Ce 2 février 2022, l’Autorité belge de la protection des données (APD) a infligé une amende de 250 000 euros à IAB Europe, qui regroupe les géants de la publicité en ligne en Europe (dont Google, Facebook, Microsoft…) : son module assurant le ciblage publicitaire, conçu pour répondre aux exigences du RGPD, ne respecte justement pas le RGPD !
IAB Europe est une alliance des principaux acteurs de la publicité en ligne dans l’Union Européenne, dont Google, Facebook ou Microsoft. Pour répondre aux exigences du RGPD, IAB Europe a développé un composant spécifique, baptisé Transparency and Consent Framework (ou TCF).
Le module de consentement au tracking publicitaire de l’IAB Europe viole le RGPD
Ce TCF a été conçu pour offrir « un cadre transparent et fixe dans le traitement des données personnelles en lien avec le tracking publicitaire, dans le strict respect du RGPD ». Or, ce 2 février 2022, l’ADP, avec le soutien des autres Cnil européennes, a infligé une amende de 250 000 euros à IAB Europe, justement parce que ce TCF ne respecte pas le RGPD.
Pour justifier cette décision, l’ADP pointe tout d’abord que l’information des utilisateurs est insuffisantes. Certes, ils donnent leur consentement pour le traitement de leurs données et l’utilisation de cookies de pistage, mais “l’immense majorité ne sait pas que les profils sont vendus et circulent chaque jour sur les places de marché publicitaires pour leur afficher des annonces ciblées”.
L’ADP pointe par exemple que le fait de connaître l’URL d’où vient un internaute, et celle vers laquelle il se dirige peut permettre de déduire de nombreuses informations sensibles (son genre, son orientation sexuelle, ses croyance religieuses, ses opinions politiques, son état de santé…).
Les utilisateurs sont mal informés et manquent de contrôle sur le traitement de leurs données
L’ADP reproche également au TCF de ne laisser aucun outil de contrôle des utilisateurs sur le traitement de leurs données, notamment dans le temps. Par ailleurs, aucun dispositif ne permet de valider que les visiteurs ont bien accepté, « de manière libre et éclairée », le traitement de leurs données.
Pour finir, l’IAB Europe n’a pas tenu de registre des activités de traitement, n’a pas désigné de délégué à la protection des données (DPA) et n’a pas réalisé d’une analyse d’impact relative à la protection des données (AIPD).
Outre l’amende, l’organisation a l’obligation de proposer et mettre en œuvre sous six mois un plan d’action validé par l’ADP, incluant notamment l’effacement de toutes les données indûment collectées, l’interdiction d’activer un système de consentement “par défaut”, la création d’un registre, la désignation d’un délégué et la tenue d’une étude d’impact.