Attention aux conséquences de la décision de l’APD belge si vous utilisez le protocole TCF sur votre site internet.
En tant qu’éditeur de votre site internet, vous collectez et utilisez des données personnelles concernant vos visiteurs grâce à une sélection d’outils.
Vous faites cela pour accomplir des objectifs que vous avez choisis.
Mais que se passerait-il si un de ces outils ne répond pas aux critères de conformité du Règlement Général sur la Protection des Données (le RGPD) ?
Ou pire encore, que vous étiez reconnu comme “responsable conjoint” , aux côtés d’autres organisations, pour votre utilisation de cet outil ?
On vous en dit plus dans cet article.
Le Real-Time Bidding system (RTB) et l’utilisation de données personnelles
De manière simplifiée, recourir au RTB signifie que chaque fois qu’un visiteur navigue sur votre site internet et y croise un encart publicitaire, un système d’enchères automatisées en temps réel se met en place.
Ces enchères ont pour but de déterminer quelle organisation va pouvoir lui montrer sa publicité, selon que le profil du visiteur correspond au profil du client cible de cette organisation.
Pour ce faire, un profil de votre visiteur est créé sur base de données personnelles le concernant, reprenant entre autres :
– Les données collectées via les cookies placés par votre site internet (en lien avec son historique de navigation, son comportement sur votre site, sa localisation, etc.).
– Les données que possède déjà l’organisation souhaitant pouvoir afficher sa publicité (données qu’elle a collectées via d’autres moyens ou qu’elle a générées directement).
Bref, les données personnelles concernées dépassent largement les seules données personnelles collectées par votre site internet.
Ces données seront également rendues accessibles à beaucoup d’autres acteurs que vous et l’organisation ayant remporté l’enchère.
La promesse du Transparency and Consent Framework (TCF) créé par IAB Europe
Au moment de l’arrivée du RGPD, Interactive Advertising Bureau Europe (IAB Europe) a cherché une solution pour permettre à l’industrie du marketing de continuer à utiliser le protocole openRTB (un des systèmes existants de RTB).
Elle a donc mis au point le TCF, un ensemble de règles et de mesures techniques et organisationnelles standardisant la collecte du consentement et l’utilisation de l’intérêt légitime pour justifier l’utilisation (le “traitement”) des données personnelles.
Une des particularités du TCF est d’intégrer dans le processus un fournisseur de plateforme de gestion de consentement (CMP, pour Consent Management Platform).
Son rôle ?
Collecter les préférences du visiteur en matière d’utilisation de ses données personnelles au sein d’un même fichier :
- Choix de base légale (consentement ou intérêt légitime).
- Sélection des organisations pouvant recevoir les données personnelles du visiteur.
- Les finalités validées par celui-ci (dont le fait recevoir de la publicité ciblée via l’openRTB).
Ce fichier de préférence (appelé Transparency and Consent String, TC String) est ensuite communiqué aux autres acteurs.
Les organisations de défense de droits contre IAB Europe
Contexte
Des autorités de protection des données de différents pays membres de l’UE (organes en charge du contrôle du RGPD) commencèrent à recevoir des plaintes concernant le TCF et l’openRTB.
L’ONG Ligue des Droits Humains (Belgique), l’ONG Panoptykon (Pologne) et l’ONG Bits of Freedom (Pays-Bas) figuraient parmi les plaignants.
L’ensemble des APD mandatèrent l’APD belge pour mener l’enquête et trancher sur la validité du TCF. Celle-ci rendit sa décision en février 2022.
Principaux manquements relevés par l’APD belge
- Une absence de base légale valable pour justifier les traitements de données personnelles (problème sur la qualité du consentement et l’opportunité d’utiliser l’intérêt légitime).
- Les visiteurs des sites web dont les données personnelles sont collectées ne reçoivent pas assez d’information sur l’utilisation de leurs données.
- Pas d’audit des organisations souhaitant adhérer au TCF (que ce soit pour leur respect du RGPD ou pour contrôler l’implémentation des mesures imposées par le protocole TCF).
- Absence d’analyse d’impact malgré les risques élevés pour les personnes concernées (AIPD).
- …
Sanctions prononcées par l’APD belge
IAB Europe a donc été condamnée à une amende administrative de 250.000 € ainsi qu’à soumettre à l’APD belge un plan de remédiation aux différents manquements constatés .
