Rififi dans le monde de la publicité en ligne. Le gendarme belge des données à caractère personnel, en coordination avec les autres « CNIL » européennes, vient d’infliger une amende de 250 000 euros à l’encontre d’IAB Europe. Le groupement des géants de la publicité doit surtout prendre plusieurs mesures correctives.
« Cette décision libère des centaines de millions d’Européens du spam au consentement et du risque que leurs activités en ligne les plus intimes circulent entre des milliers d’entreprises ».
Ce commentaire plein d’espoir est signé Johnny Ryan, de l’Irish Council for Civil Liberties. L’association est à l’origine de cette procédure initiée en 2018, à laquelle se sont joints Stichting Bits of Freedom (Pays-Bas) ou encore la Ligue des Droits Humains (Belgique).
Cette procédure connait donc aujourd’hui son point d’orgue : l'Autorité de protection des données (APD) vient d’épingler le standard de recueil du consentement imaginé par IAB Europe, puissante fédération représentant le secteur de la publicité et du marketing en ligne.
Ce « Transparency and Consent Framework » ou Cadre de transparence et de consentement fixe « des règles communes à adopter lors du traitement de données à caractère personnel ou de l'accès et / ou du stockage d'informations sur le terminal d'un utilisateur, tels que les cookies, les identifiants publicitaires, les identifiants de périphérique et autres technologies de tracking », décrit l’antenne française d'IAB.
Du TCF aux enchères en temps réel
Ces règles sont fondamentales puisqu’attachées au protocole OpenRTB, l’un des plus populaires pour la vente aux enchères en ligne automatisée de profils utilisateurs (conçu cette fois par IAB Tech Lab, installée à New York).
Pour cibler au plus près les internautes avec des publicités adaptées, ce système vient en effet interconnecter les différentes parties impliquées, à savoir les entreprises qui disposent d’un site web avec des espaces publicitaires, les plateformes où ces éditeurs peuvent optimiser la valeur de ces espaces, les annonceurs, etc.
Concrètement, résume la CNIL belge, « lorsque des utilisateurs accèdent à un site Internet ou à une application qui contient un espace publicitaire, les entreprises de technologie, qui représentent des milliers d'annonceurs, peuvent enchérir instantanément ("en temps réel") en coulisse pour cet espace publicitaire via un système d'enchères automatisé utilisant des algorithmes, afin d'afficher des publicités ciblées spécifiquement adaptées au profil de ces personnes. »
Dans sa décision, elle prévient aussi que ces enchères en temps réel « fonctionnent en coulisse sur la plupart des sites web commerciaux et sur les applications mobiles », où « des milliers d'entreprises sont impliquées et reçoivent des informations sur la personne qui visite le site web. De cette manière, des milliards de publicités sont mises aux enchères chaque jour ».
C’est donc sur l’autel du RGPD que la CNIL belge va éprouver ce fameux « Transparency and Consent Framework » d’IAB Europe. Et cette mise à l’épreuve a été marquée par plusieurs constats de violation.
Dit autrement, l'outil qui était censé assurer le respect du RGPD par les acteurs de la publicité n'est pas conforme au RGPD.
Plusieurs constats de violation du RGPD
Quelques exemples : pour justifier ces traitements de données à caractère personnel, ce TCF s’est appuyé sur le critère de « l’intérêt légitime » et le consentement des personnes concernées. Deux des six motifs qui peuvent justifier ces opérations selon le règlement du 25 mai 2018. Cependant, pour la chambre contentieuse belge, aucun ne peut être utilisé.
D’une part, « le consentement des personnes concernées n'est actuellement pas donné de manière suffisamment spécifique, informée et granulaire ».
C’est ce que détaille Hielke Hijmans, le président de la Chambre Contentieuse de l'APD : « les utilisateurs sont invités à donner leur consentement alors que la plupart d'entre eux ne savent pas que leur profil est vendu à maintes reprises chaque jour afin de leur montrer des publicités ciblées ».
