L’Autorité de protection des données (APD) belge estime qu’une norme en matière de collecte d’informations pour des publicités en ligne enfreint le GDPR. Si tel est le cas, cela pourrait avoir des conséquences sur la façon dont le traçage des publicités personnalisées fonctionne.
Il s’agit là d’un jugement provisoire suite à une première enquête, durant laquelle l’APD belge a découvert des atteintes à ce qu’on appelle le Transparency & Consent Framework (TCF), une norme dans le secteur publicitaire en ligne qui est utilisée pour obtenir une autorisation concernant les traceurs publicitaires.
A leur tour, ces traceurs permettent d’envoyer aux utilisateurs des publicités très ciblées sur base de leur comportement de navigation sur différents sites ou applis. Cela permet aussi les enchères en temps réel, un processus automatisé, par lequel certains annonceurs paient ou peuvent payer plus, s’ils sont à même de proposer leur publicité à un individu déterminé. Pensons ici à des publicités d’articles pour bébé qu’on voit apparaître après avoir recherché des sites ou des produits comparables.
Mais selon certains, cela ne se déroule pas conformément à la réglementation en matière de respect de la vie privée. Pas moins de 22 organisations et individus de 16 états membre de l’UE, généralement des organisations actives sur le plan des droits à la confidentialité des citoyens, ainsi que des experts en la matière, ont par conséquent introduit une plainte auprès de l’Autorité de protection des données belge.
Pourquoi en Belgique?
La principale raison pour laquelle cela se passe en Belgique, est due au fait que le TCF a été mis en oeuvre par l’association sectorielle IAB (Interactive Advertising Bureau), dont le siège européen se trouve à Bruxelles. Cela rend l’Autorité de protection des données belge compétente.
Selon les plaignants, une première enquête a mis en lumière des atteintes à la réglementation européenne GDPR. L’affaire est maintenant étudiée plus en détail par la Chambre des litiges de l’APD, afin d’en arriver à une sentence (et peut-être à des amendes). A en croire les plaignants, cela n’interviendra que d’ici 2021.
Où le bât blesse-t-il?
Selon les plaignants, le Transparency & Consent Framework d’IAB autorise les entreprises à s’échanger des informations sensibles d’individus, même sans leur permission. “L’approche d’IAB Europe montre qu’il nie les risques exerçant un impact sur les droits et les libertés de sujets de données (personnes, ndlr)”, indique l’APD dans un jugement provisoire que les plaignants ont pu consulter.
En bref, le TCF fait en sorte que les internautes soient suivis en ligne – cela va de ce qu’ils regardent jusqu’à l’endroit où ils se trouvent -, dans le but de leur soumettre des annonces personnalisées. Mais sans leur demander l’autorisation, ce qui enfreint la réglementation GDPR.
“L’enquête de l’APD non seulement confirme les infractions contenues dans la plainte, mais elle a même mis en avant une liste supplémentaire de questions d’ordre juridique”, affirme Pierre Dewitte, chercheur doctorant en matière de droit de propriété intellectuelle à la KU Leuven et l’un des plaignants.
Data News a sollicité une réaction de la part de l’APD, mais le contrôleur du respect de la vie privée s’est abstenu de tout commentaire sur le sujet du fait que l’enquête est encore en cours.
IAB réagit
Les plaignants prétendent qu’IAB est responsable, parce qu’en tant qu’association sectorielle, le bureau a élaboré et gère la norme TCF. Data News a sollicité ici aussi une réaction à IAB, qui indique qu’il s’agit d’une vision provisoire, qui ne constitue donc actuellement pas un jugement contraignant quant à la violation ou non de la réglementation GDPR.
“Nous ne sommes avec tout le respect pas d’accord avec la manière dont l’APD interprète la loi, en considérant IAB Europe comme un contrôleur de données dans le contexte de la mise en oeuvre du TCF par les éditeurs”, déclare-t-on au sein de l’association sectorielle, qui ajoute que ce genre de jugement met également la pression sur les normes de mise en conformité open source, qui desservent ou protègent tant les secteurs que les consommateurs.
De plus, l’organisation signale que le TCF est une norme volontaire qui reflète une interprétation de la loi, et serait en adéquation avec les directives de plusieurs DPA européens, dont CNIL (France), DPC (Irlande) et ICO (Grande-Bretagne).
Qu’est-ce que cela va changer?
Rien provisoirement. Il s’agit en effet d’attendre une sentence définitive et d’ici là, IAB ne semble pas envisager d’adapter le TCF.
Si une condamnation effective se manifeste, il se pourrait que la façon dont les annonceurs suivent les faits et gestes des internautes, et dont ils collectent des données à leur égard, soit sérieusement muselée.
Une question importante qui se pose ici, c’est de savoir qui est responsable. Dans sa réaction, IAB Europe fait savoir qu’il se considère purement comme le fournisseur de la norme, pas comme le contrôleur des données (et donc pas comme coresponsable de l’échange de ces dernières). Mais la plainte et l’enquête provisoire de l’APD semblent ne pas suivre ce raisonnement.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici