Entré en vigueur en 2018, le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il impose des obligations aux organisations, où qu’elles soient, du moment qu’elles ciblent et/ou collectent des données de personnes résidant dans l’Union européenne. Cette initiative vise notamment à répondre aux exigences des utilisateurs, qui réclament une plus grande protection de leur vie privée, et plus de transparence quant à l’exploitation de leurs données.
Le 2 février 2022, l’Autorité Belge de Protection des Données (ADP) a infligé une amende de 250 000 euros à l’Interactive Advertising Bureau (IAB) Europe, jugeant que le Transparency & Consent Framework (TCF) était contraire à plusieurs dispositions du RGPD.
Alors que le TCF est utilisé par la majorité des acteurs de la chaîne publicitaire, cette sanction européenne pourrait-elle remettre en question la manière de recueillir les consentements pour la publicité ciblée ?
Mise à jour 16/02/2023 : Après la dernière proposition de TCF de l’IAB en avril 2022, la DPA l’a finalement approuvée et leur a donné 6 mois pour la mettre en œuvre à partir du 11 janvier 2023.
1 – Qu’est-ce que le TCF ?
Le Transparency & Consent Framework (TCF) est un standard de recueil du consentement, développé par l’IAB Europe (organisation qui regroupe les principaux acteurs de la publicité en ligne), afin d’aider les différents acteurs de la chaîne publicitaire à se conformer aux exigences du RGPD et de la Directive ePrivacy.
Lorsqu’un internaute visite un site web, un bandeau de gestion du consentement (CMP ou Consent Management Platform) apparaît, lui permettant de consentir ou non à la collecte et au partage de ses données. C’est au moment de ce choix qu’intervient le TCF, qui enregistre les préférences recueillies sous la forme d’un fichier appelé “TC String”.
L’IAB France définit la “TC String” comme : “une chaîne de signaux digitaux permettant la mémorisation et la propagation des choix des utilisateurs concernant l’utilisation de leurs données personnelles pour des finalités liées à la publicité, au contenu et à la mesure d’audience”.
Ce fichier est notamment partagé avec l’ensemble des acteurs impliqués dans le système OpenRTB (Real Time Bidding), méthode de vente et d’achat d’inventaires publicitaires en temps réel fonctionnant sur la base d’enchères. Le RTB est l’un des principaux outils de la publicité programmatique.
2 – Qu’est-ce que l’ADP reproche à l’IAB ?
La CNIL Belge, juge l’IAB Europe comme responsable du traitement des “TC Strings”, et lui reproche notamment :
- L’absence de base juridique concernant l’utilisation des données collectées à travers ce fichier ;
- Un manque de transparence, avec des informations trop génériques, ne permettant pas aux internautes de saisir ce qu’implique la collecte de leurs données ;
- Un manque de rigueur concernant les moyens mis en place pour s’assurer de la protection des données : absence de registre des activités de traitement, absence d’un délégué à la protection des données (DPO)…
3 – Quel avenir pour la publicité ? Et quelles conséquences pour les éditeurs ?
L’ADP donne à l’IAB Europe un délai de deux mois pour soumettre un plan d’action visant à la mise en conformité de son standard publicitaire dans les six prochains mois. Elle ordonne également la suppression définitive de tous les “TC Strings” et autres données à caractère personnel déjà traitées dans le cadre du TCF, et cela, dans tous les systèmes informatiques, fichiers et supports de données.
Dans un communiqué de presse, publié le 2 février 2022, l’IAB Europe déclare prendre note de la décision de l’Autorité Belge, tout en précisant n’avoir observé aucune interdiction de leur norme TCF. Si l’organisation se dit prête à travailler avec l’ADP pour garantir le maintien et l’utilisation du TCF sur le marché, elle refuse cependant son rôle de “responsable des données”. Le 11 février, IAB Europe annonce faire appel de la décision de l’APD devant les tribunaux belges.
Pour rappel, il existe aujourd’hui 3 contextes pour la monétisation publicitaire des médias : avec consentement, sans consentement ou en l’absence de choix, auquel cas l’éditeur du site peut se reposer sur son intérêt légitime pour afficher des publicités sans cookies. Chez Opti Digital, nous proposons une monétisation cross-consent, qui respecte le choix des internautes, et permet aux éditeurs de monétiser leur site web avec et sans le consentement de l’utilisateur à la publicité ciblée.
Pour notre CEO et cofondatrice Magali Quentel-Reme : “C’est encore trop tôt pour le dire, mais si les éditeurs devaient présenter de nouveau la CMP lors de la mise en conformité du TCF, on risquerait d’observer une baisse du taux de consentement car l’internaute, par lassitude, pourrait décider de s’opposer à tout.”
L’annonce étant encore récente, les conséquences de celle-ci sur le secteur sont encore difficiles à prévoir. Chez Opti Digital, nous suivrons donc ce sujet de près pendant les prochaines semaines, en contact étroit avec nos partenaires CMP (lire l’article de Sirdata suite à l’annonce de l’ADP). Nous vous tiendrons informés de l’avancée de la situation, en mettant notamment à jour notre article de manière régulière.
L’IAB Europe organisera un live le mercredi 16 février afin de répondre aux questions soulevées par la décision de l’ADP. Des informations complémentaires sur les prochaines étapes seront fournies lors de cet événement. En attendant, une FAQ est disponible sur le site de l’organisation.
Pour approfondir ce sujet n’hésitez pas à contacter l’un de nos responsables éditeurs.