La structure sur laquelle est basée une grande partie des ‘cookie pop-ups’ sur le web, ne semble pas répondre aux directives européennes en matière de confidentialité. C’est à cette conclusion que l’Autorité de protection des données belge serait arrivée.
IAB Europe, l’organisation professionnelle des publicitaires européens sur internet, s’est vue reprocher par l’Autorité de protection des données (APD) belge d’avoir enfreint la loi sur le respect de la vie privée, mieux connue sous l’acronyme GDPR. Voilà ce qu’annonce l’organisation elle-même dans un communiqué posté sur son blog. IAB assume la responsabilité du Transparency & Consent Framework (TCF), la structure sur laquelle est basée une majorité des fenêtres émergentes (pop-up) d’autorisation de traçage.
Cette structure enfreint le GDPR sur le plan de la transparence, de la bonne foi et de la responsabilité, selon un premier rapport d’enquête de l’APD datant d’il y a un an. Aujourd’hui, douze mois plus tard, une décision réellement contraignante devrait voir le jour.
La décision devrait stipuler que TCF et son standard violent les règles en vigueur, mais aussi qu’IAB Europe est coresponsable des infractions. L’organisation l’a à présent elle-même annoncé, avant que l’APD ne sorte un communiqué officiel. Avant qu’une véritable amende ou une suppression pure et simple puisse être décidée, l’APD va faire parvenir d’abord son rapport aux autres autorités européennes en matière de respect de la vie privée, qui disposeront d’un mois pour faire connaître leur avis. IAB Europe tente dans son communiqué aussi de calmer les membres en mentionnant que les infractions seraient ‘réparables’.
Des activistes pro-confidentialité, dont la Ligue belge des Droits de l’Homme et le Council for Civil Liberties irlandais, qui sont concernés par les plaintes envoyées à l’APD, considèrent déjà cela comme une victoire.
‘Nous avons gagné’, écrit ainsi Johnny Ryan de l’Irish Council of Liberties dans un communiqué. ‘Il a été décidé que l’industrie publicitaire en ligne et son organisation professionnelle IAB Europe ont dépouillé des centaines de millions d’Européens de leurs droits fondamentaux.’
Structure des cookies
Dans la pratique, IAB Europe a conçu la plupart des ‘cookie-pop-ups’ que vous rencontrez. Selon Johnny Ryan, le standard TCF est utilisé par quelque 80% des sites web européens. Il s’agit des fenêtres émergentes qui débutent par ‘We value your privacy’ et qui semblent surtout destinées à vous faire cliquer le plus rapidement possible sur ‘Allow All’. Selon l’APD, ces concepts seraient en soi déjà contraires à l’esprit du GDPR.
En outre, IAB Europe est considérée dans le rapport comme un contrôleur de données, parce que TCF collecte ce genre d’autorisation et trace les utilisateurs par des ‘transparency consent strings’. Il s’agit là de fichiers dans lesquels sont stockées des métadonnées relatives à l’autorisation qu’un utilisateur a donnée, ainsi que les fournisseurs ayant reçu l’autorisation et dans quelles conditions. Or ce sont là des informations personnelles, selon l’APD, qui passe en revue IAB Europe et transfère les résultats aux plates-formes de ‘real time bidding’ (enchères en temps réel), où des milliers d’entreprises peuvent faire des offres en vue d’envoyer des publicités aux utilisateurs affichant un comportement spécifique.
Cookies publicitaires à la corbeille?
L’organisation devrait donc, conjointement avec les annonceurs, prendre les mesures nécessaires pour maintenir la sécurité de ces données, ce qu’elle n’a manifestement pas fait jusqu’à présent, selon IAB Europe, parce qu’elle ne traite elle-même pas ces ‘transparency consent strings’.
Cette nouvelle arrive à un moment où le Parlement européen se penche de nouveau sur les formulaires d’autorisation à propos des cookies, et pourrait envisager d’interdire l’ensemble de la technologie du traçage publicitaire dans le cadre d’une nouvelle réglementation sur les services numériques. Google, la principale agence publicitaire en ligne au monde, est elle aussi depuis quelque temps en train de renoncer au concept du ‘third party cookie’ et ce, même si l’alternative que l’entreprise propose, en fonction de qui le demande, pourrait être encore plus invasive.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici