Un cadre phare pour recueillir le consentement des internautes pour le ciblage avec des publicités comportementales – qui est conçu par un organisme de l’industrie publicitaire, l’IAB Europe – ne répond pas aux normes juridiques requises en matière de protection des données, selon les conclusions de son superviseur des données de l’UE.

L’enquête de la DPA belge fait suite à des plaintes contre l’utilisation de données personnelles dans le cadre des enchères en temps réel (RTB) composante de la publicité programmatique qui soutient qu’un système d’échange de données personnelles à grande vitesse est intrinsèquement incompatible avec les exigences de sécurité des données intégrées dans le droit de l’UE.

Le cadre de transparence et de consentement (TCF) de l’IAB Europe peut être vu apparaître partout sur le Web régional, demandant aux utilisateurs d’accepter (ou de rejeter) les trackers publicitaires – dans le but déclaré d’aider les éditeurs à se conformer aux règles de protection des données de l’UE.

C’était la réponse de l’organisme de normalisation de l’industrie publicitaire à une mise à jour majeure des règles de protection des données du bloc, après le règlement général sur la protection des données (RGPD) est entré en application en mai 2018 – resserrant les normes relatives au consentement au traitement des données personnelles et introduisant des sanctions surdimensionnées en cas de non-conformité – augmentant ainsi le risque juridique pour le secteur du suivi publicitaire.

L’IAB Europe a introduit le TCF en Avril 2018, affirmant à l’époque que cela «aiderait l’écosystème de la publicité numérique à se conformer aux obligations du RGPD et de la directive ePrivacy».

Le cadre a été largement adopté, y compris par le géant de l’adtech, Google – qui l’a intégré en août.

Au-delà de l’Europe, l’IAB a également récemment fait pression pour une version du même outil à utiliser pour la “ conformité ” avec Consumer Privacy Act de Californie.

Cependant, les conclusions de la division d’enquête de l’agence belge de protection des données jettent le doute sur toute cette adoption – suggérant que le cadre n’est pas adapté à l’objectif.

Le service d’inspection de la DPA belge fait un certain nombre de conclusions dans un rapport examiné par TechCrunch – notamment le fait que le TCF ne respecte pas les principes de transparence, d’équité et de responsabilité du RGPD, ainsi que la légalité du traitement.

Il constate également que le TCF ne fournit pas de règles adéquates pour le traitement des données de catégories spéciales (par exemple, informations sur la santé, affiliation politique, orientation sexuelle, etc.) Est-ce que traiter ces données.

Il y a d’autres conclusions très embarrassantes pour l’IAB Europe, qui, selon l’inspection, n’a pas nommé de délégué à la protection des données, ni ne tient un registre de ses propres activités internes de traitement des données.

Sa propre politique de confidentialité a également été jugé insuffisant.

Nous avons contacté l’IAB Europe pour commenter les conclusions de l’inspection. Mise à jour: Voir la base de cet article pour une première réponse. Mise à jour 2: L’organisme de normalisation de la publicité a maintenant publié une déclaration ici dans lequel il décrit le TCF comme une «norme volontaire» contenant «un ensemble minimal de bonnes pratiques». Il dit également qu’il «est respectueusement en désaccord[s] avec le [Belgian DPA]l’interprétation apparente de la loi, selon laquelle IAB Europe est un contrôleur de données dans le cadre de la mise en œuvre par les éditeurs du TCF », ajoutant:« Si elle est confirmée, le [Belgian DPA]L’interprétation de cette dernière aurait un effet dissuasif sur le développement de normes de conformité open source qui servent à soutenir les acteurs de l’industrie et à protéger les consommateurs.

Une série de plaintes contre RTB ont été déposées à travers l’Europe au cours des deux dernières années, en commençant au Royaume-Uni et en Irlande.

Le Dr Johnny Ryan, qui a déposé les plaintes originales de la RTB – et est maintenant senior fellow à la Conseil irlandais des libertés civiles – a déclaré à TechCrunch: «Le TCF était une tentative de l’industrie du suivi de mettre un placage ou une quasi-légalité sur la violation massive de données au cœur de l’industrie de la publicité comportementale et du suivi et la DPA belge est maintenant en train de décoller ce placage et d’exposer le illégalité.”

Ryan a précédemment décrit les problèmes de RTB comme «la plus grande violation de données jamais enregistrée».

Le mois dernier, il a publié un autre dossier de preuves ébouriffant sur l’ampleur et la difficulté de la fuite de données personnelles par RTB – avec des conclusions indiquant qu’un courtier de données a utilisé RTB pour profiler des personnes dans le but d’influencer les élections parlementaires polonaises de 2019 en ciblant les personnes LGBTQ +. Il a été constaté qu’un autre courtier en données profilait et ciblait les utilisateurs d’Internet en Irlande dans des catégories telles que «abus de substances», «diabète», «douleur chronique» et «troubles du sommeil».

Dans une déclaration, Ravi Naik, l’avocat qui a travaillé sur les plaintes originales de la RTB, avait ceci à dire sur les conclusions de l’inspection belge: «Ces conclusions sont accablantes et tardives. En tant que normalisateur, l’IAB est responsable des violations du RGPD. Leur autorité de contrôle a constaté à juste titre que l’IAB «néglige» les risques pour les personnes concernées. La responsabilité de l’IAB est maintenant de mettre un terme à ces violations. »

Suite au dépôt de plaintes RTB, l’organisme de surveillance des données du Royaume-Uni, l’ICO, a émis un avertissement concernant la publicité comportementale dans Juin 2019 – exhortez l’industrie à prendre note de la nécessité de se conformer aux normes de protection des données.

