03 66 72 26 33

Synthèse et analyse de la sanction d’IAB EUROPE à hauteur de 250 000 € par l’Autorité de Protection des Données

L’Autorité de protection des données (APD, autorité de contrôle belge) a condamné IAB EUROPE (Interactive Advertising Bureau Europe), à une amende d’un montant total de 250 000 € pour des manquements aux articles 5.1.a, 5.1.f, 12, 13, 14, 24, 25, 30, 32, 35 et 37 du RGPD, au regard du mécanisme TCF (Transparency and Consent Framework) élaboré afin de gérer les préférences des utilisateurs pour la publicité personnalisée en ligne.

Synthèse

A la suite d’une sanction à hauteur de 250 000 €, l’IAB EUROPE doit fournir un plan d’actions de 6 mois à l’APD dans un délai de 2 mois à compter de la décision (assorti d’une astreinte de 5 000 € par jour de retard), afin de :
  • Rendre le TCF conforme aux obligations de licéité et loyauté par les moyens suivants :
    • Etablir une base juridique valable pour le traitement et le partage des préférences des utilisateurs dans le cadre du TCF, sous la forme d’une TC String et d’un cookie euconsent-v2 ;
    • Supprimer toute donnée collectée au moyen d’une TC String jusqu’au jour de sa décision, et qui ne serait plus prise en charge par IAB EUROPE ;
    • Interdire l’utilisation de l’intérêt légitime comme fondement juridique du traitement par les organisations participantes du TCF dans son format actuel, au moyen des conditions d’utilisation du TCF.
  • Rendre le TCF conforme aux obligations de transparence et d’information en exigeant des CMP qu’elles adoptent une approche harmonisée et conforme au RGPD concernant les informations fournies aux utilisateurs.
  • Rendre le TCF conforme aux obligations d’intégrité et de sécurité, et de protection des données dès la conception et par défaut par les moyens suivants :
    • Inclure des mesures de contrôle techniques et organisationnelles efficaces pour faciliter l’exercice des droits des personnes concernées et pour garantir l’intégrité de la TC String, par exemple au moyen d’un processus de vérification strict pour les organisations participant au TCF ;
    • Interdire par ses conditions d’utilisation aux organisations participantes à la version actuelle du TCF d’activer un consentement par défaut, et d’utiliser l’intérêt légitime comme base légale des traitements.
  • Assurer la conformité du registre des traitements effectués dans le cadre du TCF en y incluant le traitement des préférences et du consentement des utilisateurs sous la forme d’une TC String, et le placement du cookie euconsent-v2 sur leurs terminaux.
  • Réaliser une analyse d’impact relative à la protection des données concernant les traitements réalisés dans le cadre du TCF, ainsi que les conséquences de ces traitements sur le traitement ultérieure effectué sur la base du protocole OpenRTB.
  • Désigner un délégué à la protection des données.

Analyse

Contexte

Au cours de l’année 2019, l’APD a reçu de nombreuses plaintes déposées à l’encontre d’IAB EUROPE, portant notamment sur le respect par IAB EUROPE des principes de légalité, d’adéquation, de transparence, de limitation des finalités, de restriction du stockage et de sécurité, ainsi que sur la responsabilité d’IAB EUROPE.

L’APD a décidé de fusionner la procédure résultant de ces plaintes avec les enquêtes déjà diligentées de sa propre initiative à propos des traitements de données à caractère personnel réalisés via le mécanisme TCF élaboré par IAB EUROPE.

Les investigations de l’APD ont donc porté d’une part, sur la conformité du système du TCF avec les dispositions du RGPD, et d’autre part, sur la responsabilité d’IAB EUROPE et l’impact du TCF sur le système du RTB (Real-Time Bidding), système d’enchères en temps réel mis en oeuvre par IAB EUROPE.

Les enchères en temps réel désignent l’utilisation d’une enchère en ligne automatisée et instantanée pour la vente et l’achat d’espaces publicitaires en ligne.

Ainsi, lorsqu’un internaute navigue sur un site ou utilise une application contenant un espace publicitaire, le système d’enchères en ligne automatisé permet à des milliers d’annonceurs de faire une offre en temps réel pour cet espace publicitaire afin d’afficher des publicités ciblées spécifiquement adaptées au profil de l’internaute.

