Mécanisme sous-jacent aux fenêtres contextuelles de cookies détectées en violation du RGPD

Le mécanisme utilisé par IAB Europe – l’organisme commercial de l’industrie de la publicité en ligne – pour établir le consentement des utilisateurs à être suivis en ligne a été jugé illégal et en violation du règlement général sur la protection des données (RGPD) dans l’union européenne (UE).

La décision, rendue aujourd’hui par l’Autorité belge de protection des données (BE DPA) agissant au nom des 27 États de l’UE, stipule effectivement que les fenêtres contextuelles de consentement aux cookies ont privé des millions d’Européens des droits fondamentaux en matière de données et pose des problèmes à Google, Amazon et à toute une industrie qui a vu le jour autour du cadre de transparence et de consentement (TCF) d’IAB Europe et du système d’enchères en temps réel OpenRTB.

Les enchères en temps réel sont le processus opaque derrière lequel les données de navigation et personnelles des internautes sont collectées et partagées par le biais d’enchères en coulisses, dans lesquelles elles sont vendues aux annonceurs pour créer des profils d’internautes qui, à leur tour, sont utilisés pour adapter les publicités que les gens voient lorsqu’ils naviguent sur Internet.

C’est la cause sous-jacente du phénomène dans lequel vous pouvez percevoir qu’une publicité vous « suit » sur Internet, même si vous n’avez jamais exprimé d’intérêt pour ce qu’elle vend.

Le système de popup de consentement TCF qui sous-tend les enchères en temps réel se trouve sur 80% de l’Internet européen, et l’industrie du suivi avait affirmé qu’il s’agissait d’une mesure en place pour se conformer au RGPD. Cependant, les autorités ont maintenant statué que le système enfreint le RGPD pour plusieurs raisons:

• Premièrement, elle ne garantit pas la sécurité et la confidentialité des données à caractère personnel, ce qui constitue une violation de l’article 5, paragraphe 1, point f), et de l’article 32;
• Deuxièmement, elle ne demande pas correctement le suivi du consentement, en se fondant sur l’intérêt légitime, ce qui n’est pas admissible en raison du risque posé par le suivi de la publicité en ligne, d’une violation de l’article 5, paragraphe 1, point a), et de l’article 6;
• Troisièmement, il n’est pas transparent sur ce qu’il advient des données des personnes, ce qui enfreint les articles 12, 13 et 14;
• Quatrièmement, il ne met pas en œuvre des mesures visant à garantir que le traitement des données est effectué conformément au RGPD, ce qui constitue une violation de l’article 24;
• Enfin, elle ne respecte pas l’exigence de protection des données dès la conception, qui viole l’article 25.

En outre, l’APD bebative a conclu qu’IAB Europe n’avait pas respecté ses obligations de tenir des registres du traitement des données, de mener une analyse d’impact sur la protection des données (AIPD) et de nommer un délégué à la protection des données (DPD) – toutes les violations du RGPD elles-mêmes.

Hielke Hijmans, président de la chambre de justice de la BE DPA, a déclaré: « Le traitement des données personnelles (telles que la capture des préférences des utilisateurs) dans le cadre de la version actuelle du TCF est incompatible avec le RGPD, en raison d’une violation inhérente du principe d’équité et de légalité.

« Les gens sont invités à donner leur consentement, alors que la plupart d’entre eux ne savent pas que leurs profils sont vendus un grand nombre de fois par jour afin de les exposer à des publicités personnalisées. Bien qu’il s’agisse du TCF, et non de l’ensemble du système d’enchères en temps réel, notre décision d’aujourd’hui aura un impact majeur sur la protection des données personnelles des internautes. L’ordre doit être rétabli dans le système TCF afin que les utilisateurs puissent reprendre le contrôle de leurs données. »

Le BE DPA a déclaré qu’IAB Europe était bien conscient des risques liés au non-respect du RGPD et l’a accusé de négligence. Il a cité des « lacunes systématiques » dans le TCF d’IAB Europe et a noté qu’il soutenait un système qui posait finalement de « grands risques » pour les droits et libertés fondamentaux des données, en particulier compte tenu de l’ampleur des données impliquées, des activités de profilage, de l’utilisation des données pour prédire comment les gens se comporteront et de la surveillance des personnes concernées qui en résulte.

L’action contre le système d’IAB Europe a été initiée par des plaignants à l’APD BE de diverses organisations en Belgique, aux Pays-Bas, en Pologne et en Irlande – le Conseil irlandais pour les libertés civiles (ICCL) a coordonné l’action. Elle découle d’une plainte initiale déposée en 2018 par Johnny Ryan de l’ICCL.

« Cela a été une longue bataille », a déclaré Ryan. « La décision d’aujourd’hui libère des centaines de millions d’Européens du spam de consentement et du risque plus profond que leurs activités en ligne les plus intimes soient transmises par des milliers d’entreprises. »

David Stevens, président de BE DPA, a ajouté: « Brave little Belgium a une fois de plus montré qu’elle n’a pas peur de s’attaquer à des cas majeurs comme celui-ci, qui concerne vraiment tous les citoyens européens qui font leurs achats, travaillent ou se divertissent en ligne. La protection de la vie privée en ligne et la lutte contre les formes de publicité trop intrusives sont une priorité importante pour nous. »

À la suite de cette décision, toutes les données collectées par le biais du TCF doivent désormais être supprimées par toutes les entreprises – plus de 1 000 au total – qui paie IAB Europe pour l’utilisation du système.

IAB Europe a déclaré qu’il reconnaissait la décision, mais a noté qu’il ne s’arrêtait pas à l’interdiction de l’utilisation du TCF, et a rejeté sa principale conclusion selon laquelle il est un contrôleur de données dans le contexte du TCF.

« Nous pensons que cette conclusion est erronée en droit et aura des conséquences négatives imprévues majeures allant bien au-delà de l’industrie de la publicité numérique », a déclaré un porte-parole. « Nous examinons toutes les options en ce qui concerne une contestation judiciaire.

« Malgré nos sérieuses réserves sur le fond de la décision, nous sommes impatients de travailler avec l’APD sur un plan d’action à exécuter dans les six mois prescrits qui assurera l’utilité continue du TCF sur le marché.

« Comme indiqué précédemment, nous avons toujours eu l’intention de soumettre le cadre d’approbation en tant que code de conduite transnational RGPD. La décision d’aujourd’hui semble ouvrir la voie au début des travaux à ce sujet. »