IAB Europe devra également supprimer toutes les données personnelles qui auront été collectées sans base légale valable depuis le 25 mai 2018 (entrée en vigueur du RGPD).
Les suites de la décision de l’APD belge
Appel d’IAB Europe devant la Cour des marchés…
Suite à la décision de l’APD belge, IAB Europe décida de faire appel. Le résultat de cet appel était initialement attendu pour septembre 2022.
Si la décision de l’APD est confirmée par la Cour des marchés (une section de la Cour d’appel de Bruxelles), IAB Europe aura 6 mois pour implémenter son plan d’action (avec 5.000 € à payer par jour de retard d’implémentation).
…qui pose des questions préjudicielles à la Cour de Justice de l’Union européenne (CJUE)
Afin de pouvoir trancher sur la décision de l’APD, la Cour des marchés a décidé le 19/09/2022 de poser des questions préjudicielles à la CJUE.
Ces questions visent à clarifier les points suivants :
– Quel est le statut d’IAB Europe (responsable du traitement, responsable conjoint du traitement) ?
– Peut-on considérer que le « TC String » est une donnée personnelle ?
A ce jour, la CJUE n’a pas encore répondu à ces questions préjudicielles.
Impact de cette décision pour vous en tant qu’éditeur de site internet si vous participez au TCF
La décision de l’APD belge concerne IAB Europe mais si elle est confirmée, elle aura des répercussions sur les différents acteurs impliqués dans le TCF.
De responsable à responsable conjoint
En tant qu’éditeur de votre site internet, vous êtes responsable des traitements de données personnelles qui ont lieu sur votre site internet.
Vous devez donc veiller, entre autres, à justifier la collecte de données personnelles via l’utilisation de cookies avec une base légale valable.
Si l’APD juge que les bases légales mises en œuvre par le TCF ne sont pas valables, vous devrez vérifier la mise en œuvre de ces bases légales pour votre propre site. Il se pourrait qu’un peu de nettoyage (suppression) de données personnelles soit également nécessaire de votre côté.
Mais plus spécifiquement dans le cadre de son analyse, l’APD considère (à déterminer au cas par cas, cf. le point B.3.1 de sa décision) que vous pourriez être considéré comme responsable conjoint des traitements de données liés au TCF et à l’OpenRTB aux côtés de IAB Europe et du fournisseur de CMP.
Cela pourrait être le cas :
- si vous n’adaptez pas la liste des organisations qui peuvent recevoir les données personnelles de vos visiteurs telle qu’elle est proposée par IAB Europe ou
- si vous acceptez toutes les finalités d’utilisation demandées par IAB Europe dans le cadre du TCF (paragraphe 396).
Conséquences d’une responsabilité conjointe
Qu’est-ce que ça veut dire pour vous, être responsable conjoint ?
Lorsque vous êtes conjointement responsable d’un traitement de données, vous devez convenir (dans un contrat) de qui fait quoi, par rapport à vos obligations liées au RGPD (article 26 du RGPD).
Cela veut dire décider :
– Comment les personnes concernées (les visiteurs de votre site) peuvent exercer leurs droits.
– Quelle organisation (entre les responsables conjoints) sera chargée de fournir les informations. obligatoires en lien avec le traitement de données personnelles en responsabilité conjointe.
– Qui est le point de contact pour les personnes concernées (les visiteurs de votre site web).
Un visiteur de votre site web pourrait aussi demander à recevoir les grandes lignes de ce contrat.
Attention que même si un autre des responsables conjoints est désigné comme étant l’organisation point de contact, un visiteur de votre site peut toujours demander à exercer ses droits chez vous.
De plus, si jamais un visiteur de votre site internet estime que le traitement de ses données personnelles dans le cadre du TCF lui a causé un dommage matériel ou moral, il peut réclamer l’entièreté du dédommagement au responsable conjoint de son choix (article 82 du RGPD) : peut-être vous, donc.
Le responsable conjoint qui l’a dédommagé pourra ensuite obtenir le remboursement d’une partie de la somme auprès des autres responsables conjoints.
Et en bonus
A côté de ces obligations spécifiques, votre image pourrait pâtir si la collecte de données des visiteurs sur votre site internet utilise un outil sanctionné par l’APD.
Vous souhaitez vous épargner ces tracas sans attendre le verdict final ? Vous souhaitez un système de gestion de consentement 100% sans TCF ?