Flock pour Next 
Saisie par l’Autorité de protection des données belge suite à son procès (en appel) avec IAB Europe, la Cour de Justice de l’Union européenne apporte deux précisions sur les règles du RGPD concernant les « enchères de données à caractère personnel à des fins publicitaires ». Les deux parties se réjouissent de la décision. Reste maintenant à clôturer le procès en appel en Belgique.
En février 2022, l’Autorité de protection des données (APD) belge annonçait fièrement remettre « de l'ordre dans l'industrie de la publicité en ligne ». Elle estimait que l’Interactive Advertising Bureau Europe (IAB Europe, une association à but lucratif) était « tenue responsable d'un mécanisme qui viole le RGPD ».
Pour l’APD Belge, IAB Europe viole le RGPD
En cause, le Transparency and Consent Framework (TCF), et notamment le Transparency and Consent String (TC String). Il s’agit d’une chaîne de caractères alphanumériques permettant de « coder et stocker » les préférences des utilisateurs.
La TC String est « partagée avec des courtiers en données à caractère personnel et des plates-formes publicitaires, afin que ceux-ci sachent ce à quoi l’utilisateur a consenti ou s’est opposé », rappelle la Cour de Justice de l’Union européenne. Les courtiers peuvent alors enchérir en temps réel pour obtenir des espaces publicitaires adaptés au profil de l’utilisateur, la fameuse publicité ciblée. On parle de Real Time Bidding. Dans son communiqué, cette dernière explique qu’IAB Europe a développé cette technologie présentée « comme étant susceptible de rendre conforme au RGPD ce système de vente aux enchères ».
Sanction, appel, questions préjudicielles
Pour l’APD, cela ne faisait pas de doute : « IAB Europe n'a pu déterminer aucune base légale pour le traitement de la TC String et les fondements juridiques offerts par le TCF pour le traitement ultérieur par les fournisseurs adtech sont insuffisants ». En conséquence, la Chambre Contentieuse a « infligé une amende administrative de 250 000 euros à IAB Europe. De plus, elle a ordonné à l'entreprise de prendre une série de mesures correctrices destinées à mettre la version actuelle du TCF en conformité avec le RGPD ».
Sans surprise, IAB Europe a contesté cette décision auprès de la cour d’appel de Bruxelles. Cette dernière, a soumis des questions préjudicielles à la Cour de justice de l’Union européenne en septembre 2022. Hielke Hijmans, président de la Chambre Contentieuse expliquait que cette affaire aura un impact sur toute l’Europe, estimant ainsi que c’était « une bonne chose qu’elle soit discutée au niveau européen, auprès de la Cour de justice de l’UE ».
Pour rappel, cet arrêt de la CJUE permet d’obtenir une interprétation du droit de l’Union, en aucun cas de clôturer le litige en Belgique. « Il appartient à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour ». Ces précisions sont par contre importantes pour la suite des événements.
Deux précisions de la Cour…
Justement, qu’en dit la Cour ? Deux choses. Tout d’abord, elle confirme que la « TC String contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel au sens du RGPD ». Elle explique que cette chaine alphanumérique associée à un identifiant (une adresse IP par exemple) peut « permettre de créer un profil de cet utilisateur et de l’identifier ».
Le second point est plus compliqué et la CJUE plus nuancée dans son propos. Tout d’abord, « IAB Europe doit être considérée comme "responsable conjoint du traitement", au sens du RGPD ». Mais, précision très importante pour le suite, « IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs ». Une exception est précisée par la Cour : « sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures ».
APD, IAB Europe et Alliance Digitale se réjouissent
l’Autorité de protection des données précise qu’elle doit désormais « analyser l'arrêt plus en détail afin de mieux en cerner les éventuelles conséquences ». Un procès en appel étant en cours, l’APD reste prudente et se garde bien d’émettre des conclusions pour le moment.
Dans tous les cas, Hielke Hijmans (président de la Chambre Contentieuse) accueille « positivement l’interprétation de la CJUE ». Il ajoute que la procédure continue donc en Belgique. Même son de cloche chez IAB Europe, qui se « félicite de l’arrêt de la CJUE qui apporte la clarté nécessaire sur les notions de données à caractère personnel et de contrôle (conjoint) ». Tout va bien dans le meilleur des mondes ? Pas vraiment.
