L’autorité belge de protection des données APD, dans une procédure qui dure depuis une bonne année, le 02. Février 2022 a pris une décision. Le texte explicatif d’environ 130 pages montre de nombreuses faiblesses du TCF de l’IAB, mais aussi de nombreuses opportunités de réforme. Le cadre de transparence et de consentement est-il désormais illégal ? De quoi les éditeurs doivent-ils tenir compte ? Et comment ça continue ? Notre FAQ explique.
Mise à jour mars 2024
La Cour de Justice européenne a statué dans l’affaire IAB TCF que la chaîne TC (« Consent String ») constitue une donnée personnelle au sens du RGPD. Les données contenues dans la chaîne concernent des utilisateurs identifiables et pourraient donc être utilisées pour créer des profils d’utilisateurs et identifier les utilisateurs. Par ailleurs, IAB Europe est désormais identifiée comme « responsable du traitement conjoint » au sens du RGPD, ce qui signifie qu’elle partage la responsabilité du traitement des données lorsque les préférences de consentement des utilisateurs sont enregistrées dans une chaîne TC. Cela signifie qu’elle partage avec ses membres les décisions concernant les finalités et les modalités du traitement des données, mais pas le traitement des données lui-même. Le rôle d’IAB Europe en tant que responsable du traitement ne s’étend pas aux activités de traitement des données après que le consentement de l’utilisateur a été stocké dans une chaîne TC, à moins qu’il puisse être démontré qu’IAB Europe influence les finalités et les moyens des activités de traitement des données ultérieures.
Il est important que les entreprises participant au TCF en tant qu’éditeur ou fournisseur de technologie publicitaire mettent à jour leurs documents juridiques en temps opportun afin de tenir les utilisateurs finaux informés de ces changements. En particulier en ce qui concerne l’article 26 du RGPD, les entreprises doivent informer leurs utilisateurs finaux de l’existence d’un accord de contrôle conjoint avec IAB Europe et le fournisseur du site Internet concerné.
Mise à jour septembre 2023
( Mise à jour du 21 septembre 2023 ) Le 21 septembre, une audience publique a eu lieu devant la quatrième chambre de la CJCE, au cours de laquelle les parties impliquées ont également été interrogées par les juges. Comme il n’y aura pas d’avis de l’avocat général, il est prévu que la CJCE rende son arrêt entre fin 2023 et début 2024. Une fois le jugement publié, le tribunal belge (Market Court) pourra finaliser son appréciation des arguments avancés dans la plainte d’IAB Europe.
( Mise à jour de septembre 2023 ) Le tribunal belge (Tribunal des marchés) a décidé d’attendre l’arrêt de la Cour de justice européenne (CJCE) et de suspendre son évaluation du plan d’action d’IAB Europe validé par l’Autorité belge de protection des données (APD). En janvier 2023, IAB Europe a déposé un recours contre la validation anticipée du plan par l’APD. Cela montre que l’APD a agi à la hâte et que l’arrêt de la CJUE influencera la légalité de la décision initiale de l’APD et la manière dont le plan sera mis en œuvre. Il s’agit d’une bonne nouvelle pour les participants de l’IAB Europe et du TCF, car cela évite que des modifications inutiles ne soient apportées sans un examen attentif. Townsend Feehan, PDG d’IAB Europe, a souligné que les modifications apportées au TCF doivent être apportées avec une extrême prudence et conformément à la procédure de la CJUE.
Mise à jour juin 2023
(mise à jour juin 2023) Avec le TCF 2.2, l’IAB a fixé le cap pour franchir les étapes mentionnées dans le plan d’action. Une phase de transition s’étendra désormais jusqu’au 30 septembre 2023, pendant laquelle les fournisseurs et les sites Web pourront se mettre à jour vers la nouvelle Standard . A partir d’octobre 2023, seul le TCF de l’IAB en version 2.2 s’appliquera.
Mise à jour janvier 2023
(Mise à jour janvier 2023) Le plan d’action soumis par l’IAB Europe a été accepté par l’APD et de nouvelles étapes vers la conformité au RGPD ont été initiées. L’IAB Europe dispose désormais de 6 mois pour mettre en œuvre le plan d’action.
