Le 15 mars 2023, l’Autorité de protection des données belge (APD) a volontairement suspendu la période de mise en œuvre de six mois du plan d’action de l’IAB Europe. Cela signifie que la date limite du 11 juillet 2023 pour que l’IAB Europe déploie son plan d’action ne s’applique plus.
Cette décision fait suite à un second recours de l’IAB Europe devant la Cour des marchés belge, demandant des mesures provisoires, en raison de questions encore en examen par la Cour de justice de l’Union européenne (CJUE) sur la responsabilité du traitement et des données au regard du RGPD.
La décision de la Cour des marchés belge sur ce deuxième recours est attendue à la fin du 2e trimestre ou au début du 3e trimestre 2023. Si la décision de l’APD belge de janvier 2023 est confirmée, le délai de six mois pour la mise en œuvre du plan d’action reprendra. La date limite serait alors reportée du 11 juillet 2023 au 4e trimestre 2023.
Les décisions de l’APD belge
Le 2 février 2022, l’APD belge a rendu sa décision dans l’affaire intentée contre l’IAB Europe et son cadre de référence de transparence et de consentement (TCF). L’affaire portait sur plusieurs plaintes déposées auprès de l’APD belge en 2019 concernant le rôle du TCF de l’IAB dans le système OpenRTB et l’utilisation de TC strings pour recueillir les préférences de consentement des personnes concernées. Un peu moins de 12 mois plus tard, l’APD belge validait un plan d’action permettant de mettre le traitement des données à caractère personnel dans le cadre du TCF de l’IAB en conformité avec le RGPD. Le calendrier de son déploiement est toujours en cours de discussion.
L’APD belge avait rendu une décision préliminaire en novembre 2021, qui, à l’époque, donnait aux autorités de contrôle concernées quatre semaines pour donner leur avis dans le cadre du mécanisme à guichet unique. L’APD belge soulignait que cette décision préliminaire avait fait l’objet d’un « examen approfondi » et que deux objections avaient été intégrées à sa décision finale. L’APD belge a ensuite constaté que l’IAB Europe et le TCF violaient plusieurs dispositions du RGPD et a imposé une amende de 250 000 € à l’IAB et deux mois pour qu'il présente un plan d’action correctif.
Ce plan d’action a été approuvé le 11 janvier 2023. L’APD ne communiquera pas d’informations sur son contenu mais l’IAB Europe devra faire des modifications susceptibles d’inclure des exigences plus strictes liées à la protection des données sur les interfaces utilisateur de type CMP. Le calendrier de mise en œuvre n’a pas encore été finalisé.
L’affaire TCF de l’IAB Europe
En 2019, 22 plaintes avaient été déposées auprès de l’APD belge concernant des non-conformités du TCF de l’IAB au regard du RGPD, la conduisant à lancer une enquête.
En 2020, il a été conclu que le TCF de l’IAB était en violation du RGPD sur les points suivants : il permettait aux organisations d’échanger des informations personnelles sur les personnes concernées sans autorisation préalable et il ne fournissait pas de mesures de contrôle adaptées pour le traitement des données à caractère personnel dans le système OpenRTB.
Treize mois plus tard, l’APD belge informait l’IAB Europe qu’elle était sur le point de finaliser une décision préliminaire, concernant en particulier l’utilisation de TC strings pour partager les préférences de consentement. Les constatations préliminaires de l’APD belge ont ensuite été communiquées aux autorités de contrôle concernées en Europe conformément à l’article 60 du RGPD pour qu’elles puissent la commenter. Les autorités concernées disposaient de quatre semaines pour donner leur avis qui a été inclus dans la décision finale rendue par l’APD belge.
En janvier 2023, un plan d’action a été approuvé par l’APD belge, donnant à l’IAB Europe six mois pour mettre à jour le cadre de référence. À peine deux mois plus tard, en mars 2023, cette date limite de six mois a été suspendue, et le calendrier de mise en œuvre est actuellement en cours d’examen.
Constatations de l’APD belge dans l’affaire IAB Europe
Dans sa décision finale, l’APD belge déclarait qu’elle estimait que l’IAB Europe agissait en tant que responsable du traitement en ce qui concerne les préférences de consentement des personnes concernées par le biais de « TC strings ». Par conséquent, l’IAB Europe pouvait être tenu responsable des violations du RGPD. En particulier, l’APD belge précisait qu’elle estimait que l’IAB Europe était en faute sur les points suivants :
- Manquement à établir une base légale pour traiter les informations personnelles
- Manquement à informer correctement les personnes concernées de la nature et de la portée du traitement compte tenu de la complexité du TCF
- Manque de mesures techniques et organisationnelles conformément au principe de protection de la vie privée dès la conception/par défaut
- Absence de registre des traitements
- Manquement à la nomination d’un délégué à la protection des données (DPO)
- Manquement à mener une analyse d’impact relative à la protection des données (AIPD)
L’APD belge avait également inclus dans ses constatations que l’IAB Europe ainsi que les plateformes de gestion du consentement (CMP), les éditeurs et les fournisseurs AdTech participants devaient être considérés comme des responsables conjoints du traitement pour la collecte et le traitement des préférences de consentement des personnes concernées.
