Dans une décision du 2 février 2022, l’autorité belge de protection des données (APD) a jugé que le Transparency and Consent Framework (TCF) élaboré par IAB Europe n’était pas conforme aux exigences du Règlement général sur la protection des données (RGPD).
Quels sont les traitements mis en œuvre dans le cadre du TCF ? Quelle en est la responsabilité d’IAB Europe ? Quels sont les impacts de cette décision ?
Qu’est-ce que le TCF ?
Pour comprendre le TCF et les enjeux associés, il convient de revenir sur l’écosystème de la publicité en ligne et plus particulièrement sur le système d’enchères en temps réel (Real Time Bidding ou RTB).
Le RTB désigne un système d’enchères automatisé et quasi-instantané pour la vente et l’achat d’espaces publicitaires en ligne. Il existe plusieurs systèmes de RTB. L’un des systèmes le plus utilisé est basé sur le protocole « OpenRTB » conçu et géré par IAB Technology Laboratory (entité distincte d’IAB Europe et basée aux Etats-Unis).
Le protocole OpenRTB vise à simplifier l’interaction de différents acteurs impliqués dans cet écosystème :
Concrètement, lorsqu’un internaute consulte un site web, une demande d’enchère (« bid request ») est formulée. Cette demande contient plusieurs catégories de données (année de naissance, genre, intérêts de l’internaute, URL du site visité, dimensions de l’écran, etc.). Elle est communiquée successivement aux acteurs concernés afin qu’une publicité ciblée soit affichée sur le site web consulté par l’internaute.
Le TCF désigne quant à lui un guide à suivre dans le cadre de certains traitements relatifs aux enchères en temps réel. Il est destiné aux acteurs de l’OpenRTB ainsi qu’aux fournisseurs de plateformes de gestion du consentement (Consent Management Platforms ou CMP).
Plus précisément, le TCF contient :
- une liste de finalités des traitements mis en œuvre et de bases légales associées (consentement ou intérêt légitime selon les cas) ;
- des normes techniques permettant l’enregistrement des choix des internautes par les CMP (consentement, opposition, etc.) et la communication de ces choix aux acteurs de l’OpenRTB (SSP, DSP, DMP, etc.).
Quels sont les traitements de données concernés ?
Dans sa décision, l’APD distingue les traitements mis en œuvre dans le cadre de l’application du TCF de ceux mis en œuvre sur la base du protocole « OpenRTB ». En effet, le TCF et le protocole OpenRTB sont deux systèmes distincts.
Le TCF concerne l’enregistrement et la communication des choix exprimés par les internautes. Ce traitement est mis en œuvre grâce à la génération d’une chaîne de caractères par les CMP. Appelée « TC String », cette chaîne de caractères permet d’enregistrer les préférences d’un internaute (consentement à la publicité ciblée, partage des données avec des tiers, etc.). Une fois générée, la TC String est communiquée aux acteurs de l’OpenRTB qui peuvent la déchiffrer pour déterminer s’ils disposent de la base légale nécessaire pour les opérations relatives à la publicité ciblée.
Techniquement, la TC String ne contient pas de données identifiant directement les internautes. Toutefois, pour caractériser la TC String comme une donnée à caractère personnel, l’APD retient notamment les éléments suivants :
- La possibilité de combiner la TC String avec d’autres données, notamment l’adresse IP, signifie qu’il s’agit d’informations pouvant identifier une personne physique.
- La finalité de la TC String, à savoir la saisie des préférences des internautes, conduit de facto à considérer que la TC String est une donnée à caractère personnel.
Concernant les traitements mis en œuvre sur la base de l’OpenRTB, il s’agit de l’ensemble des étapes et interactions entre les acteurs à partir d’une « bid request » et qui participent au ciblage publicitaire.
Quelle est la responsabilité d’IAB Europe ?
Dans le cadre des traitements décrits ci-dessus, l’APD considère que IAB Europe est conjointement responsable avec les autres acteurs concernés (notamment les fournisseurs de CMP, les éditeurs et les annonceurs).