Mise à jour d’avril 2022
(Mise à jour d’avril 2022) L’IAB Europe a entre-temps déposé une plainte auprès du tribunal compétent (tribunal du marché) et contesté la procédure et la décision en tant que telles. Parallèlement, le plan d’action demandé a été soumis par IAB Europe. L’APD va maintenant examiner le plan d’action ; cependant, une décision n’est pas attendue avant fin juin 2022. Si le plan d’action est accepté par l’APD, IAB Europe doit alors le mettre en œuvre dans un délai de 6 mois.
Mise à jour de mai 2022
(mise à jour de mai 2022) L’IAB Europe a retiré sa demande de suspension de la procédure après que l’APD a confirmé le calendrier d’examen du plan d’action. En conséquence, l’APD ne se prononcera pas sur le plan d’action avant le 1er septembre 2022. D’ici là, le tribunal belge (tribunal du marché) aura également décidé de la procédure et la mise en œuvre du plan d’action pourra avoir lieu dans les 6 mois suivants.
Qu’est-il arrivé?
Dans son rapport final, l’autorité belge de protection des données APD a formulé divers problèmes pour l’IAB Europe et l’IAB TCF. Le principal point d’achoppement est qu’APD considère IAB Europe comme le client. De plus, la chaîne TC générée par le TCF (les informations de consentement) est considérée comme une donnée personnelle, qui nécessiterait elle-même un consentement.
Qu’est-ce que la Belgique a à voir là-dedans ?
Depuis l’entrée en vigueur du RGPD en 2018, plusieurs plaintes ont été déposées dans divers pays contre IAB Europe en tant qu’organisme à l’origine de la Standard IAB TCF et des politiques et CMP associées. L’IAB Europe étant basé à Bruxelles, l’autorité belge de protection des données était en charge de la procédure (règlement « one-stop-shop » du RGPD).
Le jugement belge s’applique-t-il également dans d’autres pays ?
Oui, toutes les autorités de protection des données doivent suivre la réglementation belge et ne pas s’en écarter.
Que dit exactement le jugement ?
Le verdict compte plus de 120 pages et peut être téléchargé ici au format PDF (en anglais). Cela devient « intéressant » à partir de l’article 535, dans lequel les infractions réelles sont expliquées :
- Le TCF ne représente pas une base juridique valable pour le traitement des décisions des utilisateurs. Le consentement n’a pas été suffisamment donné (voir point suivant)
- Le TCF ne reflète pas de manière transparente les informations dont un utilisateur a besoin pour prendre une décision.
- La sécurité du TCF en tant que mécanisme n’est pas suffisante (par exemple pour prévenir les comportements répréhensibles des CMP).
- L’IAB est considéré comme le client (contrôleur) et les données. Il en résulte certaines obligations pour l’IAB Europe, non respectées à ce jour ; spécifiquement, une liste de traitement de données est manquante.
- L’IAB Europe n’a pas réalisé de DPIA, bien qu’il soit nécessaire de le faire.
- L’IAB Europe n’a pas mandaté de délégué à la protection des données, bien que cela soit nécessaire.
Quelles sont les conséquences?
Les sanctions à l’encontre de l’IAB Europe résultent in fine des infractions (voir ci-dessus) et sont :
- (Re)concevoir le TCF de manière à ce qu’il aboutisse à une base juridique valable.
- Les données que IAB Europe a collectées jusqu’à présent doivent être supprimées.
- La base juridique « intérêt légitime » ne peut plus être utilisée dans le TCF.
- Réorganisation du TCF afin que les CMP disposent d’un moyen « harmonisé » d’obtenir le consentement d’une manière conforme au RGPD. Les informations doivent être présentées de manière concise, concrète mais compréhensible.
- Des mécanismes de sécurité appropriés doivent être développés pour protéger le TCF.
- L’IAB Europe doit créer un registre des traitements de données.
- L’IAB Europe doit mener un DPIA.
- L’IAB Europe doit désigner un délégué à la protection des données.
