Pour ceux qui regardent le décrochage au ralenti de la publicité de surveillance dans l’Union européenne, voici un nouveau développement sur la route longue et sinueuse vers un règlement juridique attendu depuis longtemps: plusieurs motifs d’appel déposés par l’organisme de l’industrie, l’IAB Europe, contre une conclusion d’infraction plus tôt cette année contre son cadre autoproclamé de « meilleures pratiques » pour obtenir le consentement des internautes au traitement de leurs données à des fins de publicité comportementale, a été rejeté par la Cour d’appel du marché de Bruxelles.
Dans le même temps, des questions juridiques ont été renvoyées à la plus haute cour d’Europe concernant un certain nombre d’autres motifs d’appel – ce qui signifie qu’une décision ferme sera rendue pour un composant phare de la machinerie élaborée de surveillance adtech dans les années à venir.
Un problème spécifique ici est un cadre «interprofessionnel» spécifié et promu par l’IAB Europe, et repris par des dizaines d’éditeurs et d’annonceurs pour affirmer qu’ils obtiennent le «consentement» des internautes au suivi des publicités, mais qui, selon les critiques, se résume à élaborer un « théâtre de la conformité » – mettant en scène une pantomime de consentement pour contourner les lois de l’UE sur la protection de la vie privée.
Cet outil de consentement, alias le cadre de transparence et de consentement (TCF), sous-tend la majorité des fenêtres contextuelles de consentement publicitaire irritantes qui affligent les internautes de la région – mais il a été trouvé en violation du règlement général sur la protection des données (RGPD) du bloc plus tôt cette année, après une longue enquête menée par l’autorité belge de protection des données, confirmant ce que les experts juridiques et de la vie privée avaient mis en garde pendant des années : ce consentement majoritaire au suivi des publicités est un gros gros mensonge.
Les violations du RGPD confirmées dans la décision de l’autorité belge sur le TCF, en février dernier, portent sur des principes majeurs comme la licéité du traitement ; équité et transparence; sécurité du traitement ; l’intégrité des données personnelles ; et la protection des données dès la conception et par défaut, entre autres.
L’IAB Europe lui-même a également été reconnu coupable d’avoir enfreint le RGPD. Et l’organisme de l’industrie de la publicité en ligne s’est vu accorder un délai strict de six mois pour corriger une longue liste de violations – bien que le TCF ait été autorisé à persister entre-temps (les pop-ups ennuyeux n’ont donc pas encore disparu).
L’IAB Europe a répondu à la gifle réglementaire en licenciant ses avocats et en interjetant appel – cherchant à annuler la décision de l’APD belge en plaidant contre elle sous plusieurs angles, des allégations d’iniquité procédurale aux dénégations catégoriques que son rôle ou les technologies qu’il bouvillons enfreignent les lois de l’UE.
Simultanément, dans un nouveau déni d’un problème de confidentialité existentiel avec les publicités de suivi, l’organisme a déclaré qu’il prévoyait de faire pression et de soumettre le TCF en tant que «code de conduite transnational», apparemment lorgnant. greffer sur la «conformité» aux exigences réglementaires américaines (comme le CCPA de la Californie). (Un organisme adtech associé basé aux États-Unis, l’IAB Tech Lab, a publié cet été un projet de cadre « global » de remplacement, appelé « Global Privacy Platform », qui, selon lui, « simplifie[es] normes techniques de signalisation de la confidentialité et de la protection des données dans un schéma unique et un ensemble d’outils qui peuvent s’adapter aux exigences réglementaires et commerciales du marché à travers les canaux « – mais qui les critiques avertissent simplement qu’il répète bon nombre des mêmes défauts flagrants qui ont fait atterrir le TCF dans l’eau chaude légale en Europe, le manque de zèle réformateur est donc palpable.)
Mais combien de kilomètres l’IAB peut-il tirer de la négation de la réalité juridique dans l’UE – où la protection des données est (au moins sur le papier) complète et la vie privée est un droit fondamental – est la grande question.
