Cet article a été mis à jour afin de refléter la décision des autorités belges de protection des données du 2 février 2022 considérant IAB Europe comme un responsable du traitement. Elle exige également d’IAB Europe qu’ils rectifient le cadre dans les six mois après soumission d’un plan d’action dans les deux mois. Vous pouvez lire le communiqué de presse officiel des autorités belges de protection des données ici.
CONTEXTE RAPIDE
Le Transparency & Consent framework (TCF) d’IAB Europe est le standard de l’industrie publicitaire le plus utilisé pour la conformité au RGPD. Lancé en 2018, il est utilisé par les plateformes de gestion du consentement (CMP) qui ont été validées par IAB Europe dans les plus grandes sociétés médiatiques d’Europe et des États-Unis.
Il y a un an, de nombreuses plaintes relatives au RGPD ont été déposées contre IAB Europe par un consortium pan-européen d’activistes militant pour la protection des données personnelles, dont Johnny Ryan de l’Irish Council for Civil Liberties et anciennement Chief Privacy Officer du navigateur Brave axé sur la protection des données personnelles. Ces plaintes portaient principalement sur le Transparency & Consent Framework d’IAB Europe. D’autres plaintes relatives aux enchères en temps réel (Real Time Bidding – RTB) ont également été déposées en parallèle.
En novembre 2021, l’enquête menée par le service d’inspection des autorités belges de protection des données (APD) a donné lieu à un rapport préliminaire concluant que le TCF n’est pas conforme aux principes de transparence, d’équité et de responsabilité du RGPD, ni à la licéité du traitement des données. Le dossier a ensuite été transmis à la chambre des litiges de l’APD. La décision préliminaire a été publiée et envoyée aux autres autorités européennes de protection des données afin d’obtenir un retour d’information.
Le 2 février 2022, l’APD a annoncé sa décision définitive.
LE TCF DE MA CMP EST-IL NON CONFORME AU RGPD ?
Contrairement aux gros titres récents, le TCF n’a pas été jugé illégal.
IAB Europe a deux mois pour présenter un plan d’action aux autorités de protection des données, puis, à condition qu’il soit approuvé, une période de six mois pour travailler avec les autorités de protection des données afin de résoudre les problèmes identifiés et revoir le TCF en conséquence. Ce travail de collaboration devrait permettre au TCF de devenir un code de conduite RGPD transnational approuvé par l’intégralité du Comité européen de la protection des données (EDPB), une chose que de nombreuses autorités de protection des données demandaient depuis un certain temps. Nous pensons que cela ne va que renforcer le TCF en tant que cadre de conformité.
À court terme, les éditeurs se demandant si le TCF peut toujours être utilisé pour recueillir un consentement valide peuvent compléter les divulgations d’informations qu’ils font sur les finalités du traitement des données à l’aide d’un langage plus simple et plus clair.
QUEL EST LE VERDICT FINAL DES AUTORITÉS BELGES DE PROTECTION DES DONNÉES ?
Le 2 février 2022, l’APD a annoncé qu’elle avait décidé d’accorder six mois à IAB Europe pour mettre en place des mesures correctives, y compris (entre autres) :
- l’établissement d’une base légale valide pour le traitement et la diffusion des préférences des utilisateurs dans le contexte du TCF, ainsi que l’interdiction de l’utilisation de l’intérêt légitime comme base pour le traitement des données personnelles par les organisations participant au TCF ;
- le contrôle strict des organisations participantes afin de garantir leur conformité au RGPD.
Les points principaux à retenir après le verdict sont les suivants :
- IAB Europe est responsable du traitement.
- La chaîne TCF représente des données personnelles.
- Certaines désignations d’intérêt légitime sont incorrectes.
- L’IAB a deux mois pour présenter un plan d’action, après quoi ils devront résoudre les problèmes dans les six mois.
Cette décision de l’APD fait suite à son annonce du 25 novembre 2021 indiquant qu’elle avait finalisé et envoyé à ses homologues européens une décision préliminaire concernant la conformité du TCF d’IAB Europe au RGPD. 27 autorités de contrôle ont fait part de leur volonté de s’impliquer dans cette procédure.
Ces autorités ont eu quatre semaines pour fournir leurs commentaires, après quoi la décision a été finalisée.
Vous pouvez lire la décision complète de l’APD ici.
L’IAB a annoncé son intention de faire appel de cette décision. IAB a publié un FAQ ici.
QUEL EST L’IMPACT SUR L’AVENIR DU TCF ?
Nous pensons qu’il s’agit d’une opportunité pour améliorer la norme. Sourcepoint surveille la situation de très près, mais nous ne recommandons pas à nos clients d’apporter des changements importants immédiatement.
Nous allons continuer à travailler en partenariat pour vous aider à vous adapter aux réglementations en constante évolution.
Les normes sont très importantes pour la conformité et c’est un point sur lequel de nombreuses autorités de protection des données s’accordent.
QUAND VAIS-JE DEVOIR APPORTER DES CHANGEMENTS À MON IMPLÉMENTATION DE CMP ?
L’une des conclusions définitives de l’APD est que l’intérêt légitime ne constitue pas une base légale recevable. Les clients doivent consulter leurs propres équipes juridiques, comme toujours, mais nous vous recommandons de saisir cette opportunité pour changer la base légale en consentement pour tout fournisseur tiers ou bien finalité avec des bases légales flexibles.
Nous recommandons en outre d’en profiter pour auditer votre liste de fournisseurs tiers et votre implémentation CMP avec votre équipe juridique afin de garantir votre conformité totale aux politiques actuelles du TCF.
Le TCF sera indéniablement modifié, mais en attendant, il est important de s’assurer que tout soit en ordre dans votre société pour continuer à bénéficier du TCF. Pour obtenir de l’aide afin de mettre en évidence les fournisseurs tiers détectés sur votre site, contactez-nous pour une démonstration de notre plateforme de vérification de la conformité Diagnose.
Enfin, il est bon de rappeler que tout ceci va prendre du temps. IAB Europe a six mois pour résoudre les problèmes identifiés par les autorités de protection des données et pour réviser le TCF en conséquence. Un tel travail de collaboration devrait permettre au TCF de devenir un code de conduite RGPD transnational, une chose que de nombreuses autorités de protection des données demandaient depuis un certain temps. Cela ne fera que renforcer le TCF en tant que cadre de conformité.
Inscrivez-vous à notre webinaire sur la décision de l’APD
Participez à notre webinaire mardi 1er mars à 11h00 ET/16h00 GMT. Nous vous donnerons un aperçu de la décision de l’APD, aborderons les différentes mesures que les éditeurs et les annonceurs devraient envisager de prendre immédiatement et nous répondrons aussi à vos questions. Inscrivez-vous ici.
Une composante essentielle de notre modèle d’entreprise est l’anticipation des changements des réglementations de la protection des données personnelles et l’adaptation de nos produits et services en fonction de ces changements. Nous sommes prêts à vous aider à faire tout changement qui s’avère nécessaire. C’est la raison pour laquelle les plus grands éditeurs d’Europe choisissent Sourcepoint comme partenaire pour la conformité au RGPD.
Lisez la déclaration de notre cofondateur et CEO sur la décision des autorités belges de protection des données ici.
Le blog de Sourcepoint est fourni à titre d’information générale uniquement, il n’a pas la valeur d’avis juridique et ne doit pas servir de fondement à la prise de décisions juridiques. Veuillez demander les conseils d’un avocat sur la manière dont les nouvelles réglementations peuvent affecter votre entreprise.