Le système mis en oeuvre par IAB EUROPE, c’est-à-dire l’OpenRTB, est « un protocole standard qui vise à simplifier l’interconnexion entre les fournisseurs adtech d’espaces publicitaires, les publishers (bourses d’échange d’annonces, plateformes côté vente ou réseaux travaillant avec les publishers) et les acheteurs concurrents d’espaces publicitaires (soumissionnaires, plateformes côté demande ou réseaux travaillant avec les annonceurs) ».

L’APD relève que le contenu d’une « bid request » est capturé par le protocole OpenRTB, et qu’ainsi, les annonceurs sont susceptibles de recevoir les données suivantes :

  • URL du site visité
  • Catégorie ou sujet du site
  • Système d’exploitation de l’appareil
  • Logiciel et version du navigateur
  • Fabricant et modèle de l’appareil
  • Opérateur de téléphonie mobile
  • Dimensions de l’écran
  • Identification unique de l’utilisateur définie par le fournisseur et/ou l’acheteur.
  • Identifiant unique de la personne provenant de l’Ad Exchange, souvent dérivé du cookie AdExchange.
  • L’identification de l’utilisateur d’une DSP, souvent dérivée du cookie de l’Ad Exchange qui est synchronisé avec un cookie du domaine de la DSP.
  • Année de naissance
  • Genre
  • Intérêts
  • Métadonnées rendant compte du consentement donné
  • Géographie
  • Longitude and latitude
  • Code postal

Dès lors, l’APD a estimé que le système RTB entre dans le champ d’application matériel du RGPD, et que le protocole OpenRTB et le TCF en sont des composants essentiels, car les opérations du système RTB impliquent le traitement de données à caractère personnel.

De plus, selon l’APD, le système d’enchères en temps réel, qui implique de nombreuses organisations, présente plusieurs risques importants pour les droits et libertés des personnes, au regard de la manière dont les données à caractère personnel sont traitées, et notamment :

  • Le profilage et la prise de décision automatisée ;
  • Le traitement à grande échelle de données (notamment des catégories spéciales de données à caractère personnel) ;
  • L’utilisation ou l’application innovante de nouvelles solutions technologiques ou organisationnelles ;
  • La mise en correspondance ou la fusion d’ensembles de données ;
  • L’analyse ou la prédiction du comportement, de la localisation ou des mouvements des personnes physiques ;
  • Le traitement invisible de données à caractère personnel.

Cependant, selon IAB EUROPE, le TCF qu’elle a élaboré comme un ensemble de politiques, de spécifications techniques, et de conditions contractuelles gérées et administrées par celle-ci, permettrait de suffisamment informer les personnes concernées des intérêts légitimes poursuivis par les annonceurs, et d’obtenir leur consentement au traitement de leurs données à caractère personnel dans le système d’enchères en temps réel qu’est l’OpenRTB.

A ce propos, l’APD souligne que le TCF comprend de manière générale les mêmes acteurs que les parties participant à l’OpenRTB (publishers, fournisseurs adtech), auxquels s’ajoutent les CMP (Consent Management Plateform).

Ainsi, dans ce cadre, la CMP génère la TC String, chaîne de caractères élaborée par IAB EUROPE, permettant de collecter automatiquement et de façon structurée les préférences des visiteurs des sites ou des applications ayant intégré la CMP étant en partenariat avec IAB EUROPE.

Puis, la CMP installe un cookie euconsent-v2 sur le terminal de l’utilisateur, et la TC String est envoyée aux fournisseurs adtech qui la déchiffrent, afin de déterminer s’ils disposent de la base juridique nécessaire pour traiter les données des visiteurs selon les finalités indiquées.

Constatations de l’APD

Le statut d’IAB EUROPE

A propos de la qualification de la TC String tout d’abord, l’APD énonce que même si elle ne contient pas en elle-même de données permettant une identification directe de l’utilisateur, il subsiste toutefois le traitement de l’adresse IP de l’utilisateur lorsque celui-ci accède à la CMP.

Ainsi, lorsque la CMP stocke ou lit la TC String sur un terminal par le biais du cookie euconsent-v2, les préférences de l’utilisateur et ses décisions en matière de consentement peuvent être liées à l’adresse IP de son terminal.

Dès lors, la possibilité de combiner la TC String et l’adresse IP de l’utilisateur implique que ces données constituent des données à caractère personnel, d’autant plus que les informations contenues au sein de la TC String peuvent être utilisées afin d’individualiser un utilisateur.