Dans un premier coup porté à son appel contre l’annulation du GDPR par le TCF, un tas de ses plaintes procédurales ont maintenant été rejetées.
Motifs d’appel?
Sur huit motifs retenus par le tribunal de Bruxelles à ce stade de l’appel, cinq ont été jugés totalement infondés – avec seulement deux des derniers motifs considérés comme « en partie fondés », comme le dit la décision de la Cour. (Ceux liés à une conclusion selon laquelle des allégations et des plaintes supplémentaires – centrées sur la question de savoir si un mécanisme dans le cadre de l’IAB constitue des données personnelles – ont été incorporées dans la décision après l’audience sans « diligence suffisante ». Bien que le tribunal souligne que l’autorité n’aurait pas eu d’ouvrir une toute nouvelle enquête, comme l’avait fait valoir l’IAB, cela ressemble donc à une victoire procédurale assez mineure.)
Les cinq autres motifs sur lesquels le tribunal s’est prononcé à ce stade – comme l’affirmation de l’IAB selon laquelle les plaintes étaient irrecevables ou le rapport d’inspection de l’autorité était « incomplet et partial » – ont tous été rejetés.
Cependant, il y a encore d’autres motifs déposés par l’IAB (la décision en énumère dix-neuf au total). Et le pourvoi est désormais suspendu dans l’attente de la réponse de la Cour de justice (CJUE) aux questions juridiques liées à ces motifs.
Les questions renvoyées portent sur la question de savoir si une chaîne de consentement par utilisateur transmise via le TCF constitue ou non des données personnelles (l’IAB soutient que non, mais l’APD belge a décidé que oui, comme le soutiennent également les plaignants) ; et si oui ou non l’IAB, qui se présente comme un humble organisme de normalisation de l’industrie, est un responsable conjoint du traitement des données aux fins du TCF et de la soi-disant «chaîne TC» (encore une fois, il ne soutient pas, mais il a été trouvé par l’autorité être co-responsable du traitement).
« Le fait que la Cour d’appel de Bruxelles ait renvoyé nos questions à la Cour européenne de justice montre l’importance de cette affaire », a déclaré l’un des plaignants initiaux, le Dr Johnny Ryan, chercheur principal au Conseil irlandais pour les libertés civiles, dans un communiqué. « Le jugement d’aujourd’hui est la prochaine étape dans nos efforts pour mettre fin aux pop-ups de consentement qui harcèlent les internautes en Europe depuis des années. Nous attendons maintenant avec impatience les réponses de la Cour européenne de justice et ensuite un arrêt sur le fond de la Cour d’appel de Bruxelles ».
La CJUE pourrait prendre quelques années pour rendre une décision sur ces questions, mais il n’y a pas de voie d’appel sur ce qu’elle décide. Le train a donc quitté la gare.
Il y aura – dans un délai assez court – un verdict durci de la part du tribunal sur des points cruciaux, comme si une entité qui conçoit et promeut une infrastructure adtech de surveillance de masse, et dont les règles dictent les procédures de base de cette machine de suivi, est capable d’échapper à toute la force de La loi européenne sur la protection de la vie privée en prétendant qu’il ne s’agit que d’un organisme de normalisation ! Et sur le tour de passe-passe phare de l’IAB – lorsqu’il prétend que les chaînes TC ne sont pas des données personnelles et ne sont pas liées à des individus, il n’y a pas besoin d’une base légale pour les traiter de toute façon – ce qui serait tout à fait la sortie- clause pour les publicités comportementales de la législation européenne sur la protection des données si elle est autorisée à se présenter devant le tribunal.
(La réponse de l’APD belge à cet argument a été de souligner que le TCF lie la chaîne de consentement à l’adresse IP de l’utilisateur, qui est absolument considérée comme une donnée personnelle en vertu du RGPD ; et que les utilisateurs de l’outil sont également en mesure d’identifier les utilisateurs via d’autres données ; et que, en effet, tout l’intérêt de la chaîne TC est d’identifier l’utilisateur.)
