L’International Advertising Bureau (IAB) Europe, l’organisation réunissant les acteurs de la publicité numérique, a annoncé le 5 novembre qu’elle s’attendait à être reconnue coupable de non-conformité au RGPD par la CNIL belge.

80% des sites web et applications européennes utilisent TCF

Cette décision, si elle était confirmée, viserait le Transparency & Consent Framework (TCF), une création de l'IAB Europe datant de 2018. Il s’agit d’un standard sur lequel se basent les plateformes permettant de recueillir le consentement (CMP) des internautes européens sur l’utilisation de leurs données.

Selon un message du 5 novembre de l’Irish Council for Civil Liberties, l’un des plaignants contre l’organisation, « L'IAB Europe a conçu les fenêtres pop-up trompeuses de "consentement" qui figurent sur la quasi-totalité (80 % et plus) des sites web et applications européennes ».

Maître Christophe Landat, avocat et co-fondateur d’Axeptio, une plateforme spécialisée dans le recueil des consentements « sécurisée et conforme », estime que l'IAB Europe a fait un choix assumé, celle d’une « lecture très pro-business » des règles en vigueur sur les données pour son TCF.

Un choix et surtout une interprétation des textes pleinement assumée. Après analyse juridique, Maître Landat a estimé auprès de Siècle Digital que « cette option n’est pas la plus prudente ».

L’Autorité de protection des données belges n’ayant toujours pas officiellement publié d’avis, la prudence est de mise rappelle Christophe Landat. Néanmoins, dans son communiqué, l'IAB Europe semble confirmer l’analyse de l’avocat français.

L'IAB Europe explique que son erreur est de ne pas s’être perçu comme un contrôleur de données dans le cadre du TCF, « sur la base des orientations données par d'autres Autorités de Protection des Données […] ainsi que la jurisprudence pertinente et de sa propre interprétation du RGPD ».

L’organisation précise que « les signaux numériques créés sur les sites web pour saisir les choix des personnes concernées concernant le traitement de leurs données personnelles pour la publicité, le contenu et la mesure numériques. Il est entendu que l'APD considère ces signaux comme des données personnelles ».

Pour l’Irish Council for Civil Liberties le plus gros problème est le « Real-Time Bidding » (RTB). Il s’agit d’un système d’enchère d’espace publicitaire en temps réel, largement automatisé. Selon l’ONG, RTB « diffuse le comportement des internautes et leur localisation dans le monde réel à des milliers d'entreprises, des milliards de fois par jour ».

Il n’y aurait aucun moyen de donner son consentement pour cette pratique. De fait le consentement ou non des utilisateurs « n’a aucune importance » selon l’ONG. Elle accuse l'IAB Europe d’avoir « tenté de nier toute responsabilité en matière de protection des données personnelles ».

L'IAB Europe anticipe d’éventuelles inquiétudes

Les conséquences de cette affaire pourraient être majeures dans le secteur de la publicité numérique en Europe. Rendre compatible le RTB avec un TCF plus adapté à l’esprit du RGPD s’annonce juridiquement complexe.

L'IAB Europe s’est voulue rassurante. L’organisation indique travailler avec les autorités européennes pour que ces violations soient « corrigées dans les six mois suivant la publication de la décision finale ».

Celle-ci devrait prendre du temps à arriver. L’institution belge doit transmettre son avis final aux autres autorités de différents pays européens dans les semaines à venir. Ces derniers auront 30 jours pour l’examiner. En cas de désaccord, ce sera au Conseil européen de la protection des données de trancher définitivement. Probablement pas avant 2022.