Enfin, selon l’APD, la finalité de la TC String conduit nécessairement à considérer la TC String comme une donnée à caractère personnel.

Par la suite, l’APD rappelle les termes des lignes directrices du G29 (ancien Groupe de travail « Article 29 », désormais le Comité européen de la protection des données ou CEPD) sur la publicité en ligne, selon lequel « les méthodes de publicité basée sur le comportement de navigation impliquent intrinsèquement le traitement de données à caractère personnel, car une telle publicité implique la collecte d’adresses IP et le traitement d’identifiants uniques, de sorte que les personnes concernées peuvent être suivies en lignes même si leur nom réel n’est pas connu  ».

Ainsi, au regard du TCF et de son lien avec le protocole OpenRTB, l’APD estime que le TCF implique un traitement de données à caractère personnel, notamment en ce qu’il comprend la collecte, le traitement, le stockage et le partage ultérieur des préférences des utilisateurs, en combinaison ou non avec d’autres données à caractère personnel.

Puis, l’APD constate que le système développé par IAB EUROPE est déterminant s’agissant de la collecte, le traitement et le partage des préférences des utilisateurs, ainsi que de leurs choix en matière de consentement, et que celle-ci joue un rôle charnière entre le TCF et l’OpenRTB.

L’APD relève également que les finalités envisageables par les organisations participantes dans le cadre du TCF sont déterminées par IAB EUROPE, et dès lors de manière générale, la finalité de la TC String et de son traitement au sein du TCF a ont été établies par IAB EUROPE.

De plus, dans la mesure où le TCF constitue des règles contraignantes pour les organisations participantes, IAB EUROPE établit les moyens de ce traitement, ainsi que les catégories de destinataires et la durée de conservation de la TC String.

Par conséquent, l’APD considère qu’IAB EUROPE doit être considérée comme responsable du traitement des données à caractère personnel quant à l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs au moyen de la TC String, conformément aux TCF Policies et aux spécifications techniques du TCF.

Plus encore, l’APD considère qu’IAB EUROPE et les organisations participantes doivent être considérées comme responsables de traitement conjoints concernant la collecte et la diffusion ultérieure du consentement, des objections et des préférences des utilisateurs, ainsi que pour le traitement connexe de leurs données à caractère personnel.

De la même manière, les CMP mettant en oeuvre le TCF doivent être considérés comme responsables de traitement conjoints.

Les éditeurs des sites ou des applications (publishers), agissent également en tant que responsables de traitement car ils choisissent de coopérer ou non avec une CMP mettant en œuvre le TCF, peuvent déterminer quels fournisseurs sont autorisés à fournir de la publicité sur leur site ou leur application, et sont susceptibles de contrôler la base juridique d’un traitement spécifique ou exclure certaines des finalités proposées par IAB EUROPE dans le cadre du TCF.

Par ailleurs, les fournisseurs adtech doivent également choisir les finalités et les bases juridiques envisagées, à partir de la liste fournie par IAB EUROPE. Ainsi, les fournisseurs adtechs et IAB EUROPE sont conjointement responsables des traitements réalisés dans le cadre de l’OpenRTB, pour des finalités de traitement déterminées conjointement et conformément aux préférences, objections et consentements recueillis dans le cadre du TCF.

Dès lors, d’après l’APD, IAB EUROPE, les publishers et les fournisseurs adtech participants sont responsables conjoints du traitement consistant en la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, ainsi que pour le traitement ultérieur de leurs données à caractère personnel.

Le manquement à l’obligation de licéité et de loyauté du traitement

Sur l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs au moyen de la TC String

Tout d’abord, l’APD constate que les utilisateurs ne disposent d’aucune information quant à la base juridique du traitement par les CMP de leurs préférences concernant les finalités et les fournisseurs adtech autorisés.

En effet, ni les TCF Policies, ni les TCF Implementation Guidelines ne contiennent l’obligation pour les CMP d’obtenir le consentement des utilisateurs avant de procéder à ce traitement au moyen du cookie euconsent-v2.

Par ailleurs, les utilisateurs ne sont informés ni du traitement réalisé au moyen de la TC String, ni des destinaires et ni des durées de conservation de leurs préférences.

