Cela fait plus de deux ans qu’il a été constaté qu’un élément clé du dispositif de collecte de consentement de l’industrie des publicités de suivi enfreignait les lois de l’Union européenne sur la protection des données. Aujourd’hui le Le complexe de données de surveillance a subi un nouveau coup dur : le plus haut tribunal du bloc a rejeté les arguments avancés par l’organisme de l’industrie publicitaire responsable de l’outil – confirmant que les chaînes de données qu’il génère en réponse aux choix de confidentialité des utilisateurs sont personnelles données, au sens du bloc Règlement Général sur la Protection des Données (RGPD), car ils contiennent un identifiant personnel.
La Cour de justice de l’UE (CJUE) a également jugé que l’association de l’industrie publicitaire responsable de la conception de l’outil de gestion du consentement, IAB Europe, est ce que l’on appelle un « contrôleur conjoint », avec ses membres annonceurs, ce qui signifie qu’elle ne peut pas éluder sa responsabilité. pour garantir la conformité du traitement des données au RGPD. (Bien que le tribunal n’ait pas considéré l’IAB comme un contrôleur pour opérations de traitement de données qui ont lieu après l’enregistrement des préférences de consentement des utilisateurs – mais cela laisse la porte ouverte à cette possibilité si des preuves d’influence sur les opérations de données ultérieures sont trouvées.)
L’arrêt de la CJUE fait suite à un renvoi de questions d’un tribunal belge où le IAB Europe a contesté la décision de février 2022 de l’autorité locale de protection des données, qui a estimé que son « Cadre de transparence et de consentement » (TCF) enfreignait le RGPD.
La décision de l’APD belge a été – et est toujours – un gros problème pour les internautes en Europe où le spam de consentement a proliféré depuis l’entrée en vigueur du RGPD en mai 2018 – jonchant les sites Web de pop-ups interminables sollicitant le consentement pour « partager » les données des utilisateurs. avec de longues listes de « partenaires » publicitaires.
Le problème est que ces pop-ups spammés n’ont jamais semblé conformes au RGPD. Un simple « oui ou non » au suivi des publicités est autant de frictions que les internautes devraient subir. Mais l’industrie de l’adtech, consciente que la plupart des gens votent en faveur de la vie privée lorsqu’on leur en donne l’occasion, a choisi de faire tout son possible pour éviter d’offrir aux gens un moyen simple de refuser le suivi. Par conséquent, le suivi des désinscriptions a tendance à être beaucoup moins visible, souvent enfoui dans des sous-menus de fenêtres contextuelles (si elles sont même proposées) – par rapport aux boutons « accepter » accrocheurs facilement à la portée des utilisateurs qui le rendent extrêmement simple. pour rejeter une fenêtre contextuelle ennuyeuse, mais avec un coût caché élevé pour la confidentialité.
D’autres tactiques déployées par l’industrie de la technologie publicitaire depuis l’entrée en vigueur du RGPD incluent la pré-vérification des options de partage et l’obligation pour les utilisateurs Web de cliquer et de décocher manuellement plusieurs cases, ce qui rend la tentative de récupération de votre vie privée vraiment fastidieuse et chronophage.
Il y a encore pire : des recherches indépendantes ont montré que certains fournisseurs de technologies publicitaires connectés au TCF de l’IAB continuent de suivre et de profiler les utilisateurs Internet même lorsqu’ils déclarent explicitement qu’ils ne veulent pas de publicités basées sur le suivi.
Les critiques qualifient l’ensemble de l’approche cynique de la conformité : une tentative de l’industrie publicitaire d’échapper à la loi sur la protection des données et de continuer à suivre et à profiler en masse les utilisateurs du Web en regroupant la non-conformité systématique dans un cadre standard de l’industrie.
L’IAB ne partage bien sûr pas ce point de vue. Sa contestation judiciaire de la décision belge concluant que le TCF viole le RGPD reste en cours – mais la décision de la CJUE sera désormais renvoyée au tribunal pour qu’il soit pris en compte dans cette procédure.
L’association publicitaire avait cherché à annuler la décision belge en arguant que les chaînes TCF ne sont pas des données personnelles. Elle a également contesté sa qualification de responsable conjoint du traitement par l’autorité. Sur les deux points, la CJUE a conclu le contraire. L’appel de l’IAB ne s’annonce donc pas trop rose.
Dans un communiqué de presse publié aujourd’hui, l’IAB a pris acte de la décision du tribunal, affirmant qu’il se félicitait de « la clarté indispensable sur les concepts de données personnelles et de contrôle (conjoint), qui permettra de mener à bien sereinement les procédures judiciaires restantes ». C’est une façon de perdre totalement l’argument.
Il a également indiqué qu’il publierait prochainement « un commentaire plus approfondi sur la décision et ses conséquences ».
« La Cour belge des marchés va désormais reprendre son examen des arguments de fond d’IAB Europe conformément aux réponses fournies par la CJUE », ajoute-t-il. « En attendant la conclusion de la procédure devant le Tribunal des Marchés qui peut durer plusieurs mois, la suspension de l’exécution de l’APD [Belgian DPA’s] Cette décision (c’est-à-dire la mise en œuvre du plan d’action de l’IAB Europe suite à sa validation) continue de s’appliquer.
