent Framework) développée par IAB Europe. Cette norme régule les autorisations en matière de traceurs publicitaires. Pensons ici aux consentements liés aux mouchards (cookies) que le visiteur doit donner, lorsqu'il visite un site.

Ces traceurs permettent des publicités très ciblées sur la personne au travers de divers sites ou applis et autorisent le 'real-time bidding' (RTB ou enchères en temps réel). Il y a alors de fortes chances que vous receviez de la publicité liée à des transformations de bâtiments, si vous avez précédemment déjà visité des sites comparables. La bataille d'enchères sous-jacente entre l'annonce que vous recevez et le coût payé par l'annonceur de celle-ci se déroule automatiquement à l'aide du TCF.

Il s'agit spécifiquement de données liées aux préférences de l'utilisateur qui sont enregistrées dans ce qu'on appelle la chaîne TC, qui est ensuite échangée avec les acteurs figurant dans cet écosystème. Or cette chaîne TC est associée à un utilisateur identifiable.

Traitement des données personnelles

Lorsque l'APD rendit en 2020 une décision préjudicielle, IAB Europe marqua son désaccord, déclara qu'elle n'était pas habilitée à contrôler les données et que la norme TCF était un système bénévole qui respectait la loi.

L'Autorité de protection des données fait à présent table rase. Elle affirme qu'IAB Europe est bien en charge du traitement des données et attire l'attention de l'organisation sur quatre infractions.

Selon l'APD, il n'existe aucune base légale pour le traitement de la chaîne TC. De plus, les bases légales dans TCF pour le traitement des données sont insuffisantes. Il y a un manque de transparence et d'informations pour les utilisateurs, ce qui revient à dire que les bannières qui sollicitent une autorisation lors de la visite d'un site web, sont trop vagues quant à la nature et au volume du traitement. L'APD fait remarquer que TCF est un système complexe, ce qui fait que les utilisateurs éprouvent du mal à exercer un contrôle sur leurs données.

Une troisième infraction concerne l'obligation de responsabilité, la sécurité et la protection par les paramètres par défaut. Le système actuel, par lequel l'utilisateur donne son autorisation pour le traçage publicitaire, est, selon l'APD, insuffisant du point de vue légal.

Enfin, l'APD fait remarquer qu'IAB Europe ne possède pas de DPO (Data Protection Officer) et ne dispose pas d'une GPIA (évaluation des effets des données). Ce sont pourtant là deux éléments qui sont depuis longtemps déjà courants (et obligatoires) au sein des organisations qui s'occupent de données à une telle échelle.

Travaux à prévoir pour le secteur publicitaire

IAB Europe peut encore faire appel de la décision, mais il semble que l'organisation et ses partenaires auront à effectuer pas mal de travaux en sus de l'amende de 250.000 euros à payer.

D'ici deux mois en effet, IAB Europe devra émettre un plan en vue de régulariser le système basé sur TCF vis-à-vis du GDPR. Cela signifie entre autres une base légale valable pour le traitement et la diffusion des données collectées. L'APD déclare à cet égard explicitement que 'l'intérêt légitime' n'est pas d'application ici. Il s'agit du reste là d'un argument largement utilisé pour se livrer à du traitement de données sans trop de consentement ou de transparence.

En même temps, IAB Europe devra aussi contrôler chaque organisation participante pour s'assurer qu'elle respecte aussi le GDPR.

APD: 'Un jugement qui s'appliquera à toute l'Europe'

La décision à propos d'IAB Europe fut un travail de longue haleine. L'Autorité de protection des données explique dans une réaction à Data News à quoi c'est dû. 'Divers éléments entrent en ligne de compte, déclare Hielke Hijmans, président de la Commission des litiges. 'C'est un dossier incroyablement complexe que nous avons dû examiner tant du point de technique que juridique, et nous avons aussi reçu plusieurs analyses de différents experts.' Dn plus, des objections procédurales de diverses parties ont encore rendu les choses plus difficiles.

Mais Hijmans se veut positif: 'C'est un jugement qui s'appliquera directement à toute l'Europe. Il est le résultat d'une concertation avec d'autres contrôleurs européens. Le mécanisme 'one-stop-shop' (par lequel un seul régulateur national décide pour l'ensemble de l'UE, ndlr) est souvent critiqué, mais ici, il a bien fonctionné.' C'est ainsi que les décisions provisoires ont aussi été confrontées aux autres régulateurs, avant d'en arriver à une décision finale.

'Je suis très, très fier de ce que nous avons fait avec les autres contrôleurs et d'avoir mené à bien une affaire aussi complexe avec une équipe relativement modeste. Nous observons qu'il y a encore trop de lacunes sur le terrain au niveau du respect de l'AGV, et ce jugement y aura certainement un impact.'