De plus, l’APD estime que l’exécution du contrat n’est a priori pas une base légale applicable à ce traitement, ce pourquoi elle se penche ensuite sur l’existence ou non d’un intérêt légitime, en fonction du critère de finalité (l’intérêt poursuivi est légitime), du critère de nécessité (le traitement est nécessaire à la réalisation de cet intérêt), et du critère de mise en balance (la mise en balance de l’intérêt légitime avec les intérêts, libertés et droits fondamentaux des personnes concernées est en faveur du responsable de traitement ou d’un tiers).

Sur le critère de finalité, l’APD considère que « l’enregistrement du consentement et des préférences des utilisateurs afin de s’assurer et de pouvoir démontrer que ceux-ci ont valablement consenti ou ne se sont opposés au traitement de leurs données à caractère personnel à des fins publicitaires, peut être considéré comme étant réalisé dans un intérêt légitime ».

Sur le critère de nécessité, l’APD relève que les informations contenues dans la TC String sont restreintes aux données strictement nécessaires pour atteindre l’objectif visé, de sorte que cette condition semble également remplie.

Toutefois, sur le critère de mise en balance, l’APD estime que cette condition n’est pas remplie, à défaut d’option d’opposition à l’intégralité du traitement de leurs préférences dans le cadre du TCF, et du défaut d’information de l’installation du cookie euconsent-v2, et de leur droit d’opposition à ce traitement.

Ainsi, l’APD en conclut que le traitement de données dans le cadre actuel du TCF n’est pas conforme à l’article 6 du RGPD, en l’absence de base juridique valide, ce qui constitue un manquement de la part d’IAB EUROPE, qui était tenue de fournir une base juridique pour le traitement des préférences des utilisateurs sous la forme de la TC String.

Sur la collecte et la diffusion des données à caractère personnel des utilisateurs par les organisations participantes

Sur le consentement comme base légale pour ce traitement, l’APD relève tout d’abord que le consentement recueilli par les CMP et les publishers dans la version actuelle du TCF est insuffisamment libre, spécifique, éclairé et dénué d’ambiguïté.

En effet, selon l’APD, les finalités de traitement proposées ne sont assez clairement définies, voire même trompeuses, notamment au regard de la portée du traitement ou de la durée de conservation des données collectées en l’absence de retrait du consentement.

Le caractère lacunaire des informations fournies aux utilisateurs par les CMP relatives aux opérations de traitement mises en oeuvre, qui sont trop générales d’après l’APD, et la difficulté pour les utilisateurs de disposer d’informations quant aux destinataires des données considérant leur grand nombre, empêche que leur consentement soit suffisamment éclairé.

Par ailleurs, l’APD constate que le consentement d’un utilisateur ne peut pas être retiré aussi simplement qu’il peut être donné, notamment en raison du fait que ce retrait au moyen d’une CMP ne prend effet qu’à partir du moment où le fournisseur adtech consulte les nouvelles valeurs de la TC String modifiée via l’API de la CMP, et qu’ainsi, il n’est jamais immédiat et donc non-effectif.

L’APD en conclut ainsi que le consentement ne peut constituer une base juridique valide pour le traitement et la diffusion de données à caractère personnel dans le cadre de l’OpenRTB, avec l’actuel TCF.

Sur l’intérêt légitime, l’APD souligne que les TCF Policies n’obligent pas les CMP à préciser aux utilisateurs les intérêts légitimes recherchés, et que dès lors, le manque de spécificité des finalités et les descriptions standardisées dont elles font l’objet ne permettent pas de remplir le critère de finalité.

L’APD estime également que le critère de nécessité n’est pas rempli, en l’absence de mesures démontrant qu’aucune donnée personnelle inappropriée n’est diffusée, en application du principe de minimisation des données.

Enfin, l’APD constate « qu’en raison du grand nombre de partenaires TCF susceptibles
de recevoir leurs données à caractère personnel, les personnes concernées ne peuvent pas raisonnablement s’attendre aux traitements découlant de cette transmission
 », d’autant plus eu égard à « la quantité considérable de données qui, conformément aux préférences saisies dans le cadre du TCF, sont collectées par le biais d’une bid request et transmises aux fournisseurs adtech dans le cadre du protocole OpenRTB ». Ainsi, le critère de mise en balance n’est pas rempli.

Par conséquent, l’APD estime que l’intérêt légitime des organisations participantes ne peut être considéré comme une base juridique adéquate pour les activités de traitement effectuées selon le protocole OpenRTB, conformément aux préférences et aux choix des utilisateurs saisis dans le cadre du TCF.