D’autre part, le critère de l’intérêt légitime n’a pas davantage rempli les conditions. Comme le résume la CNIL, « le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées ».
Or, pour le service d'inspection belge, IAB Europe n’a pas fourni suffisamment de preuves que les droits et libertés des internautes « ont été dûment pris en considération dans le processus ».
Il relève ainsi que les organisations utilisant ces solutions « pourraient connaître les sites web précédemment visités par une personne concernée, ce qui permettrait de déduire ou de révéler les opinions politiques, les convictions religieuses ou philosophiques, l'orientation sexuelle, les données relatives à la santé ou même l'appartenance syndicale des personnes concernées ».
Déficit d’information
D’autres indélicatesses sont à relever comme ces multiples défaillances dans les informations apportées aux personnes physiques.
Ces personnes « ne sont pas en mesure de déterminer à l'avance la portée et les conséquences du traitement, et ne disposent donc pas d'un contrôle suffisant sur le traitement de leurs données pour éviter d'être surprises ultérieurement par un traitement ultérieur de leurs données à caractère personnel. »
Dans les méandres de ces traitements, l’autorité belge a également dénoncé le manque de mesures techniques et organisationnelles appropriées, autre obligation exigée par le RGPD. « Dans le cadre du système TCF actuel, les fournisseurs adtech reçoivent un signal de consentement sans qu'aucune mesure technique ou organisationnelle ne permette de garantir que ce signal de consentement est valide ou qu'un fournisseur adtech l'a effectivement reçu (plutôt que généré) ».
Pas de DPO, pas de registre, pas d’analyse d’impact
La CNIL belge fustige encore l’absence de désignation d’un délégué à la protection des données, de tenue d’un registre et d’analyse d'impact relative à la protection des données s’agissant d’un traitement grande échelle.
Un traitement pourtant en capacité d’analyser ou prédire « la situation économique, la santé, les préférences ou intérêts personnels, la fiabilité ou le comportement, la localisation ou les déplacements des personnes physiques ».
L’autorité de contrôle n’a pas seulement infligé une amende de 250 000 euros à IAB Europe. Elle a ordonné l’effacement des données (mal) collectées, et a fait interdiction à l’entreprise de s’appuyer sur l’intérêt légitime pour cette machine à publicités ciblées. Elle interdit aux organisations participantes d‘activer un système de consentement par défaut, et réclame logiquement un registre, une analyse d’impact et donc la désignation d’un délégué à la protection des données.
« Ces mesures de mise en conformité devront être réalisées dans un délai maximum de six mois après la validation d'un plan d'action par l'Autorité belge de protection des données ». Un plan d’action qui doit lui être soumis dans les deux mois. La décision impose aussi une astreinte de 5 000 euros par jours de retard en cas de non-respect de ce calendrier.
Dans un communiqué, le géant de la publicité estime que « les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement ».
On ne sait si IAB envisage de déposer un recours mais selon sa grille de lecture, la décision de l'autorité belge ne remet pas en cause le bien-fondé du TFC. « Nous allons continuer à travailler de concert avec l’IAB Europe afin d’aboutir à un plan d’action permettant de répondre aux infractions soulevées dans la décision. Nous souhaiterions également reprendre les discussions avec la CNIL, interrompues du fait de la procédure, quant à l’approbation du TCF en tant que code de conduite transnational ».
Commentaires (13)
#1
Ca me rappelle “Le geste” tout ça.
En facade on affiche une volonté d’aller vers le consomateur mais en réalité on veut juste pouvoir revenir comme avant.
#2
Il y a juste un truc qui m’étonne, c’est le montant de l’amende, sachant :
Il y a quand même 3 obligations de base non respectées, pour un secteur assez sensible. Le montant de l’amende est pour le moins ridicule (l’amende maximale, c’est 20 millions d’€ ou 4% du CA en fonction du plafond le plus élevé).