Cependant, le régulateur n’a pas donné suite à une quelconque mesure d’exécution – sauf si vous comptez plusieurs articles de blog légèrement rédigés. Plus récemment, il a suspendu son enquête (toujours en cours) sur le problème à cause de la pandémie.

Dans un autre développement l’année dernière, l’Irlande DPC a ouvert une enquête dans Ad Exchange en ligne de Google – en examinant la base légale de son traitement des données personnelles. Mais cette enquête est l’une des partitions qui restent ouvertes sur son bureau. Et le régulateur irlandais continue de faire face à la critique sur le temps qu’il faut pour rendre des décisions sur les principaux cas transfrontières du RGPD relatifs aux grandes technologies.

Jef Ausloos, chercheur post-doctorant en confidentialité des données à l’Université d’Amsterdam – et l’un des plaignants dans le cas belge – a déclaré à TechCrunch que la décision de la DPA fait pression sur d’autres régulateurs de l’UE pour qu’ils agissent, appelant ce qu’il a décrit comme «leur inaction complète, le cerf dans les phares«.

“Je pense que nous en verrons plus dans les mois / année à venir, c’est-à-dire que d’autres DPA sont malades et fatigués, prenant les choses en main – au lieu d’attendre les Irlandais”, at-il ajouté.

«Nous sommes heureux de voir enfin une autorité de protection des données résolue à s’attaquer à l’industrie de la publicité en ligne à ses racines. C’est peut-être la première étape importante dans la suppression du capitalisme de surveillance », a également déclaré Ausloos dans un communiqué.

Il reste encore plusieurs étapes à franchir avant que l’APD belge ne prenne (toute) mesure sur le contenu du rapport de son inspection – avec un certain nombre d’étapes en suspens dans le processus réglementaire. Nous avons contacté la DPA belge pour obtenir ses commentaires. Mise à jour: Voir ci-dessous.

Mais, selon les plaignants, les conclusions de l’inspection ont été transmises à la chambre du contentieux et une action est attendue début 2021. Ce qui suggère que les observateurs de la vie privée dans l’UE pourraient enfin faire valoir leurs droits contre l’industrie du suivi publicitaire /complexe industriel de données dans le futur proche.

Pour les éditeurs, le message doit changer Comment ils monétisent leur contenu: des alternatives respectueuses des droits aux publicités effrayantes sont possibles (par exemple, un ciblage publicitaire contextuel qui n’utilise pas de données personnelles). Certains éditeurs ont déjà trouvé que le passage aux publicités contextuelles était une bonne nouvelle pour leurs revenus. Des modèles commerciaux d’abonnement sont également disponibles (même si tous les VC ne sont pas des fans).

Mise à jour I: Répondant aux questions sur les prochaines étapes et le calendrier probable pour parvenir à une décision, une porte-parole de la DPA belge nous a déclaré: «En termes de procédure, maintenant que le rapport du service d’enquête a été transféré à la chambre de contentieux de la BE DPA, la Chambre du contentieux examinera l’affaire au fond. »

«Pour le moment, nous préférons ne pas fournir une estimation du moment où la Chambre du contentieux prendra une décision dans cette affaire», a-t-elle ajouté.

Mise à jour II: Atteint pour sa réponse au rapport, le PDG de l’IAB Europe, Townsend Feehan, nous a dit que l’organisme de normalisation de la publicité publierait une déclaration dans les heures à venir. Elle s’est également opposée au titre de ce rapport en déclarant: «Je trouve que votre titre est trompeur. C’est juste factuellement incorrect.

Interrogée sur ce qui est factuellement inexact à ce sujet, elle s’est opposée à la formulation «jugé non conforme à la norme GDPR» – disant qu’elle «suggère fortement une décision d’une autorité».

Lorsque nous avons souligné que notre rapport indique clairement que la procédure est en cours – y compris une explication et une citation de la DPA belge à cet effet – elle a déclaré: «L’observation que je voudrais faire est que je trouve que votre titre est trompeur et que je pense que ce serait une représentation plus fidèle de la vérité si le titre pouvait indiquer qu’une enquête préliminaire révèle [the TCF fails the GDPR standard]. »

Sur les données de catégorie spéciale, elle a également déclaré: “Vous ne pouvez pas utiliser le TCF pour traiter des données de catégorie spéciale.”

“Je ne veux pas parcourir tout le rapport avec vous, mais vous avez fait un gros titre qui donne au marché l’impression que le TCF a été trouvé par un DPA pour enfreindre le RGPD et ce n’est pas le cas”, a-t-elle également déclaré. nous, ajoutant: “Nous aurons probablement une autre déclaration en route dans les prochaines heures.”

Mise à jour III: Vous pouvez maintenant lire l’intégralité de la déclaration d’IAB Europe sur les résultats de l’enquête de la DPA belge sur son site internet, où il écrit: «Le rapport de l’APD représente les vues préliminaires de l’unité des enquêtes de l’APD et n’a aucun effet contraignant en ce qui concerne toute violation de la loi par IAB Europe.»



Leave a Reply