TCF de l’IAB illégal ? Tous les faits ici dans la FAQ

L’autorité belge de protection des données APD, dans une procédure qui dure depuis une bonne année, le 02. Février 2022 a pris une décision. Le texte explicatif d’environ 130 pages montre de nombreuses faiblesses du TCF de l’IAB, mais aussi de nombreuses opportunités de réforme. Le cadre de transparence et de consentement est-il désormais illégal ? De quoi les éditeurs doivent-ils tenir compte ? Et comment ça continue ? Notre FAQ explique.

une page Web avec le visage d'un homme dessus

Mise à jour juin 2023

(mise à jour juin 2023) Avec le TCF 2.2, l’IAB a fixé le cap pour franchir les étapes mentionnées dans le plan d’action. Une phase de transition se déroulera désormais jusqu’au 30 septembre 2023, au cours de laquelle les fournisseurs et les sites Web pourront se mettre à jour vers la nouvelle norme. A partir d’octobre 2023, seul le TCF de l’IAB en version 2.2 s’appliquera.

Mise à jour janvier 2023

(Mise à jour janvier 2023) Le plan d’action soumis par l’IAB Europe a été accepté par l’APD et de nouvelles étapes vers la conformité au RGPD ont été initiées. L’IAB Europe dispose désormais de 6 mois pour mettre en œuvre le plan d’action.

Mise à jour d’avril 2022

(Mise à jour d’avril 2022) L’IAB Europe a entre-temps déposé une plainte auprès du tribunal compétent (tribunal du marché) et contesté la procédure et la décision en tant que telles. Parallèlement, le plan d’action demandé a été soumis par IAB Europe. L’APD va maintenant examiner le plan d’action ; cependant, une décision n’est pas attendue avant fin juin 2022. Si le plan d’action est accepté par l’APD, IAB Europe doit alors le mettre en œuvre dans un délai de 6 mois.

Mise à jour de mai 2022

(mise à jour de mai 2022) L’IAB Europe a retiré sa demande de suspension de la procédure après que l’APD a confirmé le calendrier d’examen du plan d’action. En conséquence, l’APD ne se prononcera pas sur le plan d’action avant le 1er septembre 2022. D’ici là, le tribunal belge (tribunal du marché) aura également décidé de la procédure et la mise en œuvre du plan d’action pourra avoir lieu dans les 6 mois suivants.

Qu’est-il arrivé?

Dans son rapport final, l’autorité belge de protection des données APD a formulé divers problèmes pour l’IAB Europe et l’IAB TCF. Le principal point d’achoppement est qu’APD considère IAB Europe comme le client. De plus, la chaîne TC générée par le TCF (les informations de consentement) est considérée comme une donnée personnelle, qui nécessiterait elle-même un consentement.

Qu’est-ce que la Belgique a à voir là-dedans ?

Depuis l’entrée en vigueur du RGPD en 2018, plusieurs plaintes ont été déposées dans différents pays contre l’IAB Europe en tant qu’organisme à l’origine de la norme IAB TCF et des politiques et CMP associées. L’IAB Europe étant basé à Bruxelles, l’autorité belge de protection des données était en charge de la procédure (règlement « one-stop-shop » du RGPD).

Le jugement belge s’applique-t-il également dans d’autres pays ?

Oui, toutes les autorités de protection des données doivent suivre la réglementation belge et ne pas s’en écarter.

Que dit exactement le jugement ?

Le verdict compte plus de 120 pages et peut être téléchargé ici au format PDF (en anglais). Cela devient « intéressant » à partir de l’article 535, dans lequel les infractions réelles sont expliquées :

  • Le TCF ne représente pas une base juridique valable pour le traitement des décisions des utilisateurs. Le consentement n’a pas été suffisamment donné (voir point suivant)
  • Le TCF ne reflète pas de manière transparente les informations dont un utilisateur a besoin pour prendre une décision.
  • La sécurité du TCF en tant que mécanisme n’est pas suffisante (par exemple pour prévenir les comportements répréhensibles des CMP).
  • L’IAB est considéré comme le client (contrôleur) et les données. Il en résulte certaines obligations pour l’IAB Europe, non respectées à ce jour ; spécifiquement, une liste de traitement de données est manquante.
  • L’IAB Europe n’a pas réalisé de DPIA, bien qu’il soit nécessaire de le faire.
  • L’IAB Europe n’a pas mandaté de délégué à la protection des données, bien que cela soit nécessaire.
Une femme tenant un mégaphone à côté d'un cookie et d'un timbre certifié IAB Europe

Quelles sont les conséquences?