Maintenant, il y a aussi la cible qui est étonnante : l’IAB Europe. Sauf si je n’ai pas tout compris (ce qui est possible), IAB Europe défini un standard, et c’est pour cela qu’elle a été condamné. Mais du coup, elle ne met pas en oeuvre directement ses préconisations (et n’est donc pas responsable de traitement) puisque se sont plutôt ses membres qui le font.
Du coup, pourquoi condamnée IAB Europe sur l’autel du RGPD, alors que ce sont plutôt ses membres qu’il faudrait attaquer et condamner ? Je ne dis pas que IAB Europe n’est pas attaquable, mais pour moi, cela serait plutôt sur un aspect judiciaire et non via le RGPD, qui ne concerne que les responsables de traitement…
#2.1
Je t’invite a te rendre sur le site de l’APD et regardé le montant moyen infligé. Tu te rendra compte du caractère exceptionnel de celui ci
#2.2
Le but est de contraindre sans tuer l’entreprise. 250 000€ je t’assure qu’ils ont déjà mal au cul et ils savent qu’ils doivent se le bouger sinon la prochaine fois ils ne seront pas aussi gentil…
#2.3
c’est, aussi, ce que je pense !
(un peu comme en Justice, on ne donne pas ‘le coup de massue’ DES la 1ère fois)
#3
En fait, si c’est IAB Tech Lab qui défini le protocole, c’est par contre IAB Europe qui est responsable du traitement des données en raison du TFC.
La décision distingue bien les deux (points 44 et 46).
#3.1
J’ai lu quelques passages de la décision (c’est quand même indigeste mais très instructif !). Par exemple, je cite (page 73) :
Ce que j’en retiens en tout cas,
c’est que la mise en place d’un protocole peut donc suffire pour être qualifié de responsable de traitement, mais l’élaboration d’un protocole non.
C’est une association, pas une entreprise ;). Et si je suis d’accord pour dire que le but n’est pas de tuer l’organisme épinglé, ce qui parait étonnant c’est qu’au final ce soit cette association qui soit retenue en tant que RT et pas ses membres (les membres ont aussi un rôle dans le choix des moyens et des finalités à mettre en oeuvre).
L’adhésion à cette association n’est pas une raison pour être dédouané de toute responsabilité. La CNIL (française donc) avait d’ailleurs rappelé cet état de fait pour un kit publicitaire où à la fois l’éditeur de l’application et du kit intégré étaient coresponsable de traitement (Teemo et Fidzup si ma mémoire est bonne).
Quand on voit les membres de l’association, on se dit que c’est bien peu ! Et c’est cela qui est un peu déroutant, c’est que les membres ne sont pas qualifiés de co-responsable de traitement semble-t-il…
#4
Hors sujet, mais je suis le seul chez qui le suivi des commentaires lus/nouveaux ne fonctionne pas sur les actus publiées depuis le premier février ?
#5
la décision de l’autorité belge ne remet pas en cause le bien-fondé du TFC….
et, ‘on continue comme AV. = ‘youpi’ !!!
#5.1
et, pourtant…
La CNIL belge fustige encore l’absence de désignation d’un délégué à la protection
des données, l’absence de tenu d’un registre, et l’absence d’analyse d’impact relative
à la protection des données s’agissant d’un traitement grande échelle.
#6
Pour moi, il n’a jamais fonctionné sur cette version du site. C’est peut être un bug de la version de firefox que j’utilise, ou d’un addon mais j’ai pas envie de chercher.
#7
Le communiqué de presse de l’IAB est une escroquerie sans nom :
“Nous nous félicitons de voir que cette dernière ne comporte aucune interdiction du TCF et considère que les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement.”
Ils minimisent grandement la portée réelle de la décision de l’autorité Belge qui remet à mal l’existence même du TCF dans sa version actuelle (2.0) sur de nombreux points : bases légales, information des personnes et compréhension des finalités, mesures de sécurité et fiabilité du “TC string”, etc.
#8
Sur le montant de l’amende, c’est effectivement assez important comme certains d’entre vous le soulignent.
250.000€, c’est à peu près 10% du CA de l’IAB Europe (2.4 millions d’euros, c’est dit dans la décision).