C’est une décision qui devrait faire trembler le monde de la publicité en ligne et les grands opérateurs sur Internet. L’Autorité belge de protection des données (APD) et les autorités européennes chargées de la protection des données déclarent illégales les « fenêtres de consentement », ces fenêtres qui permettent aux cookies ou traceurs d’emmagasiner des données personnelles pendant que vous surfez sur internet, comme une adresse IP, votre genre, géolocalisation, vos loisirs, etc. Plusieurs associations – dont la Ligue des droits humains – emmenées par l’Irish Council for Civil Liberties (ICCL), avaient porté plainte en mai 2019 contre IAB Europe, l’organisation professionnelle des publicitaires européens sur internet. Et l’APD leur a donné raison.
La décision des 28 autorités de protection des données, dirigées par l’Autorité belge de protection des données – en tant qu’autorité de contrôle principale du mécanisme de guichet unique du RGPD – est claire: IAB Europe, l’organisme professionnel du secteur de la publicité en ligne, commet de nombreuses violations du du Règlement Général de Protection des Données (RGPD), dans son traitement des données personnelles. Ciblé ici: le “Transparency and Consent Framework » (TCF). C’est ce système de pop-up qui demande votre consentement à la collecte et au partage de vos données. Il est présent sur 80 % de l’internet européen et permet de vendre aux enchères ces données récoltées via les cookies, ces petits traceurs, à des annonceurs. Ce système d’enchères en temps réel “OpenRTB” va alors alimenter les algorithmes et produire des publicités ciblées. Plus de 1000 entreprises l’utilisent, parmi lesquelles les entreprises de publicité en ligne de Google, Amazon et Microsoft.
Plusieurs violations au RGPD
Selon les conclusions de l’APD, le système de consentement TCF enfreint le RGPD pour plusieurs raisons: la base légale pour le traitement et la diffusion de préférences d’utilisateurs est bancale. L’APD estime aussi que “les informations fournies aux internautes sont trop génériques et trop vagues pour leur permettre de comprendre la nature et la portée du traitement”. L’APD a également constaté qu’ IAB Europe n’avait pas respecté ses obligations en matière de protection des données, à savoir tenir des registres de traitement des données, réaliser une analyse d’impact sur la protection des données et désigner un délégué à la protection des données.
Amende et plan d’action
L’APD a infligé une amende de 250.000 € à IAB Europe. L’Autorité de protection des données lui donne deux mois pour présenter un plan d’action visant à mettre ses activités en conformité.
La Ligue des droits humains va prendre connaissance en détails des conclusions de l’APD et continuera de suivre de près ce dossier pour que cette décision se traduise par une interdiction concrète de ce mécanisme TFC et par ricochet, de la vente aux enchères de ces données personnelles. Une décision qui démontre que les acteurs privés ne doivent pas abuser de leur position dominante pour s’exonérer du respect des droits fondamentaux.
Le 3 février 2022