Comprendre la décision annoncée par l'APD belge concernant le TCF d’IAB Europe (février 2022)

Contexte et décision

Actions immédiates recommandées 

FAQ

Contexte et décision

L’autorité de protection des données (APD) belge a sanctionné IAB Europe à hauteur de 250 000 euros le mercredi 2 février 2022. Selon elle, IAB Europe est bien un “data controller” : responsable du traitement des données contenues dans les chaînes de consentement stockées par les CMP et redistribuées aux différents partenaires adtech au travers du Transparency and Consent Framework (TCF).

L’APD a constaté qu’IAB n’en respectait pas toutes les obligations, comme nommer un DPO ou tenir un registre des activités de traitement. Ne se considérant pas comme responsable du traitement (“data controller”) dans le contexte du TCF, IAB Europe rejette toujours cette conclusion et pourrait encore faire appel.

IAB dispose maintenant d’un mois pour contester cette décision et de deux mois pour présenter à l’APD un plan d’action qui réponde aux problèmes soulevés. Après validation de ce plan, IAB devra atteindre les objectifs fixés dans les six mois.

Faut-il comprendre que les médias et leurs partenaires ne peuvent plus s’appuyer sur le TCF ? De notre point de vue, ce serait une terrible issue pour tous, pour les utilisateurs en particulier et  contre-productif pour l’APD. C’est pourquoi IAB disposera d’un délai de six mois pour appliquer son plan d’action une fois validé. Nous travaillons main dans la main avec IAB Europe et l’APD pour solutionner les différents points qui ont attiré leur attention.

En attendant, nous avons dressé une liste de recommandations applicables immédiatement par tous nos clients afin de relever les défis imposés par cette décision.

Actions immédiates recommandées 

Voici nos meilleurs conseils pour adapter vos notices de consentement et votre utilisation du TCF à la dernière décision de l’APD. La situation évolue et nous vous tiendrons informés en temps réel.

Recommandation 1 - Demander le consentement pour tous les partenaires et finalités TCF par le biais des restrictions de l'éditeur

L’APD indique que l’intérêt légitime n’est pas une finalité acceptable dans l’objectif de transparence du TCF :

La Chambre de résolution des litiges de l’APD belge conclut que l’intérêt légitime des organisations participantes ne peut être considéré comme un terrain légal approprié pour les activités de traitement survenant sous l’Open Real Time Bidding (OpenRTB), selon les préférences utilisateurs et les choix saisis sous le TCF.” (Paragraphe 461)

Vous pouvez configurer des restrictions de l'éditeur pour que le consentement soit la seule base légale pour tous vos partenaires et toutes les finalités du TCF. Consultez notre guide pour configurer les restrictions de l’éditeur dans vos notices de consentement.

Recommandation 2 - Évaluer et limiter le nombre des fournisseurs pour lesquels vous collectez des consentements

L’APD souligne qu’un nombre élevé de partenaires dans une notice de consentement et dans l'écosystème adtech limite la bonne compréhension de vos utilisateurs :

“La Chambre de résolution des litiges insiste sur le fait qu’un grand nombre de tierces parties : les partenaires adtech qui potentiellement recevront et traiteront les données personnelles des utilisateurs contenues dans la demande d’enchères, selon les préférences choisies, n’est compatible ni avec la nécessité d’un consentement avisé, ni avec le devoir de transparence établi par le Règlement Général de la Protection des Données (RGPD).” (Paragraphe 472)

Nous vous recommandons de limiter le nombre de partenaires dans les notices sur vos sites et applications. La liste exhaustive de partenaires est la base d’un contrôle total de vos moyens de collecte et de traitement des données personnelles. On vous conseille tout particulièrement de bien identifier les transferts internationaux, qui sont aussi un point d’attention pour l’Autorité Européenne de Protection des Données (AEPD). L’APD considère également les transferts dans ses décisions, bien que ce ne soit pas entré en compte cette fois-ci.

L’APD n’a pas clairement défini un “bon” nombre de fournisseurs. Ce nombre dépend largement de votre type d’entreprise, de vos contraintes de monétisation et de vos modes opératoires, si bien qu’il n’est ni judicieux ni vraiment possible d’établir un standard. 

Si vous souhaitez être accompagné pour établir la liste de vos partenaires et identifier ceux qui vous sont essentiels, l’équipe d’Agnostik peut évaluer la configuration actuelle de votre entreprise et l’impact de chacun d’entre eux sur votre recette annuelle. Année après année, Agnostik a développé une expertise unique dans l’évaluation identitaire et comportementale des partenaires.