À ce stade, il est utile de rafraîchir la mémoire sur la façon dont le RGPD définit les données personnelles [with added emphasis ours]:
‘données personnelles’ signifie n’importe quelle information concernant un identifié ou identifiable personne naturelle («personne concernée»); une personne physique identifiable est une qui peut être identifiédirectement ou indirectementen particulier par référence à un identifiant tel que un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;
Alors maintenant, les citoyens de l’UE agacés par d’innombrables pop-ups illégaux doivent retenir leur souffle pour une décision de la CJUE. (Mais les meilleurs esprits juridiques d’Europe n’auront sûrement pas besoin de cogiter trop longtemps pour appeler ce mulligan.)
Prochain arrêt, application de la loi ?
Dans l’intervalle, l’APD belge pourrait – et devrait vraiment – relancer l’exécution de l’ordonnance initiale, compte tenu de l’ampleur des violations et des risques pour les droits fondamentaux des Européens de permettre à une surveillance de masse illégale par une adtech incontrôlable de continuer sans contrôle.
Interrogé sur ses attentes en matière d’application, Ryan a déclaré à TechCrunch qu’il cherchait à savoir si la décision de l’autorité pouvait enfin être appliquée (une décision préliminaire belge sur le TCF, le trouvant également en violation du RGPD, remonte à près de deux années complètes à ce stade) .
« La prolongation était jusqu’à la décision de la Cour des marchés. Il devrait donc être en mesure de l’appliquer maintenant », a-t-il suggéré, ajoutant : « L’industrie de la publicité en ligne basée sur le suivi doit se réconcilier avec la probabilité que la législation européenne sur la protection des données soit effectivement appliquée.
Nous avons également contacté l’autorité belge et l’IAB Europe avec des questions – mais aucun n’avait répondu au moment de mettre sous presse.
L’IAB Europe a publié une déclaration sur son site Web concernant les développements, reconnaissant ce qu’elle appelle une « décision provisoire » et le renvoi de questions à la CJUE – qu’elle dit « se féliciter ».
« L’interprétation des notions de données personnelles et de responsabilité du traitement adoptée par l’APD [Belgian DPA] est inutilement large du point de vue de la protection des consommateurs et a des implications négatives importantes pour le développement de normes ouvertes et des codes de conduite prévus dans le RGPD », a ajouté Townsend Feehan, PDG d’IAB Europe, dans un commentaire en conserve. « Cela imposerait une charge financière inacceptable aux organisations d’accueil, décourageant le développement de ces importants outils de conformité ».
Dans un communiqué publié sur son site internet, l’autorité belge écrit qu’elle devra « maintenant analyser plus avant l’arrêt avant de pouvoir s’exprimer plus en détail sur son contenu » mais elle se déclare « déjà satisfaite de cette décision, qui clarifiera davantage concepts clés du RGPD tels que la définition du concept de responsable de traitement, et son applicabilité aux concepteurs de framework ».
Hielke Hijmans, président de la Chambre contentieuse de la DPA, a ajouté dans un communiqué : « L’affaire IAB Europe, dans laquelle nous avons statué en février, a un impact qui va bien au-delà de la Belgique. C’est pourquoi nous pensons que c’est une bonne chose qu’elle soit discutée au niveau européen, à la Cour de justice de l’UE.
L’autorité poursuit en écrivant que sa décision a « apporté une contribution importante à la protection de la vie privée des internautes en Europe, par son analyse du mécanisme d’enregistrement des préférences des utilisateurs pour la publicité ciblée en ligne », arguant en outre : « Elle soulèvera sensibilisation à la publicité en ligne, et notamment au mécanisme de consentement à recevoir de la publicité ciblée.
Le communiqué de la DPA ajoute que la Belgique « discutera des prochaines étapes possibles avec ses homologues de l’UE ».
Ce qui, eh bien, ressemble un peu à « regarder cet espace »…