L’International Advertising Bureau (IAB) Europe, organisation regroupant les acteurs de la publicité en ligne, vient d’être sanctionnée par l’Autorité belge de la protection des données pour violation du RGPD. Une décision qui n’est pas surprenante, puisque l’IAB Europe avait annoncé s’y attendre en novembre dernier.

Le Transparency & Consent Framework sanctionné

L'organisme a ainsi écopé d’une amende de 250 000 euros, rapporte le média Bloomberg, à cause de son Transparency & Consent Framework (TCF). Ce standard introduit en 2018 permet aux sites web et aux éditeurs d'obtenir le consentement des utilisateurs pour le traitement de leurs données personnelles à des fins de publicité ciblée.

Il est notamment, et c’est ce qui lui est reproché, destiné à faciliter une pratique baptisée « Real-Time Bidding ». Il s’agit d’un système d’enchère d’espace publicitaire en temps réel largement automatisé et utilisé par des géants du secteur comme Google. Les régulateurs européens lui reprochent de traiter de manière préjudiciable les données des utilisateurs dans le cadre des transactions publicitaires.

Dans un e-mail adressé à Bloomberg, le régulateur belge explique que des « sanctions sévères » étaient nécessaires car l'outil « pourrait, pour un grand groupe de citoyens, conduire à une perte de contrôle de leurs données personnelles ».

Une personne sur son ordinateur.

Le RGPD a été pensé pour protéger les données personnelles des Européens. Photographie : Sergey Zolkin / Unsplash

L’IAB Europe n’est pas d’accord avec sa sanction

En plus de l'amende, l’IAB Europe a été sommé de mettre en place une « série de mesures correctives » pour se conformer aux règles en vigueur au sein de l'Union européenne.

De son côté, le groupe publicitaire a déclaré avoir de « sérieuses réserves » quant à la décision de l’agence de protection des données belge. Il rejette la conclusion du régulateur qui affirme que l’organisation peut être tenue responsable de ces données. Pour l’IAB Europe, il y aura « des conséquences négatives majeures et involontaires allant bien au-delà du secteur de la publicité numérique ».

Pour rappel, le RGPD européen est entré en vigueur en 2018 avec l’ambition de protéger davantage les données personnelles des habitants du Vieux Continent. Ce texte de référence fait notamment de l’Union européenne une pionnière en matière de protection des données et de régulation des géants technologiques, et permet aux pays membres d’infliger une amende allant jusqu’à 4 % du chiffre d’affaires total d’une entreprise en cas de non-respect de la réglementation.

En 2021, les amendes liées au RGPD ont d’ailleurs atteint un nouveau record, preuve que la législation commence à être appliquée rigoureusement par les pays européens.