Il en résulte alors que le traitement des données à caractère personnel dans le cadre de l’OpenRTB, sur la base des préférences capturées conformément à la version actuelle du TCF, est incompatible avec le RGPD en raison d’une violation inhérente du principe de licéité et de loyauté (articles 5.1.a et 6 du RGPD).

Le manquement à l’obligation de transparence envers les personnes concernées

Sur ce point, l’APD note tout d’abord qu’IAB EUROPE est susceptible de sollicitier auprès des CMP des « records of consent », au titre des dispositions des TCF Policies, mais que les personnes concernées ne sont pas informées de ce traitement potentiel.

Ensuite, elle considère que les modalités d’information des personnes concernées ne respecte pas les exigences de transparence, d’intelligibilité et d’accessibilité, notamment car certaines finalités sont présentées de manière trop générique pour que les personnes concernées saisissent la portée et la nature du traitement de données réalisé.

De plus, la présence d’un grand nombre de tiers n’est pas compatible selon l’APD avec l’obligation de transparence prévue par le RGPD.

Par conséquent, l’APD décide que le TCF en sa version actuelle ne respecte pas les obligations découlant du principe de transparence (articles 12, 13 et 14 du RGPD).

Les manquements aux principes de responsabilité, de protection des données dès la conception et par défaut, et aux obligations relatives à la sécurité des données

En premier lieu, s’agissant du principe de responsabilité, et du principe de protection des données dès la conception et par défaut, l’APD les interprète en ce sens qu’ils impliquent l’obligation pour le responsable de traitement « d’intégrer le respect nécessaire des règles du RGPD dans ses traitements et procédures (par exemple, s’assurer de l’existence et de l’efficacité des procédures de traitement des demandes des personnes concernées, et portant sur la vérification de l’intégrité et de la conformité de la TC String) ».

Par ailleurs, l’APD note qu’IAB EUROPE n’a pas prévu de mécanisme afin de s’assurer que les publishers et les CMP ont mis en place des mécanismes adéquats permettant d’effectuer des transferts hors de l’Union européenne, pour les transferts internationaux potentiels de la TC String, tant au moment de sa création que lors de la transmission de la TC String aux fournisseurs adtech participants.

En second lieu, s’agissant de l’obligation de sécurité des données, l’APD rappelle que ce manquement constitue un point fondamental justifiant sa décision, car l’absence de mesures techniques et organisationnelles garantissant l’intégrité de la TC String est une infraction grave selon elle.

Ainsi, en prenant en compte le très grand nombre de TC Strings générée chaque jour dans le cadre du TCF, l’APD estime nécessaire que l’ensemble des règles permettant d’y participer soient observées et respectées par toutes les parties concernées, sous la supervision d’IAB EUROPE.

En effet, selon l’APD, en l’absence de validation par IAB EUROPE des signaux de consentement transmis aux fournisseurs adtech, il serait possible pour les CMP de falsifier ou de modifier le signal pour générer un cookie euconsent-v2 et ainsi reproduire un « faux consentement » des utilisateurs à toutes fins et pour tous les fournisseurs adtech.

Or, dans le cadre de ses obligations de sécurité et d’intégrité, il incombait à IAB EUROPE de prendre des mesures techniques et organisationnelles pour garantir et pouvoir démontrer l’intégrité du signal préférentiel transmis par les CMP aux fournisseurs adtech.

Dès lors, l’absence de contrôle systématique du respect des règles TCF par les organisations participantes constitue un manquement à l’obligation de sécurité incombant à IAB EUROPE.

Les autres manquements

Dans un premier temps, l’APD écarte plusieurs manquements allégués par les plaignants,
à savoir :

  • les manquements aux principes de limitation de la finalité et de minimisation des
  • données ;
  • le manquement au principe de limitation de la conservation des données ;
  • le manquement aux dispositions relatives au traitement de catégories particulières de données à caractère personnel ; et
  • le manquement aux dispositions relatives à l’exercice des droits par les personnes concernées.

Dans un second temps, l’APD a constaté plusieurs manquements, concernant l’obligation de tenir un registre des traitements (article 30 du RGPD), l’obligation de réaliser une analyse d’impact relative à la protection des données (article 35 du RGPD), ainsi que l’obligation de désigner un délégué à la protection des données (article 37 du RGPD).

L’obligation de tenir un registre des traitements

Concernant l’obligation de tenir un registre de traitements, l’APD constate que le registre transmis par IAB EUROPE ne contient aucune activité relative au TCF, excepté des informations concernant la gestion des membres du TCF et son administration.

