Rififi dans le monde de la publicité en ligne. Le gendarme belge des données à caractère personnel, en coordination avec les autres « CNIL » européennes, vient d’infliger une amende de 250 000 euros à l’encontre d’IAB Europe. Le groupement des géants de la publicité doit surtout prendre plusieurs mesures correctives.

« Cette décision libère des centaines de millions d’Européens du spam au consentement et du risque que leurs activités en ligne les plus intimes circulent entre des milliers d’entreprises ».

Ce commentaire plein d’espoir est signé Johnny Ryan, de l’Irish Council for Civil Liberties. L’association est à l’origine de cette procédure initiée en 2018, à laquelle se sont joints Stichting Bits of Freedom (Pays-Bas) ou encore la Ligue des Droits Humains  (Belgique).

Cette procédure connait donc aujourd’hui son point d’orgue : l'Autorité de protection des données (APD) vient d’épingler le standard de recueil du consentement imaginé par IAB Europe, puissante fédération représentant le secteur de la publicité et du marketing en ligne.

Ce « Transparency and Consent Framework » ou Cadre de transparence et de consentement fixe « des règles communes à adopter lors du traitement de données à caractère personnel ou de l'accès et / ou du stockage d'informations sur le terminal d'un utilisateur, tels que les cookies, les identifiants publicitaires, les identifiants de périphérique et autres technologies de tracking », décrit l’antenne française d'IAB.

Du TCF aux enchères en temps réel 

Ces règles sont fondamentales puisqu’attachées au protocole OpenRTB, l’un des plus populaires pour la vente aux enchères en ligne automatisée de profils utilisateurs (conçu cette fois par IAB Tech Lab, installée à New York).

Pour cibler au plus près les internautes avec des publicités adaptées, ce système vient en effet interconnecter les différentes parties impliquées, à savoir les entreprises qui disposent d’un site web avec des espaces publicitaires, les plateformes où ces éditeurs peuvent optimiser la valeur de ces espaces, les annonceurs, etc.

• Le communiqué de presse 
• La décision (133 pages)

Concrètement, résume la CNIL belge, « lorsque des utilisateurs accèdent à un site Internet ou à une application qui contient un espace publicitaire, les entreprises de technologie, qui représentent des milliers d'annonceurs, peuvent enchérir instantanément ("en temps réel") en coulisse pour cet espace publicitaire via un système d'enchères automatisé utilisant des algorithmes, afin d'afficher des publicités ciblées spécifiquement adaptées au profil de ces personnes. »

Dans sa décision, elle prévient aussi que ces enchères en temps réel « fonctionnent en coulisse sur la plupart des sites web commerciaux et sur les applications mobiles », où « des milliers d'entreprises sont impliquées et reçoivent des informations sur la personne qui visite le site web. De cette manière, des milliards de publicités sont mises aux enchères chaque jour ».

C’est donc sur l’autel du RGPD que la CNIL belge va éprouver ce fameux « Transparency and Consent Framework » d’IAB Europe. Et cette mise à l’épreuve a été marquée par plusieurs constats de violation.

Dit autrement, l'outil qui était censé assurer le respect du RGPD par les acteurs de la publicité n'est pas conforme au RGPD. 

• Le RGPD expliqué ligne par ligne 

Plusieurs constats de violation du RGPD

Quelques exemples : pour justifier ces traitements de données à caractère personnel, ce TCF s’est appuyé sur le critère de « l’intérêt légitime » et le consentement des personnes concernées. Deux des six motifs qui peuvent justifier ces opérations selon le règlement du 25 mai 2018. Cependant, pour la chambre contentieuse belge, aucun ne peut être utilisé.

D’une part, « le consentement des personnes concernées n'est actuellement pas donné de manière suffisamment spécifique, informée et granulaire ».

C’est ce que détaille Hielke Hijmans, le président de la Chambre Contentieuse de l'APD : « les utilisateurs sont invités à donner leur consentement alors que la plupart d'entre eux ne savent pas que leur profil est vendu à maintes reprises chaque jour afin de leur montrer des publicités ciblées ».

D’autre part, le critère de l’intérêt légitime n’a pas davantage rempli les conditions. Comme le résume la CNIL, « le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées ».

Or, pour le service d'inspection belge, IAB Europe n’a pas fourni suffisamment de preuves que les droits et libertés des internautes « ont été dûment pris en considération dans le processus ».

Il relève ainsi que les organisations utilisant ces solutions « pourraient connaître les sites web précédemment visités par une personne concernée, ce qui permettrait de déduire ou de révéler les opinions politiques, les convictions religieuses ou philosophiques, l'orientation sexuelle, les données relatives à la santé ou même l'appartenance syndicale des personnes concernées ».

Déficit d’information

D’autres indélicatesses sont à relever comme ces multiples défaillances dans les informations apportées aux personnes physiques.

Ces personnes « ne sont pas en mesure de déterminer à l'avance la portée et les conséquences du traitement, et ne disposent donc pas d'un contrôle suffisant sur le traitement de leurs données pour éviter d'être surprises ultérieurement par un traitement ultérieur de leurs données à caractère personnel. »

Dans les méandres de ces traitements, l’autorité belge a également dénoncé le manque de mesures techniques et organisationnelles appropriées, autre obligation exigée par le RGPD. « Dans le cadre du système TCF actuel, les fournisseurs adtech reçoivent un signal de consentement sans qu'aucune mesure technique ou organisationnelle ne permette de garantir que ce signal de consentement est valide ou qu'un fournisseur adtech l'a effectivement reçu (plutôt que généré) ».

Pas de DPO, pas de registre, pas d’analyse d’impact

La CNIL belge fustige encore l’absence de désignation d’un délégué à la protection des données, de tenue d’un registre et d’analyse d'impact relative à la protection des données s’agissant d’un traitement grande échelle.

Un traitement pourtant en capacité d’analyser ou prédire « la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements des personnes physiques ».

L’autorité de contrôle n’a pas seulement infligé une amende de 250 000 euros à IAB Europe. Elle a ordonné l’effacement des données (mal) collectées, et a fait interdiction à l’entreprise de s’appuyer sur l’intérêt légitime pour cette machine à publicités ciblées. Elle interdit aux organisations participantes d‘activer un système de consentement par défaut, et réclame logiquement un registre, une analyse d’impact et donc la désignation d’un délégué à la protection des données.

« Ces mesures de mise en conformité devront être réalisées dans un délai maximum de six mois après la validation d'un plan d'action par l'Autorité belge de protection des données ». Un plan d’action qui doit lui être soumis dans les deux mois. La décision impose aussi une astreinte de 5 000 euros par jours de retard en cas de non-respect de ce calendrier.  

Dans un communiqué, le géant de la publicité estime que « les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement ».

On ne sait si IAB envisage de déposer un recours mais selon sa grille de lecture, la décision de l'autorité belge ne remet pas en cause le bien-fondé du TFC. « Nous allons continuer à travailler de concert avec l’IAB Europe afin d’aboutir à un plan d’action permettant de répondre aux infractions soulevées dans la décision. Nous souhaiterions également reprendre les discussions avec la CNIL, interrompues du fait de la procédure, quant à l’approbation du TCF en tant que code de conduite transnational ».