Les sanctions à l’encontre de l’IAB Europe résultent in fine des infractions (voir ci-dessus) et sont :

  • (Re)concevoir le TCF de manière à ce qu’il aboutisse à une base juridique valable.
  • Les données que IAB Europe a collectées jusqu’à présent doivent être supprimées.
  • La base juridique « intérêt légitime » ne peut plus être utilisée dans le TCF.
  • Réorganisation du TCF afin que les CMP disposent d’un moyen « harmonisé » d’obtenir le consentement d’une manière conforme au RGPD. Les informations doivent être présentées de manière concise, concrète mais compréhensible.
  • Des mécanismes de sécurité appropriés doivent être développés pour protéger le TCF.
  • L’IAB Europe doit créer un registre des traitements de données.
  • L’IAB Europe doit mener un DPIA.
  • L’IAB Europe doit désigner un délégué à la protection des données.

De plus, l’IAB Europe est tenue d’établir un « Plan d’action » dans un délai de 2 mois. Il s’agit de montrer les étapes à suivre pour rendre le TCF conforme à l’avenir. Dès que le plan a été accepté par l’APD, l’IAB dispose alors de 6 mois supplémentaires pour le mettre en œuvre en conséquence.

 

Tous les CMP sont-ils désormais illégaux ?

non Un CMP comme celui de consentmanager est généralement indépendant de cela – après tout, un opérateur de site Web peut configurer le CMP de manière à ce qu’il devienne conforme ou désactiver complètement le TCF dans le CMP.

Le TCF est-il désormais illégal ?

non Le formulaire actuel est jugé insuffisant. L’IAB Europe a maintenant pour mission d’initier les mesures appropriées et de remettre le TCF en conformité.

Et après?

L’IAB Europe dispose désormais de 2 mois pour élaborer des mesures et/ou soumettre une objection. Il est supposé que les deux se produiront : il y aura certainement une objection à des composants individuels de la décision – en même temps, nous verrons comment le TCF peut être mis sur une base sûre. Il s’agit notamment ici de transformer le TCF en Code de Conduite (CoC). L’IAB y travaille depuis longtemps. Un CdC présenterait d’autres avantages et une plus grande sécurité juridique.

Qui le jugement affecte-t-il ?

Tout d’abord, cela n’affecte directement que l’IAB Europe. Indirectement, cela affecte les CMP, les fournisseurs et les éditeurs à moyen terme – au plus tard lorsque de nouveaux objectifs et bases juridiques doivent être définis dans la couche de consentement ou que la sous-structure technique change.

Comment dois-je réagir maintenant ?

Comme pour tout. il n’est pas faux de regarder de près et d’attendre et de voir comment les acteurs se comportent.

En tant que recommandation générale, on peut en déduire que « l’intérêt légitime » n’est pas considéré comme une base juridique suffisante pour la publicité en ligne – cela avait déjà été annoncé à l’avance et dans d’autres jugements. Si vous utilisez des outils de marketing sur votre site Web, vous devez vérifier s’ils nécessitent un consentement.

De manière générale, nous conseillons d’utiliser le TCF uniquement lorsque c’est vraiment nécessaire. Ce n’est peut-être pas le cas pour la plupart des sites Web de commerce électronique, par exemple. Dans le même temps, la plupart des sites d’information continueront de s’appuyer sur le TCF. Ici, nous vous recommandons de vérifier attentivement les textes de description et les listes de fournisseurs et, si nécessaire, de fournir des descriptions plus précises et des informations supplémentaires.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Dois-je supprimer toutes mes données maintenant ?

non Le jugement belge ne concerne pour l’instant que IAB Europe. Indirectement, cependant, on peut supposer qu’un « pur TCF CMP » tombe également sous les conditions de l’arrêt et n’a donc pas obtenu légalement l’agrément.

Les sites Web utilisant le TCF sont-ils désormais en danger ?

non D’une part, les acteurs attendront dans un premier temps – cela s’applique également aux autres autorités de protection des données dans d’autres pays. Tant que la procédure est encore « en cours », cela n’a aucun sens d’utiliser la procédure comme base pour des avertissements ou de nouvelles procédures.

En revanche, on ne sait toujours pas si le TCF lui-même peut être utilisé de manière conforme sous certaines conditions. Là aussi, il reste à voir et, le cas échéant, à garder un œil sur l’évolution du TCF.

Que fait consentmanager pour moi ? Que devrais-je faire?

En tant que membre de l’IAB Europe et de diverses associations nationales et autres groupes, consentmanager est activement impliqué dans les délibérations et les décisions au sein de l’IAB. A cet égard, consentmanager pourra mettre en œuvre rapidement toutes les mesures nécessaires afin de pouvoir protéger juridiquement ou techniquement ses clients.

En tant que client consentmanager, vous n’avez rien à faire de spécifique (voir ci-dessus pour les exceptions). Tous les ajustements techniques et procéduraux que nécessite un « nouveau » TCF peuvent être effectués en interne par nos soins – il n’est plus nécessaire d’échanger les codes maintenant.

Vous ne voyez pas votre question ?

N’hésitez pas à nous contacter directement.