« Le traitement des données à caractère personnel (par exemple, l’enregistrement des préférences des utilisateurs) dans la version actuelle du TCF est incompatible avec le RGPD, en raison d’une violation de données inhérente au principe d’équité et de licéité. Les individus sont invités à donner leur consentement, alors que la plupart d’entre eux ne savent pas que leurs profils sont vendus un grand nombre de fois par jour pour les exposer à des publicités personnalisées. Bien qu’elle concerne uniquement TCF, et non l’ensemble du système d’enchères en temps réel, notre décision aujourd’hui aura un impact majeur sur la protection des données à caractère personnel des internautes. L’ordre doit être rétabli dans le système TCF pour que les utilisateurs puissent reprendre le contrôle sur leurs données. »
— Hielke Hijmans, Président de la Chambre Contentieuse de l’APD belge
La réponse de l’IAB Europe
Le 2 février 2022, l’IAB Europe publiait sa déclaration en réponse aux constatations de l’APD belge dans laquelle il reconnaissait la décision rendue par l’APD belge. Il rejetait toutefois la conclusion selon laquelle il agissait en tant que responsable du traitement dans le cadre du TCF. À ce moment, l’IAB Europe a déclaré explorer les options juridiques lui permettant de contester les constatations de l’Autorité.
Le 11 janvier 2023, l’IAB Europe réagissait à la validation de son plan de remédiation par l’APD belge en faisant part de ses réserves sur le fait que l’APD ait anticipé la décision de la CJUE, alors qu’un recours était toujours en cours. Ce sont notamment les hypothèses que les TC strings seraient des données à caractère personnel et que l’IAB un responsable conjoint des traitements effectués par les participants au TCF qui étaient mises en cause. L’IAB déclarait que ses réserves découlaient d’une volonté de développement durable et non « de lancer des modifications du TCF qui pourraient devoir être annulées à l’issue de la procédure d’appel ».
Conséquences de la décision de l’APD belge pour les éditeurs utilisant le TCF, notamment les clients OneTrust
Cette décision est intervenue dans le contexte de plusieurs changements réglementaires et sectoriels ayant un impact sur l’écosystème AdTech. De plus en plus d’éditeurs, de spécialistes du marketing et de leaders d’opinion du secteur se sont demandé comment ils pouvaient proposer aux consommateurs une personnalisation tout en protégeant leur vie privée.
La décision de l’APD belge a mis en évidence des problèmes de conformité liés au real-time bidding. En conséquence, le secteur devra unir ses efforts pour actualiser les normes ou cadres de référence existants ou en élaborer de nouveaux pour renforcer la confiance entre les éditeurs, les annonceurs et les consommateurs. Les solutions de blocage des données et des cookies first-party sont susceptibles de devenir de plus en plus prévalentes à l’avenir.
L’IAB Europe a depuis présenté un plan d’action à l’APD, qui l’a approuvé. Bien qu’il y ait pour l’instant peu d’informations publiques sur les modifications que les éditeurs devront apporter à leurs sites Web pour s’aligner sur le nouveau cadre de référence, l’IAB Europe devra mettre en œuvre ces ajustements.
Les exploitants de sites Web utilisant le TCF devront également mettre à jour leur CMP pour adopter les changements exigés par le plan d’action. OneTrust surveille l’affaire de près et a préparé un plan d’action pour le moment où une décision officielle sera prise sur le TCF.
L’étape suivante dans l’affaire IAB Europe
En conséquence immédiate de la décision, l’APD belge a imposé une amende administrative de 250 000 € à l’IAB Europe suite à ses constatations et a noté que le TCF pourrait entraîner une perte de contrôle sur de grandes quantités d’informations personnelles.
L’impact à plus long terme de la décision repose sur la validation par l’APD belge du plan d’action de l’IAB Europe. Celui-ci doit mettre en œuvre les modifications validées par l’APD, pour mettre le TCF en conformité avec le RGPD, bien que le calendrier de mise en œuvre ne soit pas encore finalisé.
En l’absence d’informations supplémentaires sur le plan d’action, il est difficile de dire à quoi ressemblera le TCF une fois corrigé. Cependant, l’APD belge a définit une série de mesures correctives que l’IAB Europe devrait intégrer à son plan et qui devraient figurer dans la version validée de la remédiation. Il s’agit notamment d’établir une base légale valide pour le traitement et le partage des informations personnelles, d’interdire aux organisations qui participent au TCF de s’appuyer sur l’intérêt légitime comme base légale pour le traitement et d’établir des procédures pour examiner les organisations qui participent au TCF afin de s’assurer qu’elles respectent les exigences du RGPD, ainsi que de définir des exigences plus strictes en matière de protection des données pour les interfaces utilisateur des CMP.
L’APD belge a indiqué qu’elle ne communiquerait pas le contenu du plan d’action pour le moment en raison de procédures encore en cours devant les tribunaux. Par conséquent, les éditeurs devront surveiller attentivement l’évolution de la situation au cours des prochains mois pour se tenir informés des mises à jour concernant le TCF et des mesures qu’ils devront prendre en conséquence.
Autres ressources sur l’affaire IAB Europe
- Actualités OneTrust DataGuidance : L’APD belge approuve le plan d’action de l’IAB Europe
- Annonce de l’APD belge : La Chambre contentieuse de l’APD belge approuve le plan d’action de l’IAB Europe