Traduction : L’IAB espère bénéficier d’un délai supplémentaire de quelques mois avant que la justice belge ne se prononce sur le sort du TCF.
Dans une FAQ mise à jour sur la saga, l’association publicitaire cherche à nier que la décision de la CJUE porte un coup dur à ses chances d’annuler la conclusion de la DPA belge selon laquelle le TCF viole le RGPD – affirmant qu’il n’y a « rien dans la décision de la CJUE qui pourrait être considéré comme même remettre en question à distance la légalité des demandes de consentement ou interdire leur utilisation par l’écosystème numérique pour se conformer aux exigences légales du cadre de protection des données de l’UE ».
Ce qui, encore une fois, est une belle tournure, étant donné que le rôle de la CJUE est spécifiquement de répondre aux points de droit soulevés. Il appartient à la juridiction de renvoi de prendre les mesures suivantes, en tenant compte des orientations de la juridiction suprême sur la manière d’interpréter les points de droit clés relatifs à l’affaire.
Pour rappel, la décision de l’autorité belge de février 2022 sur la plainte de longue date contre le TCF de l’IAB a constaté des violations des articles 5.1.a et 6 (licéité du traitement ; équité et transparence) ; Articles 12, 13 et 14 (transparence) ; Articles 24, 25, 5.1.f et 32 (sécurité du traitement ; intégrité des données personnelles ; protection des données dès la conception et par défaut) ; Articles 30 (registre des activités de traitement) ; article 35 (analyse d’impact sur les données) ; et article 37 (désignation d’un délégué à la protection des données).
L’autorité a également infligé une amende d’un quart de million d’euros à l’IAB à ce moment-là – et lui a donné six mois pour mettre le TCF en conformité. Toutefois, les mesures exigeant une réforme du cadre ont été suspendues dans l’attente d’une décision judiciaire définitive sur l’appel de l’IAB. C’est pourquoi le spam contextuel lié au consentement persiste encore aujourd’hui dans l’UE.
Ce Le spam avec consentement zombie peut – enfin, enfin ! – sera cependant à bout de souffle avec cette décision. Dans une déclaration faisant suite à l’arrêt de la CJUE, Johnny Ryan, chercheur principal au Conseil irlandais pour les libertés civiles et directeur d’Enforce, l’une des personnes qui ont déposé des plaintes RGPD contre le TCF, et avant cela, des plaintes contre les enchères en temps réel (telles que comme celle contre l’adtech de Google qui n’a toujours pas été tranchée par la DPA irlandaise), prédit que la fin de cette lutte épique est en vue.
« Les citoyens de toute l’Europe sont confrontés chaque jour à de fausses fenêtres contextuelles de « consentement » sur presque tous les sites Web et applications depuis l’introduction du RGPD il y a près de six ans. IAB Europe a cherché à se soustraire à sa responsabilité dans cette mascarade. Mais la Cour de Justice européenne a mis les choses au clair. Cette décision ne mettra pas seulement fin à la plus grande opération de spam de l’histoire. Cela infligera une blessure mortelle à l’industrie de la publicité basée sur le suivi en ligne », a écrit Ryan.
Il est néanmoins possible que le PR de l’IAB projette aujourd’hui des procédures judiciaires « sereines », même si la CJUE a rejeté ses arguments, car elle aurait pu repérer une stratégie alternative visant à renforcer le consentement au suivi des internautes européens – compte tenu de la tendance croissante. de modèles « consentement ou paiement », motivés par l’adoption de cette tactique par Meta l’automne dernier. (Ici, le choix du consentement est encore plus manifestement manipulateur et abusif : payez littéralement de l’argent pour votre vie privée, en souscrivant à un abonnement sans publicité, ou acceptez le suivi et n’obtenez aucune confidentialité.)
Cela dit, le modèle controversé « consentement ou paiement » est déjà confronté à de nombreux défis en matière de protection de la vie privée et des consommateurs. De plus, le Comité européen de la protection des données devrait prochainement donner son avis. La Commission européenne examine également l’utilisation de cette tactique par Meta, dans le cadre de sa surveillance des très grandes plateformes en ligne en vertu de la loi sur les services numériques – qui exige que les plateformes obtiennent le consentement pour l’utilisation des données des personnes à des fins publicitaires, et fixe certaines conditions à leur utilisation. comment le consentement peut être recueilli, en plus de la base de référence éclairée, spécifique et librement donnée du RGPD.
Combien de temps encore l’industrie des publicités de surveillance pourra-t-elle rayer la piste opérationnelle dans l’UE – étant donné le rétrécissement des voies juridiques à mesure que les plaintes et les mesures d’application de la vie privée se multiplient dans le système ; et avec de nouvelles attaques de conformité qui s’ouvrent sur plusieurs fronts, ce n’est pas clair. Cela peut être une question de mois. Ou cela peut également obliger la CJUE à se prononcer sur le « consentement ou le paiement » (donc, peut-être au maximum, quelques années de plus). Mais le seul vrai choix qui reste à l’industrie semble simple : se réformer ou mourir.