Une décision de l’Autorité de protection des données (APD) de la Belgique pourrait avoir de vastes répercussions pour tous les Européens.
Elle donne raison aux plaignants qui contestaient depuis 2019 la conformité du « Transparency & Consent Framework » (TCF, cadre de transparence et de consentement) de l’Interactive Advertising Bureau Europe (IAB), avec le Règlement Général de la Protection des Données de l’Union européenne (RGPD).
Le TCF est un protocole exploité par les annonceurs publicitaires pour participer à des ventes aux enchères en ligne automatisées et instantanées de profils d’utilisateurs, pour la vente et l’achat d’espaces publicitaires sur Internet (OpenRTB).
Lorsque des utilisateurs visitent un site Internet ou une application pour la première fois, une interface de gestion du consentement apparaît pour leur permettre de consentir à la collecte et au partage de leurs données à caractère personnel ou de s’opposer à différents types de traitements basés sur les intérêts dits légitimes des fournisseurs de technologies liées à la publicité.
Le TCF facilite l’enregistrement des préférences des utilisateurs dans une « TC String », qui seront transmises aux organisations participant à l’OpenRTB, et place un cookie par consentement sur l’appareil de l’utilisateur.
Pour la Chambre Contentieuse de l’APD, le traitement de ces données n’a aucune base légale, les informations présentées aux utilisateurs pour obtenir des consentements sont trop vagues et trop génériques pour leur permettre de comprendre la nature et la portée du traitement.
Le TCF n’est donc pas conforme au RGPD. De plus, l’IAB n’a pas tenu de registre des activités de traitement, n’a pas désigné de délégué à la protection des données, et n’a pas réalisé d’analyse d’impact relative à la protection des données, trois des obligations qui incombent à tout responsable de traitement de données à caractère personnel à grande échelle.
L’IAB se voit donc infliger une amende de 250 000 euros et doit prendre des mesures correctrices afin de mettre le TCF en conformité avec le RGPD.
Mais surtout, paragraphe 536 :
« […] Ces obligations impliquent également que toute donnée à caractère personnel collectée jusqu’à présent au moyen d’une TC String dans le cadre des consentements à portée globale, qui ne sont désormais plus pris en charge par IAB Europe, doit être supprimée par la défenderesse sans délai injustifié. En outre, la Chambre Contentieuse ordonne à la défenderesse d’interdire l’utilisation de l’intérêt légitime comme fondement juridique du traitement par les organisations participant au TCF dans son format actuel, par l’entremise des conditions d’utilisation du TCF. »
En d’autres termes, si la décision n’est pas contestée, ou si l’appel échoue, toute entreprise participant au système d’enchères devra effacer les données personnelles obtenues illégalement. Pratiquement toutes les grandes entreprises liées à la publicité numérique, d’Amazon à Microsoft, de Facebook à Google en passant par Publicis, sont concernées.