A propos de ce qui est exigé d'IAB Europe et de ce qui pourrait arriver si son plan est rejeté, l'APD ne veut pas se prononcer. 'Nous ne voulons pas anticiper sur ce qui pourrait ou devrait arriver', déclare-t-elle. La fédération publicitaire dispose certes d'une date-butoir stricte: au cas où son plan serait agréé, ce dernier devrait être appliqué dans les six mois sous peine de se voir infliger des astreintes de 5.000 euros par jour de retard.

Satisfaction parmi le monde académique et les activistes de la confidentialité

Du côté des plaignants, l'enthousiasme est aussi de mise. La fondation néerlandaise Bits of Freedom, la Ligue des Droits de l'Homme et les dr. Jef Ausloos (Universiteit Amsterdam) et Pierre Dewitte (examinateur en doctorat à la KU Leuven) notamment se sont ralliés au jugement. Ils prétendent que toutes les données collectées sous TCF doivent à présent aussi être détruites, et que la décision impactera également les modèles publicitaires de Google, Amazon ou Microsoft.

'La décision d'aujourd'hui libèrera des centaines de millions d'Européens du 'consent spam', mais aussi du danger encore plus grand que leurs activités intimes en ligne soient échangées entre des milliers d'entreprises', affirme le dr. Johnny Ryan de l'Irish Council for Civil Liberties, qui était aussi l'un des plaignants.

Update 4/2/2022:

IAB Europe admet le jugement, sans y adhérer. 'Nous rejetons le fait que nous soyons un contrôleur de données dans le contexte de TCF. C'est illégal et cela aura d'importantes conséquences involontaires, qui dépasseront le secteur des publicités numériques', y déclare-t-on dans une réaction.

L'organisation insiste cependant sur le fait que la norme TCF n'est pas interdite, ce que les plaignants avaient pourtant demandé, et entend collaborer avec l'APD, afin d'en arriver dans les prochains mois de TCF à un code de conduite formel basé sur le GDPR.

