Voilà une ‘affaire’ qui peut sembler anodine, mais qui touche indirectement des centaines de milliers de sites en France, et des millions d’annonces. Le Transparency & Consent Framework, plus communément appelé TCF, fruit de l’IAB Europe et de ses partenaires, a été jugé contraire au RGPD. L’organisation des acteurs de la publicité en ligne avait écopé en février d’une amende, aujourd’hui contestée.

L’IAB attendait une condamnation

Ce standard régit pourtant le fonctionnement de bon nombre de plateformes de récolte du consentement (CMP). Une fois le consentement obtenu, TCF permet d’activer des systèmes d’enchères publicitaires entre annonceurs afin de présenter des publicités ciblées. En juillet 2020, une nouvelle version a vu le jour, TCF V2, plus stricte, mais pas encore assez.

En fonction depuis 2018, l’IAB Europe annonce le 5 novembre 2021 s’attendre à ce que cette norme soit reconnue coupable de non-conformité au RGPD par la CNIL belge, l’APD. Le plaignant, pourtant irlandais, reprochait à l’IAB d’avoir conçu des « fenêtres pop-up trompeuses de « consentement » qui figurent sur la quasi-totalité (80 % et plus) des sites web et applications européennes ».

Divers constats de professionnels évoqueront une adaptation de TCF au RGPD légèrement « pro-business ». Adaptation assumée par l’IAB, qui s’engageait néanmoins à corriger les diverses violations « dans les six mois suivant la publication de la décision finale ».

La première décision de justice tombera deux mois plus tard. L’Autorité belge de la protection des données condamnera l’IAB Europe à une amende de 250 000 euros. Une condamnation dont l’organisation a fait appel. « L’exécution immédiate de la décision priverait un recours de sa pertinence et de son efficacité, et aurait des conséquences irréversibles et graves pour notre organisation, » a déclaré dans un communiqué Townsend Feehan, PDG de l’IAB Europe.

Le début d’une longue procédure

En effet, en plus de l’amende, l’APD estime que l’IAB est responsable des traitements des « TC Strings » et que ce sont des données personnelles. Les TC Strings sont des signaux recueillis par les CMP afin de récolter des données, utilisées ensuite par les annonceurs pour afficher leurs publicités ciblées.

Ce statut de données personnelles complique grandement la tâche de l’IAB qui devrait alors s’assurer de tout un tas de bonnes pratiques pour l’ensemble des CMP, éditeurs de site, et annonceurs. « L’APD semble ne pas considérer le consentement ou l’exécution d’un contrat comme une base juridique appropriée pour le traitement des données de TC Strings par IAB Europe » déplore l’organisme dans un compte rendu (pdf).

« L’élimination des motifs pour lesquels l’APD considère IAB Europe comme un contrôleur de données réduirait le TCF à une simple norme de source ouverte sans politiques exécutoires. Paradoxalement, cela rendrait inefficace l’objectif de protection des consommateurs qui sous-tend la compétence de l’APD, et la raison apparente pour laquelle les procédures contre IAB Europe existent. Nous ne pensons pas que ce soit l’objectif de la loi, ni que les normes d’autorégulation doivent être affaiblies en raison d’une interprétation erronée de la loi. C’est pourquoi nous contestons cette décision, » conclue l’IAB dans son communiqué.

Comprenons ainsi qu’au-delà de l’amende, les enjeux de l’alignement de TCF au RGPD selon la décision de l’APD sont de taille. Taille qui devrait également être équivalente à la durée de la procédure et des échanges APD-IAB.