Vous pouvez aussi à tout moment contacter votre Customer Success Manager pour de l’aide sur le sujet.

Recommandation 3 - Catégoriser les données collectées dans la notice de consentement ou de préférences

L’APD déclare également que les catégories de données devraient être partagées aux utilisateurs dans la notice de la CMP :

La Chambre de résolution des litiges constate que l’interface utilisateur de la CMP ne fournit pas une vue d’ensemble des catégories de données collectées, ce qui rend impossible pour les utilisateurs de donner un consentement éclairé.” 

L’APD ne demande qu’un aperçu des différentes catégories de données, ce qui veut dire qu’il ne sera pas nécessaire de communiquer la liste complète des données correspondantes à une demande d’enchères. Cela concerne vraisemblablement les données comportementales, contextuelles, etc.

Nous recommandons aux médias et annonceurs d’ajouter les nouvelles catégories appropriées grâce aux champs présents dans la Console Didomi. Ce texte s’ajoute automatiquement sous la liste des finalités. Les catégories peuvent aussi être affichées dès l’ouverture de la notice par l’ajout de code CSS afin de rendre les différents éléments plus clairs et cohérents pour les utilisateurs.

Voici une suggestion de texte : Quand vous accédez à notre site, nous et nos partenaires pouvons stocker et accéder à des données non confidentielles depuis votre terminal, comme des cookies ou un identifiant. Nous sommes également susceptibles de traiter des données personnelles comme des identifiants en ligne (adresses IP, identifiant publicitaire), des données comportementales (historique de recherche) ou encore votre géolocalisation.

Recommandation 4 - Classer les finalités de traitement d’IAB par catégories

Dans sa décision, l’APD déclare que le TCF, dans son état actuel, ne répond pas aux finalités appropriées :

“La Chambre de résolution des litiges conclut que le traitement des finalités proposé n’est pas décrit avec suffisamment de clarté et peut parfois même induire en erreur.”

Nous offrons à nos clients la possibilité de décrire les finalités TCF avec leurs mots. Une mesure temporaire en attendant que l’IAB Europe fournisse des informations complémentaires comme la manière d’ajuster les finalités TCF, pour trouver un équilibre entre clarté et granularité.

 

Recommandation 5 - Faciliter l’accès, le téléchargement et la suppression des données de vos utilisateurs

Une autre mise en lumière de l’APD est le problème du désengagement. Le manque de clarté général des CMP met en danger la validité des consentements recueillis. En attendant que le TCF garantisse la prise en compte en temps réel des rétractations, vous pouvez l’assurer vous-même : ajoutez un lien vers la CMP sur toutes les pages de vos sites et applications. Cela assure également que la configuration de votre CMP est au point, en particulier si vous utilisez un Tag Management System.

Recommandation 6 - Rappelez les notices de votre CMP à vos utilisateurs

En demandant à IAB Europe de supprimer toutes les informations collectées dans le périmètre global, l’APD nous dit :

“Il est de la responsabilité des CMP et des médias qui appliquent le TCF de prendre les mesures nécessaires, conformément aux articles 24 et 25 du RGPD, assurant que les données personnelles collectées en infraction avec l’article 5 et 6 du RGPD ne soient plus traitées et soient supprimées.” (Paragraphe 535)

Cela suggère que tout consentement collecté en amont de cette décision constitue une infraction au RGPD. C’est pourquoi nous conseillons à nos clients médias de rappeler leurs notices à leurs utilisateurs une fois les actions susdites mises en place. Cela remplacera les précédents consentements collectés via le TCF.

FAQ

Est-ce que je risque l’illégalité en poursuivant l’utilisation d’une CMP intégrant le TCF? 


En principe, non. Premièrement pour des questions de temps et de procédures, deuxièmement pour des raisons légales et techniques.

N’oublions pas que la décision de l’APD peut encore être contestée. Cela dit, un délai de grâce est déjà accordé : deux mois pour présenter un plan valable et efficace qui redresse les points relevés par l’APD, six de plus pour le mettre en œuvre. Beaucoup d’APD locales avaient donné leur accord (ainsi que des principes généraux concernant le droit de défense) à l’APD avant l’annonce de la décision. Aujourd’hui, toute enquête ou plainte intervenant avant la fin de ce processus (appel le cas échéant et collaboration avec l’APD) pourrait perturber le travail de la justice.

