Bruxelles, le 19 mars
Si l’Autorité de protection des données belge l’avait déjà affirmé en février 2022, la Cour de Justice de l’Union européenne l’a confirmé le 7 mars 2024 : IAB Europe, l’organisation professionnelle des publicitaires européens sur internet, est bien responsable, en vertu du RGPD, des fenêtres de consentement « TCF », ces fenêtres qui apparaissent sur presque tous les sites Web en Europe et tourmentent les internautes depuis des années pour permettre aux cookies ou traceurs de traiter les données de navigation des internautes sur internet.
Le 2 février 2022, l’Autorité belge de protection des données, statuant en tant qu’autorité de contrôle chef de file pour rendre une décision commune approuvée conjointement par l’ensemble des 27 autorités de contrôle nationales impliquées dans le cadre de ce mécanisme de coopération et de cohérence prévu par le Règlement Général de Protection des Données (RGPD), avait déjà jugé que le système de spam par consentement « TCF » était illégal. Cette décision signifiait que l’ensemble du secteur de la publicité en ligne, par la collecte et la diffusion des données hautement sensibles de toutes celles et ceux qui utilisent Internet en Europe, traitait illégalement ces données depuis des années.
La décision de l’APD n’avait pas plu à IAB Europe qui avait introduit un recours contre ladite décision devant le Tribunal des Marchés de Bruxelles. Elle contestait, entre autres, le fait d’être considérée comme ayant agi en tant que responsable du traitement car elle se contente de fixer les règles sur la manière dont les données doivent être utilisées, mais ne traite pas les données elles-mêmes. Les plaignants, dont la Ligue des droits humains*, avaient alors fait appel sur d’autres questions, lesquelles ont été déférées par la Cour des Marchés de Bruxelles à la Cour de Justice européenne en septembre 2023.
La Cour vient donc de confirmer qu’IAB Europe, en tant qu’organisme de gestion du TCF, est un « responsable de traitement » au sens du RGPD. IAB Europe commet donc de multiples violations du RGPD dans son traitement de données personnelles dans le cadre de son “Transparency and Consent Framework » (TCF) et du système de publicité en ligne « Real-Time Bidding » (RTB).Le TCF a été utilisé pour légitimer à tort la diffusion aveugle des données personnelles de millions de personnes en Europe vers des entreprises du monde entier, y compris vers des entreprises en Chine et en Russie**. Cela se produit 71 000 milliards de fois par an. L’arrêt rendu par la Cour montre à quel point la protection des données personnelles est étendue en Europe.
La victoire va bien au-delà d’IAB Europe. Si l’organisme professionnel du secteur de la publicité en ligne, commet de nombreuses violations du RGPD dans son traitement des données personnelles, Google, Amazon, Microsoft, TikTok et des centaines d’autres sociétés de publicité en ligne basées sur le suivi s’appuient justement sur le système de consentement d’IAB Europe que les autorités européennes de protection des données ont déjà jugé comme en violation du RGPD suite à notre plainte.
Ces entreprises ne peuvent donc plus se soustraire à leurs responsabilités en prétendant que les données qu’ils utilisent ne sont pas protégées par la loi. Il appartient maintenant à la Cour d’appel de Bruxelles de traduire l’interprétation de la Cour européenne dans une décision qui garantira aux internautes le respect de leur droit fondamental au respect de la vie privée en ligne.
Décision complète : https://curia.europa.eu/juris/document/document.jsf?text&docid=283529&pageIndex=0&doclang=FR&mode=lst&dir&occ=first&part=1&cid=519980
* Les questions auxquelles la Cour a répondu ont été posées par des plaignants coordonnés par Enforce, une unité du Conseil irlandais pour les libertés civiles (ICCL). Le groupe de plaignants comprend : le Dr Johnny Ryan d’ Enforce , Katarzyna Szymielewicz de la Fondation Panoptykon (Pologne), la Stichting Bits of Freedom (Pays-Bas), la Ligue des Droits Humains (Belgique), le Dr Jef Ausloos et le Dr Pierre Dewitte . Cette décision fait suite à des plaintes concernant l’insécurité du système de publicité en ligne « Real-Time Bidding » (RTB) que le Dr Ryan a lancé en 2018.
** Europe’s Hidden Security Crisis, ICCL, 2023 (URL: https://www.iccl.ie/digital-data/europes-hidden-security-crisis/), p.8