Selon l’APD, ce registre aurait au moins dû contenir des informations quant au traitement consistant en l’accès aux signaux de consentement, aux objections et aux préférences des utilisateurs.

Par ailleurs, au vu du grand nombre d’organisations participantes au TCF et de la volonté affichée d’IAB EUROPE de contrôler la conformité des CMP et des fournisseurs adtech de manière plus approfondie, l’APD estime nécessaire d’inclure ce traitement au sein du registre des traitements.

Ainsi, l’APD considère que l’absence de registre des traitements répondant à ces conditions constitue une violation de l’article 30 du RGPD.

L’obligation de réaliser une analyse d’impact relative à la protection des données

A ce propos, l’APD considère que dans la mesure où le TCF peut être utilisé aux fins du système RTB, cela implique que les préférences des utilisateurs conditionnent la manière dont leurs données sont traitées par les fournisseurs adtech dans ce cadre, conformément au protocole OpenRTB.

Dès lors, en prenant comme référence la décision n° 01/2019 du Secrétariat Général de l’APD établissant une liste de traitements pour lesquels une analyse d’impact est requise, l’APD relève que le TCF a notamment été développé pour le système RTB, comprenant ainsi l’observation, la collecte et l’enregistrement systématiques et automatisés du comportement en ligne des utilisateurs, y compris à des fins publicitaires.

De plus, dans le cadre du système RTB, les données sont collectées auprès de tiers afin d’analyser ou de prédire la situation économique, la santé, les préférences ou intérêts personnels, la fiaiblité ou le comportement, la localisation ou les déplacements des personnes physiques.

Ainsi, « compte tenu du grand nombre de personnes concernées qui entrent en contact avec les sites web et les applications mettant en oeuvre le TCF, ainsi que le nombre croissant d’organisations participant au TCF, d’une part, et de l’impact du TCF sur le traitement à grande échelle des données à caractère personnel dans le cadre du RTB, d’autre part », l’APD relève qu’IAB EUROPE était tenue de réaliser une analyse d’impact sur la protection des données et qu’en l’absence d’une telle analyse d’impact, celle-ci a méconnu l’article 35 du RGPD.

Sur la désignation d’un délégué à la protection des données

L’APD considère tout d’abord qu’au regard de l’importance du TCF pour IAB EUROPE, de ses objectifs déclarés et du traitement associé de données à caractère personnel en sa qualité de Managing Organization, le traitement dans le cadre du TCF fait partie des activités de base d’IAB EUROPE.

De plus, l’APD estime que le TCF implique un traitement à grande échelle de données à caractère personnel, car celui-ci est proposé dans plusieurs Etats membres, il exige le traitement de données à caractère personnel sous la forme de la TC String, et ces données sont partagées avec de nombreux fournisseurs adtech.

En outre, l’obligation contractuelle incombant aux fournisseurs adtech et les CMP de mettre à disposition d’IAB EUROPE les « records of consent » sur simple demande implique selon l’APD un suivi régulier des personnes concernées ; qui s’avère également systématique eu égard au traitement des TC Strings ou des « records of consent » par IAB EUROPE.

Dès lors, le TCF est constitué d’opérations de traitement nécessitant une observation régulière et systématique de personnes concernées, de sorte qu’IAB EUROPE était tenue de désigner un délégué à la protection des données, et qu’en l’absence d’une telle désignation, celle-ci a méconnu l’article 37 du RGPD.

Décision de l’APD

En conclusion, l’APD a relevé les manquements aux dispositions et principes suivants de la part d’IAB EUROPE :

  • Licéité et loyauté du traitement (articles 5.1.a et 6 du RGPD) ;
  • Obligation de transparence (articles 12, 13 et 14 du RGPD) ;
  • Protection des données dès la conception et par défaut, intégrité et confidentialité des données, et obligation de sécurité (articles 24, 25, 5.1.f et 32 du RGPD) ;
  • Obligation de tenir un registre des traitements (article 30 du RGPD) ;
  • Obligation de réaliser une analyse d’impact relative à la protection des données (article 35 du RGPD) ;
  • Obligation de désigner un délégué à la protection des données (article 37 du RGPD).