Traitement de la TC String (enregistrement et communication des choix des internautes)
L’autorité belge estime que les finalités et les moyens du traitement de la TC String sont déterminés par IAB Europe. Selon l’APD, cela découle du rôle décisif que IAB Europe joue dans le cadre de la collecte, l’enregistrement et la communication des choix des internautes.
Concernant les finalités du traitement, l’APD précise que IAB Europe poursuit plusieurs objectifs par le biais des règles relatives à la TC String :
- Permettre aux acteurs d’être en conformité avec la réglementation applicable (détermination d’une base légale valable et transparence vis-à-vis des internautes eu égard aux finalités poursuivies) ;
- Promouvoir, de manière indirecte, l’utilisation de l’OpenRTB.
Concernant les moyens du traitement, l’APD précise par exemple que IAB Europe impose des règles relatives à l’API (interface de programmation) avec laquelle les CMP peuvent générer la TC String. L’utilisation de cette API est obligatoire pour que les acteurs puissent recevoir la TC String.
En outre, IAB Europe détermine les destinataires de la TC String en mettant à disposition une liste d’acteurs (SSP, DSP, annonceurs, etc.) inscrits au TCF et une liste de CMP agréées. De plus, les annonceurs qui souhaitent utiliser le TCF doivent collaborer avec un fournisseur de CMP inscrit au TCF.
Traitements ultérieurs y compris dans le cadre de l’OpenRTB
L’autorité belge souligne à plusieurs reprises que le TCF est un système distinct de l’OpenRTB. Néanmoins, la raison d’être du TCF montrerait qu’il ne s’agit pas non plus d’un système autonome et indépendant. A ce titre, l’APD précise que « IAB Europe fournit un écosystème au sein duquel le consentement, les objections, et les préférences des utilisateurs sont collectées et échangés non pas à des fins propres ou d’auto-préservation, mais pour faciliter le traitement ultérieur par des tiers ».
Pour cette raison, l’autorité considère que IAB Europe agit en tant que responsable conjoint des traitements ultérieurs y compris ceux mis en œuvre dans le cadre de l’OpenRTB. Les traitements visés ne sont pas expressément énoncés dans la décision de l’APD. Néanmoins, il semble qu’elle fait référence aux interactions à partir d’une « bid request » pour sélectionner des publicités personnalisées, aux opérations permettant de combiner les différentes sources de données et de créer des profils d’internautes ou encore à la mesure d’audience.
Quels sont les manquements constatés ?
Manquement à la licéité et la loyauté du traitement
Concernant le traitement de la TC String, l’APD constate qu’aucune base légale n’a été déterminée par IAB Europe. Par conséquent, il existe un manquement à l’article 6 du RGPD par IAB Europe.
Concernant les traitements fondés sur le protocole OpenRTB, l’APD estime que les bases légales proposées par le TCF, notamment le consentement et l’intérêt légitime, ne peuvent être valablement invoquées par les acteurs concernés.
En effet, l’APD remet en cause la validité du consentement recueilli à partir des CMP conçues à l’appui du TCF. Elle prend en compte notamment les éléments suivants :
- Les finalités pour lesquelles le consentement est recueilli ne sont pas décrites de manière claire. A titre d’exemple, les finalités « Mesurer la performance du contenu » et « Exploiter des études de marché afin de générer des données d’audience » telles que préconisées dans le TCF fournissent peu d’indications sur la portée du traitement.
- Les destinataires pour lesquels le consentement est recueilli sont très nombreux, de sorte que « les utilisateurs auraient besoin d’un temps disproportionné pour lire ces informations ».
Quant à l’intérêt légitime, l’autorité belge considère que cette base légale ne peut pas être invoquée en l’espèce pour des raisons suivantes :
- Les intérêts légitimes poursuivis ne sont pas identifiés, ni communiqués aux personnes concernées.
- Il n’est pas démontré que les données traitées sont nécessaires à l’accomplissement des finalités poursuivies.