Un point diffère grandement entre les deux entités. L’APD explique qu’un « organisme sectoriel standardisant et prescrivant les modalités de captation et de transmission des préférences d’utilisateurs », au hasard IAB Europe, « peut être considéré comme un responsable à l’égard des traitements opérés conformément à ces modalités ».
Pour l’APD en effet, une telle organisation « peut être qualifiée de responsable pour le traitement de préférences, vu que cette organisation paraît influer sur les opérations de traitement des données lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations ».
IAB Europe s’engouffre dans l’exception ouverte par la CJUE et affirme qu’elle ne doit pas nécessairement être considérée comme responsable conjointe pour le « traitement ultérieur des données effectué […] car IAB Europe n’a aucune influence sur ce traitement ». Toujours selon l’association, l’APD se serait trompé dans la qualification d'IAB Europe « en tant que contrôleur de ce traitement », et cela aurait servi de base pour son jugement et les sanctions qui vont avec.
Ninon Vagner, privacy director à l'IAB Europe, abonde au JDN : « Une importante partie de la décision de l'APD belge était basée sur cette lecture […] la décision de la CJUE de limiter notre coresponsabilité à la création et l'utilisation des TC Strings par les éditeurs et les vendeurs est une très bonne nouvelle. L'APD belge va devoir de toute évidence revoir sa décision ».
Alliance Digitale (rapprochement entre IAB France et de la Mobile Marketing Association France) aussi « se félicite de constater que la Cour ne remet pas en cause le bien-fondé du TCF ». Elle estime même « envisageable » une annulation de « tout ou partie de sa première décision ».
L’examen au fond de la justice peut maintenant reprendre, sans précision sur le temps nécessaire. « Dans l’attente de la conclusion de la procédure, la suspension de l’exécution du plan d’action continue de s’appliquer », ajoute Alliance Digitale.
Commentaires (2)
#1
#2
Sur la première question, la TC String est une donnée personnelle. Il en découle que l'on doit être informé que cette donnée est traitée te de tout un tas de choses précisées par l'article 13 du RGPD (identité du responsable du traitement, finalité du traitement, destinataires ou les catégories de destinataires des données, les différents droits de la personne concernée, etc.)
Sur la seconde question, l'IAB Europe est responsable conjoint du traitement. Il est probablement responsable sur la première partie du traitement qui va du recueil au stockage des données personnelles que constitue la TC String mais probablement pas de la suite du traitement qui met en œuvre la partie enchère et pub associée. J'ai essayé de résumer ce que dit la CJUE en simplifiant un peu, elle dit que c'est à la juridiction d'appel belge de vérifier dans le cas précis.
À partir de là, que peut devenir la décision de l'APD belge ?
Sur ce point, IAB Europe est responsable conjoint et comme il organise et définit le contenu de la TC String, ce point demeure probablement valable. Comme l'APD dit plus loin que l'intérêt légitime ne peut être une base légale, il ne reste que le consentement. Donc, bientôt fini le fait que l'intérêt légitime apparaisse dans leur formulaire de recueil et qu'il faille décocher (un par un, par groupe ou tous ensembles) les points où l'intérêt légitime est invoqué.
Comme pour le premier point, l'IAB est ici aussi leader dans la définition des données de l'interface CMP. Ce point demeur donc lui aussi probablement toujours valable.
Là, c'est moins évident, l'IAB définit le contenu de la TC String, mais, si j'ai bien compris, ce sont ensuite d'autres qui s'occupent de la partie technique et du stockage des données. La responsabilité de l'IAB Europe n'est pas évidente ici.
J'aurais tendance à dire que l'IAB Europe est responsable du traitement pour ce point et qu'ils doivent donc au moins faire une AIPD. Pour le DPO, il n'est pas évident que ça soit à eux d'en avoir un chez eux parce que les données sont stockées et traitées par d'autres en réalité. Et je suis un peu en contradiction avec ce que je dis au point précédent pour lequel, j'ai peut-être tort en fait).
Cette mesure devrait rester telle quelle. Et c'est une bonne chose.
Là, je pense que le statut de responsable conjoint va faire sauter ce point. C'est à chaque responsable de respecter le RGPD sur la partie de traitement qui le concerne.
Il faudra donc poursuivre chaque site, chaque système d'enchères ou autre utilisant le TCF qui ne respecte pas le RGPD.