Ensuite, d’un point de vue technico-légal, la décision en elle-même ne conclut pas que l’usage de Transparency and Consent (TC) Strings ou plus largement du TCF soit illégal. Certes, elle demande aux CMP de supprimer les TC Strings si elles contiennent “des données personnelles collectées en infraction aux articles 5 et 6 du RGPD”, mais ne dit en aucun cas que les médias et partenaires ou les CMP collectent automatiquement des données en défiant le RGPD. Autrement dit, la décision de l’APD n’ouvre pas la porte aux attaques d’APD locales contre tel ou tel partenaire, média ou CMP.

Dois-je désactiver le TCF sur mon site ?


Nous ne vous recommandons pas de le faire. Rien dans la décision de l’APD ne laisse penser que les messages d’invitation au consentement deviennent illégaux ou ne devraient plus être utilisés par le marketing digital. En revanche, l’APD semble pousser à plus d’information au moyen de popups de consentement. Selon elle, les préférences utilisateur sont des données personnelles concernées par le RGPD. Communiquer sur la collecte de données supplémentaires (au moyen d’invitations) pourrait être le seul moyen d’obtenir une vraie transparence concernant la création, le stockage et le traitement des TC Strings.

Didomi va-t-il retirer l’intérêt légitime comme base légale sur sa CMP ?


L’APD conclut que le recours aux intérêts légitimes est inapproprié pour les finalités comportant de la publicité ciblée ou du profilage d’utilisateurs (excluant les finalités non liées au marketing comme les mesures d’audience ou de performance). Il est demandé à IAB Europe d’interdire l’appui sur les intérêts légitimes pour le traitement des données par TCF, toutefois on ne sait pas encore si cela concerne toutes les finalités ou exclusivement celles relatives au marketing personnalisé. IAB communique avec l’APD pour éclaircir ce point d’ombre. (voir la question “IAB Europe va-t-elle faire appel au Tribunal de commerce ?”)

En attendant, vous pouvez ajouter des restrictions de l'éditeur pour instaurer le consentement comme base légale (voir nos recommandations plus haut).

Comment la décision de l’APD belge impacte la CMP de Didomi appliquant le TCF ?


Nous évaluons encore les conséquences de cette décision, mais il semble que l’APD conçoive les CMP comme des responsables conjoints du traitement (la TC String dans cet exemple). Les CMP devront alors établir une base légale comme tout bon responsable.

Didomi comme responsable conjoint potentiel

On remarque que, selon l’APD belge, les CMP pourraient être considérées comme des responsables conjoints de l’information. Cela va à l’encontre de propos tenus par d’autres APD. Nous travaillerons avec IAB Europe et nos clients pour déterminer la meilleure ligne de conduite.

L’intérêt légitime comme cadre légal

L’APD belge ne semble considérer ni le consentement ni l’exécution d’un contrat comme cadre légal adapté au traitement de la TC String par IAB Europe. On peut pourtant penser que l’intérêt légitime constituerait un cadre légal pertinent : l’APD considère que récupérer les consentements et préférences ne démontre en rien que les usagers ont donné leur accord pour recevoir de la publicité mais plutôt qu’ils n’ont “pas refusé”. Cela peut être considéré comme de l’intérêt légitime, et l’information traitée dans la TC String est limitée aux données qui leur sont strictement nécessaires. On nous rappelle que tout utilisateur doit avoir accès aux conditions du stockage de ses préférences dans la TC String,  connaître sa possibilité de retrait et la marche à suivre le cas échéant. 

Quels sont les délais d’application de la décision ?


La décision de l’APD peut encore être contestée. Cela dit, un délai de grâce est déjà accordé : deux mois pour présenter un plan valable et efficace qui redresse les points relevés par l’APD, suivis de six mois pour le mettre en œuvre.

La Belgique est-elle seule concernée par cette décision ? Quid des entreprises des autres pays d’Europe ?


Une ébauche du projet avait été partagée avec d’autres APD. L’APD belge à eu les retours de deux autorités concernant la notion de responsabilité conjointe, l’utilisation des intérêts légitimes pour certaines opérations, l’étendue des mesures correctives ainsi que les réparations administratives envisagées ou la relation entre IAB Inc. et IAB Europe. Une deuxième version, mieux reçue, a proposé des ajustements aux APD concernées.

Cela montre que d’autres APD s’alignent avec les conclusions de l’APD belge. Il est donc probable que d’autres APD prennent cette décision en compte pour s’assurer de rester en règle.

Si vous avez d’autres questions sur le sujet, n’hésitez pas à contacter votre Customer Success Manager.