En raison de l’ensemble de ces manquements, l’APD a condamné IAB EUROPE à :

  • une amende de 250 000 € pour violation des articles 5.1.a, 5.1.f, 12, 13, 14, 24, 25, 30, 32, 35 et 37 du RGPD, en prenant notamment en compte sur le plan pécuniaire le chiffre d’affaires annuel total d’IAB EUROPE, établi à un montant de 2 471 467 € en 2020.

L’APD a également condamné IAB EUROPE à mettre ses traitements en conformité avec
ces dispositions, et notamment à :

  • Rendre le TCF conforme aux obligations de licéité et loyauté par les moyens suivants :
    • Etablir une base juridique valable pour le traitement et le partage des préférences des utilisateurs dans le cadre du TCF, sous la forme d’une TC String et d’un cookie euconsent-v2 ;
    • Supprimer toute donnée collectée au moyen d’une TC String jusqu’au jour de sa décision, et qui ne serait plus prise en charge par IAB EUROPE ;
    • Interdire l’utilisation de l’intérêt légitime comme fondement juridique du traitement par les organisations participantes du TCF dans son format actuel, au moyen des conditions d’utilisation du TCF.
  • Rendre le TCF conforme aux obligations de transparence et d’information en exigeant des CMP qu’elles adoptent une approche harmonisée et conforme au RGPD concernant les informations fournies aux utilisateurs.
  • Rendre le TCF conforme aux obligations d’intégrité et de sécurité, et de protection des données dès la conception et par défaut par les moyens suivants :
    • Inclure des mesures de contrôle techniques et organisationnelles efficaces pour faciliter l’exercice des droits des personnes concernées et pour garantir l’intégrité de la TC String, par exemple au moyen d’un processus de vérification strict pour les organisations participant au TCF ;
    • Interdire par ses conditions d’utilisation aux organisations participantes à la version actuelle du TCF d’activer un consentement par défaut, et d’utiliser l’intérêt légitime comme base légale des traitements.
  • Assurer la conformité du registre des traitements effectués dans le cadre du TCF en y incluant le traitement des préférences et du consentement des utilisateurs sous la forme d’une TC String, et le placement du cookie euconsent-v2 sur leurs terminaux.
  • Réaliser une analyse d’impact relative à la protection des données concernant les traitements réalisés dans le cadre du TCF, ainsi que les conséquences de ces traitements sur le traitement ultérieure effectué sur la base du protocole OpenRTB.
  • Désigner un délégué à la protection des données.

L’ensemble de ces actions devra être réalisé par IAB EUROPE dans un délai de 6 mois après la validation d’un plan d’action par l’APD, devant lui être soumis dans un délai de deux mois suivant la date de la décision, et sous une astreinte de 5 000 € par jour de retard.

Enfin, l’APD a décidé de rendre publique cette décision.

En réaction à cette décision, dans une publication en date du 2 février 2022, IAB EUROPE a considéré que cette décision ouvrait la voie pour développer le TCF en tant que « code de conduite » au sens du RGPD.

IAB EUROPE relève ainsi que les manquements pourraient être corrigés dans un délai de 6 mois, et qu’en tout état de cause, malgré de sérieuses réserves quant au fond de la décision, et notamment quant à la qualification de responsable de traitement, IAB EUROPE se déclare impatiente de travailler avec l’APB sur le plan d’action pour sa mise en conformité.

IAB EUROPE a confirmé ses réserves en indiquant dans un communiqué qu’elle s’apprêtait à interjeter appel de la décision rendue par l’APD.

Analyse de la décision

A priori, la décision rendue par l’APD le 2 février 2022 ne semble concerner qu’IAB EUROPE, et cette dernière paraît déterminée à contester sa qualité de responsable conjoint des traitements réalisés au moyen du TCF.

Cependant, la conclusion de l’APD selon laquelle toutes les organisations participantes au TCF, tant IAB EUROPE que les CMP, les éditeurs, et les fournisseurs adtech, doivent être considérés comme responsables de traitement conjoints concernant la collecte et la diffusion ultérieure des choix et préférences des utilisateurs, pourrait avoir des conséquences pour l’ensemble du secteur de la publicité en ligne.

Si cette décision venait à être confirmée à la suite de l’appel interjeté par IAB EUROPE, un chantier considérable de répartition des responsabilités serait à envisager, notamment sur les plans contractuel et technique.

Décision de l’APD n°21/2022 du 2 février 2022 – IAB EUROPE

Raphaël RAULT
Avocat Associé

Raphaël EKWALLA-MATHIEU
Avocat Collaborateur