Du point de vue technique, l'affaire est compliquée et porte notamment sur les cookies émergents, sur la façon dont une grande partie des publicités en ligne sont proposées et sur l'autorisation que l'utilisateur donne. Tout cela contrevient à la législation européenne, aussi connue sous les appellations GDPR ou AVG.Suite à ce jugement, l'association sectorielle IAB Europe, qui a mis au point le système en question, devra non seulement s'acquitter de l'amende, mais présenter aussi dans les deux mois un plan d'action en vue d'améliorer la façon de faire.L'affaire porte sur la norme TCF (Transparency and Consent Framework) développée par IAB Europe. Cette norme régule les autorisations en matière de traceurs publicitaires. Pensons ici aux consentements liés aux mouchards (cookies) que le visiteur doit donner, lorsqu'il visite un site.Ces traceurs permettent des publicités très ciblées sur la personne au travers de divers sites ou applis et autorisent le 'real-time bidding' (RTB ou enchères en temps réel). Il y a alors de fortes chances que vous receviez de la publicité liée à des transformations de bâtiments, si vous avez précédemment déjà visité des sites comparables. La bataille d'enchères sous-jacente entre l'annonce que vous recevez et le coût payé par l'annonceur de celle-ci se déroule automatiquement à l'aide du TCF.Il s'agit spécifiquement de données liées aux préférences de l'utilisateur qui sont enregistrées dans ce qu'on appelle la chaîne TC, qui est ensuite échangée avec les acteurs figurant dans cet écosystème. Or cette chaîne TC est associée à un utilisateur identifiable.Lorsque l'APD rendit en 2020 une décision préjudicielle, IAB Europe marqua son désaccord, déclara qu'elle n'était pas habilitée à contrôler les données et que la norme TCF était un système bénévole qui respectait la loi.L'Autorité de protection des données fait à présent table rase. Elle affirme qu'IAB Europe est bien en charge du traitement des données et attire l'attention de l'organisation sur quatre infractions.Selon l'APD, il n'existe aucune base légale pour le traitement de la chaîne TC. De plus, les bases légales dans TCF pour le traitement des données sont insuffisantes. Il y a un manque de transparence et d'informations pour les utilisateurs, ce qui revient à dire que les bannières qui sollicitent une autorisation lors de la visite d'un site web, sont trop vagues quant à la nature et au volume du traitement. L'APD fait remarquer que TCF est un système complexe, ce qui fait que les utilisateurs éprouvent du mal à exercer un contrôle sur leurs données. Une troisième infraction concerne l'obligation de responsabilité, la sécurité et la protection par les paramètres par défaut. Le système actuel, par lequel l'utilisateur donne son autorisation pour le traçage publicitaire, est, selon l'APD, insuffisant du point de vue légal.Enfin, l'APD fait remarquer qu'IAB Europe ne possède pas de DPO (Data Protection Officer) et ne dispose pas d'une GPIA (évaluation des effets des données). Ce sont pourtant là deux éléments qui sont depuis longtemps déjà courants (et obligatoires) au sein des organisations qui s'occupent de données à une telle échelle.Travaux à prévoir pour le secteur publicitaireIAB Europe peut encore faire appel de la décision, mais il semble que l'organisation et ses partenaires auront à effectuer pas mal de travaux en sus de l'amende de 250.000 euros à payer.D'ici deux mois en effet, IAB Europe devra émettre un plan en vue de régulariser le système basé sur TCF vis-à-vis du GDPR. Cela signifie entre autres une base légale valable pour le traitement et la diffusion des données collectées. L'APD déclare à cet égard explicitement que 'l'intérêt légitime' n'est pas d'application ici. Il s'agit du reste là d'un argument largement utilisé pour se livrer à du traitement de données sans trop de consentement ou de transparence.En même temps, IAB Europe devra aussi contrôler chaque organisation participante pour s'assurer qu'elle respecte aussi le GDPR.La décision à propos d'IAB Europe fut un travail de longue haleine. L'Autorité de protection des données explique dans une réaction à Data News à quoi c'est dû. 'Divers éléments entrent en ligne de compte, déclare Hielke Hijmans, président de la Commission des litiges. 'C'est un dossier incroyablement complexe que nous avons dû examiner tant du point de technique que juridique, et nous avons aussi reçu plusieurs analyses de différents experts.' Dn plus, des objections procédurales de diverses parties ont encore rendu les choses plus difficiles.Mais Hijmans se veut positif: 'C'est un jugement qui s'appliquera directement à toute l'Europe. Il est le résultat d'une concertation avec d'autres contrôleurs européens. Le mécanisme 'one-stop-shop' (par lequel un seul régulateur national décide pour l'ensemble de l'UE, ndlr) est souvent critiqué, mais ici, il a bien fonctionné.' C'est ainsi que les décisions provisoires ont aussi été confrontées aux autres régulateurs, avant d'en arriver à une décision finale.'Je suis très, très fier de ce que nous avons fait avec les autres contrôleurs et d'avoir mené à bien une affaire aussi complexe avec une équipe relativement modeste. Nous observons qu'il y a encore trop de lacunes sur le terrain au niveau du respect de l'AGV, et ce jugement y aura certainement un impact.'A propos de ce qui est exigé d'IAB Europe et de ce qui pourrait arriver si son plan est rejeté, l'APD ne veut pas se prononcer. 'Nous ne voulons pas anticiper sur ce qui pourrait ou devrait arriver', déclare-t-elle. La fédération publicitaire dispose certes d'une date-butoir stricte: au cas où son plan serait agréé, ce dernier devrait être appliqué dans les six mois sous peine de se voir infliger des astreintes de 5.000 euros par jour de retard.Du côté des plaignants, l'enthousiasme est aussi de mise. La fondation néerlandaise Bits of Freedom, la Ligue des Droits de l'Homme et les dr. Jef Ausloos (Universiteit Amsterdam) et Pierre Dewitte (examinateur en doctorat à la KU Leuven) notamment se sont ralliés au jugement. Ils prétendent que toutes les données collectées sous TCF doivent à présent aussi être détruites, et que la décision impactera également les modèles publicitaires de Google, Amazon ou Microsoft.'La décision d'aujourd'hui libèrera des centaines de millions d'Européens du 'consent spam', mais aussi du danger encore plus grand que leurs activités intimes en ligne soient échangées entre des milliers d'entreprises', affirme le dr. Johnny Ryan de l'Irish Council for Civil Liberties, qui était aussi l'un des plaignants.Update 4/2/2022:IAB Europe admet le jugement, sans y adhérer. 'Nous rejetons le fait que nous soyons un contrôleur de données dans le contexte de TCF. C'est illégal et cela aura d'importantes conséquences involontaires, qui dépasseront le secteur des publicités numériques', y déclare-t-on dans une réaction.L'organisation insiste cependant sur le fait que la norme TCF n'est pas interdite, ce que les plaignants avaient pourtant demandé, et entend collaborer avec l'APD, afin d'en arriver dans les prochains mois de TCF à un code de conduite formel basé sur le GDPR.