De plus, l’IAB Europe est tenue d’établir un « Plan d’action » dans un délai de 2 mois. Il s’agit de montrer les étapes à suivre pour rendre le TCF conforme à l’avenir. Dès que le plan a été accepté par l’APD, l’IAB dispose alors de 6 mois supplémentaires pour le mettre en œuvre en conséquence.
Tiens-toi à jour!
S’inscrire à la NewsletterTous les CMP sont-ils désormais illégaux ?
non Une CMP comme celle de consentmanager en est généralement indépendante – après tout, un opérateur de site Web peut configurer la CMP pour qu’elle devienne conforme ou désactiver complètement le TCF dans la CMP.
Le TCF est-il désormais illégal ?
non Le formulaire actuel est jugé insuffisant. L’IAB Europe a maintenant pour mission d’initier les mesures appropriées et de remettre le TCF en conformité.
Et après?
L’IAB Europe dispose désormais de 2 mois pour élaborer des mesures et/ou soumettre une objection. Il est supposé que les deux se produiront : il y aura certainement une objection à des composants individuels de la décision – en même temps, nous verrons comment le TCF peut être mis sur une base sûre. Il s’agit notamment ici de transformer le TCF en Code de Conduite (CoC). L’IAB y travaille depuis longtemps. Un CdC présenterait d’autres avantages et une plus grande sécurité juridique.
Qui le jugement affecte-t-il ?
Tout d’abord, cela n’affecte directement que l’IAB Europe. Indirectement, cela affecte les CMP, les fournisseurs et les éditeurs à moyen terme – au plus tard lorsque de nouveaux objectifs et bases juridiques doivent être définis dans la couche de consentement ou que la sous-structure technique change.
Comment dois-je réagir maintenant ?
Comme pour tout. il n’est pas faux de regarder de près et d’attendre et de voir comment les acteurs se comportent.
En tant que recommandation générale, on peut en déduire que « l’intérêt légitime » n’est pas considéré comme une base juridique suffisante pour la publicité en ligne – cela avait déjà été annoncé à l’avance et dans d’autres jugements. Si vous utilisez des outils de marketing sur votre site Web, vous devez vérifier s’ils nécessitent un consentement.
De manière générale, nous conseillons d’utiliser le TCF uniquement lorsque c’est vraiment nécessaire. Ce n’est peut-être pas le cas pour la plupart des sites Web de commerce électronique, par exemple. Dans le même temps, la plupart des sites d’information continueront de s’appuyer sur le TCF. Ici, nous vous recommandons de vérifier attentivement les textes de description et les listes de fournisseurs et, si nécessaire, de fournir des descriptions plus précises et des informations supplémentaires.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Dois-je supprimer toutes mes données maintenant ?
non Le jugement belge ne concerne pour l’instant que IAB Europe. Indirectement, cependant, on peut supposer qu’un « pur TCF CMP » tombe également sous les conditions de l’arrêt et n’a donc pas obtenu légalement l’agrément.
Les sites Web utilisant le TCF sont-ils désormais en danger ?
non D’une part, les acteurs attendront dans un premier temps – cela s’applique également aux autres autorités de protection des données dans d’autres pays. Tant que la procédure est encore « en cours », cela n’a aucun sens d’utiliser la procédure comme base pour des avertissements ou de nouvelles procédures.
En revanche, on ne sait toujours pas si le TCF lui-même peut être utilisé de manière conforme sous certaines conditions. Là aussi, il reste à voir et, le cas échéant, à garder un œil sur l’évolution du TCF.
Que fait consentmanager pour moi ? Que devrais-je faire?
En tant que membre de l’IAB Europe et de diverses associations régionales et autres groupes, consentmanager est activement impliqué dans les consultations et les décisions au sein de l’IAB. A cet égard, consentmanager pourra mettre en œuvre dans les meilleurs délais toutes les mesures nécessaires afin de pouvoir protéger ses clients légalement ou techniquement.
En tant que client consentmanager , vous n’avez rien de concret à faire au début (voir ci-dessus pour les exceptions). Tous les ajustements techniques et procéduraux que nécessite un « nouveau » TCF peuvent être effectués en interne par nos soins – il n’est plus nécessaire d’échanger les codes maintenant.
Vous ne voyez pas votre question ?
N’hésitez pas à nous contacter directement.