- Il n’est pas démontré non plus qu’une mise en balance des intérêts a été réalisée et que le résultat de cette pondération n’est pas défavorable aux personnes concernées. A ce titre, l’APD précise qu’en raison du grand nombre des destinataires (participants au TCF) et de la quantité considérable de données, les internautes ne peuvent pas raisonnablement s’attendre aux traitements mis en œuvre dans le cadre de l’OpenRTB.
En tout état de cause, l’APD précise que l’intérêt légitime ne constitue pas une base légale appropriée dans le contexte de la publicité comportementale en ligne conformément à l’Avis 03/2013 sur la limitation de la finalité du Groupe de travail « Article 29 ».
Autres manquements au RGPD
Dans la mesure où IAB Europe est considéré comme responsable conjoint, l’autorité belge constate également d’autres manquements aux dispositions du RGPD, à savoir notamment :
- Le manquement à l’obligation de transparence vis-à-vis des personnes concernées : ce manquement résulte notamment de l’absence de clarté des informations fournies aux internautes lors du recueil du consentement (finalités, destinataires).
- La non-désignation d’un Délégué à la protection des données (DPO) : l’APD considère que IAB Europe est tenu de désigner un DPO compte tenu de traitement à grande échelle de données qu’implique le TCF.
- L’absence de réalisation d’une analyse d’impact relative à la protection des données : selon l’APD, cette analyse d’impact est nécessaire en raison du grand nombre des destinataires de données et de l’impact du TCF sur le traitement à grande échelle de données.
Quels sont les sanctions ?
Au vu de ces constats, l’APD a prononcé une sanction pécuniaire de 250 000 euros à l’encontre d’IAB Europe. Elle a également ordonné la mise en œuvre plusieurs mesures correctrices, et notamment :
- La détermination d’une base légale valable pour l’enregistrement et la communication des choix des internautes ;
- L’interdiction aux acteurs participants, par le biais des conditions d’utilisation du TCF, de retenir l’intérêt légitime comme base légale du traitement ;
- L’audit des acteurs participants au TCF afin de s’assurer qu’ils respectent les exigences du RGPD, et ce alors même que les acteurs en question ne sont pas sous-traitants d’IAB Europe ;
- La mise en place d’une obligation pour les fournisseurs de CMP d’« adopter une approche uniforme et conforme au RGPD pour les informations qu’elles soumettent aux utilisateurs ».
IAB Europe a deux mois pour soumettre à l’APD un plan d’action pour la mise en œuvre de ces mesures correctrices.
Dans un communiqué du 11 février 2022, IAB Europe a confirmé sa décision d’interjeter appel contre la décision rendue par l’APD. L’entité estime que la qualification retenue par l’autorité (responsabilité conjointe) « repose sur une mauvaise compréhension des faits une mauvaise application de la loi ». A ce titre, elle précise qu’« il ne peut avoir été l’intention du législateur européen qu’un organisme comme le nôtre soit responsable des activités de traitement des données de toute une industrie ».
Quels sont les impacts de cette décision ?
La décision de l’autorité belge met en lumière la non-conformité des modalités de recueil du consentement et de fourniture d’informations mises en place par les éditeurs et les fournisseurs de CMP inscrits au TCF.
Au-delà, cela remet en cause la conformité de l’ensemble des traitements mis en œuvre par d’autres responsables conjoints dans le cadre du TCF et de l’OpenRTB (annonceurs, SSP, DSP, etc.). Les modalités de recueil du consentement et de fourniture d’informations par le biais des CMP ont nécessairement un impact sur l’ensemble de la chaîne de traitements.
En pratique, les acteurs concernés doivent conclure un ou plusieurs accords conformément aux exigences de l’article 26 du RGPD afin de répartir les différents rôles et responsabilités. A ce titre, la gestion du recueil du consentement et de la fourniture de l’information constitue un point clé pour que chaque responsable conjoint puisse s’assurer de la licéité et de la loyauté du traitement qu’il met en œuvre.