En 2018, l’Union européenne et l’Espace économique européen ont lancé une initiative visant à protéger la vie privée numérique des citoyens européens. Appelé Règlement général sur la protection des données (RGPD), ce cadre obligeait les annonceurs en ligne à demander la permission aux utilisateurs du site Web de leur proposer des publicités personnalisées (ou, comme les appellerait l’industrie, pertinentes).
Tout lecteur de l’UE sait déjà de quoi je parle, mais pour ceux de l’extérieur : depuis l’entrée en vigueur de ce règlement, la grande majorité des sites Web consultés depuis l’UE et l’EEE accueillent les utilisateurs avec une fenêtre contextuelle demandant leur consentement pour être suivi à des fins publicitaires. Ils sont irritants, principalement parce qu’ils masquent le contenu que vous essayez de voir, mais aussi parce qu’ils peuvent être conçus de manière à dissuader les utilisateurs qui veulent dire non (par exemple, en vous obligeant à décocher des dizaines de cases pour faire alors).
Cette plainte a été déposée par le Conseil irlandais pour les libertés civiles en 2019 contre IAB Europe, un organisme commercial de la publicité numérique qui représente plus de 5 500 organisations et qui est fortement impliqué dans l’orientation de l’industrie de la publicité à travers le cadre juridique européen. Il gère également le Transparency & Consent Framework (TCF), un système par lequel les publicités sont diffusées. Le TCF est le code qui contient des informations sur la décision d’un individu de savoir s’il est suivi et par qui.
Une nouvelle décision de 28 autorités de protection des données de l’UE a constaté qu’IAB Europe commet de multiples violations du RGPD dans son traitement des données personnelles via le TCF et le système d’enchères en temps réel OpenRTB (par lequel les publicités sont vendues). Essentiellement, cela signifie que ces formulaires de consentement contextuels enfreignent les principes qu’ils étaient censés servir et sont donc illégaux.
L’arrêt se lit notamment comme suit : « L’approche adoptée jusqu’à présent ne remplit pas les conditions de transparence et d’équité requises par le RGPD. En effet, certaines des finalités de traitement déclarées sont exprimées de manière trop générique pour que les personnes concernées soient correctement informées sur l’étendue et la nature exactes du traitement de leurs données personnelles. »
Le TCF présenterait des « déficiences systématiques » et « soutient un système présentant de grands risques pour les libertés et droits fondamentaux des personnes concernées, notamment au vu de l’ampleur des données personnelles concernées, des activités de profilage, de prédiction de comportements , et la surveillance qui s’ensuit des personnes concernées. »
Une conception qui irrite les utilisateurs et rend le consentement flou faisait également partie du raisonnement derrière cela : « dans sa configuration actuelle [the TCF] ne respecte pas les obligations découlant du principe de transparence. »
« Cela a été une longue bataille », a déclaré le Dr Johnny Ryan du Conseil irlandais pour les libertés civiles. « La décision d’aujourd’hui libère des centaines de millions d’Européens du spam de consentement et du risque plus profond que leurs activités en ligne les plus intimes soient transmises par des milliers d’entreprises. »
L’ICCL a résumé ce que dit le jugement sur la manière dont le TCF enfreint le RGPD :
- Ne garantit pas la sécurité et la confidentialité des données personnelles (article 5(1)f et 32 GDPR).
- Ne demande pas correctement le consentement et s’appuie sur une base légale (intérêt légitime) qui n’est pas autorisée en raison du risque grave posé par le suivi de la publicité en ligne (article 5, paragraphe 1, point a, et article 6 du RGPD).
- Ne fournit pas de transparence sur ce qu’il adviendra des données des personnes (articles 12, 13 et 14 du RGPD).
- Ne met pas en œuvre des mesures pour garantir que le traitement des données est effectué conformément au RGPD (article 24 RGPD).
- Ne respecte pas l’exigence de « protection des données dès la conception » (article 25 du RGPD).st
Le jugement s’accompagne d’une amende de 250 000 € mais c’est peu à côté des autres exigences : en gros, les annonceurs devront supprimer les données recueillies à l’aide des pop-ups qui, si ce jugement entre en vigueur comme prévu, impacteront plus de 1 000 entreprises dont les grosses bêtes comme Amazon, Google, Meta et Microsoft.
De plus, l’IAB doit rendre le TCF conforme au RGPD, effectuer une analyse d’impact sur la protection des données et payer un délégué à la protection des données pour la superviser. Elle dispose de deux mois pour élaborer un projet de plan « de traitement et de diffusion des préférences des utilisateurs dans le cadre du TCF » et de six mois pour le mettre en œuvre.
Les implications pour les particuliers, les annonceurs et les éditeurs à travers l’Europe pourraient être énormes. Notamment comment exactement ce qui précède peut être fait d’une manière qui satisfait l’UE, et ce qui le remplacera. Un système sur lequel repose toute l’industrie dans cette région du monde est confronté, au mieux, à d’énormes changements.
C’est maintenant à la réponse de fond de l’IAB et à la manière dont elle propose d’aligner le TCF sur ce que souhaitent les autorités de régulation européennes qu’il incombe de répondre. Dans une déclaration en réponse à la décision, il a déclaré:
« IAB Europe prend acte de la décision annoncée aujourd’hui par l’Autorité belge de protection des données (APD) dans le cadre de son enquête sur IAB Europe. Nous notons que la décision ne contient aucune interdiction du Transparency & Consent Framework (TCF), comme l’avait demandé le plaignants, et que l’APD considère que les prétendues infractions d’IAB Europe qu’elle a identifiées sont susceptibles d’être corrigées dans un délai de six mois.
« Nous rejetons la conclusion selon laquelle nous sommes un responsable de traitement dans le cadre du TCF. Nous pensons que cette conclusion est erronée en droit et aura des conséquences négatives majeures imprévues allant bien au-delà de l’industrie de la publicité numérique. Nous examinons toutes les options en ce qui concerne un contestation judiciaire. »
Cela signifie-t-il la fin du spam pop-up de consentement en Europe ? Probablement pas, mais cela montre que les régulateurs reconnaissent les problèmes du système tel qu’il existe et sont sérieux quant à l’application des changements. Reste à savoir si cela conduira à une clarté et un contrôle accrus sur la manière dont les données des citoyens de l’UE sont utilisées. Après tout, si l’industrie de la publicité est bonne à quelque chose, c’est mettre du rouge à lèvres sur un cochon.
Si vous êtes un glouton pour le jargon juridique, voici le jugement complet.