Suite à une enquête, le L’Autorité belge de protection des données a trouvé que l’IAB Europe – l’organisme commercial de l’industrie de la publicité en ligne – a été plutôt méchant et a tenté de se soustraire à ses responsabilités en vertu du RGPD.
En fait, ils ont constaté que l’IAB a commis de multiples violations de la législation GDPR dans la manière dont il traite les données collectées via le « Transparency and Consent Framework » – qui sont les bannières de cookies que vous voyez apparaître sur de nombreux sites sur Internet. Comme à la suite de l’enquête, IAB Europe s’est vu infliger une amende de 250 000 €.
L’intérêt légitime n’est pas suffisant
L’APD belge a déterminé que la revendication d’un intérêt légitime n’est pas une base légale pour placer des cookies sur un appareil. Il doit s’agir d’un consentement, en utilisant la nouvelle définition révisée telle qu’énoncée dans le RGPD. Pour cette raison, l’APD belge a déterminé que l’IAB Europe était en fait un contrôleur de données en vertu du RGPD, et pas seulement un sous-traitant, car c’est l’IAB qui s’occupait de la conception des bannières que les entreprises plaçaient sur leurs sites Web pour obtenir l’autorisation d’installer des cookies.
Cela signifie qu’ils étaient également tenus de respecter le RGPD, ce que l’APD belge a jugé qu’ils étaient tous deux parfaitement au courant et qu’ils n’ont absolument pas fait. Plus précisément, ils ont trouvé IAB Europe en violation de plusieurs articles, avec des échecs tels qu’ils :
- N’a pas établi de base légale pour le traitement
- Échec de la nomination d’un délégué à la protection des données (DPD)
- Échec de la réalisation d’une analyse d’impact sur la protection des données
- N’a pas tenu de registre des activités de traitement
L’APD belge a également déclaré que le système TCF rendait difficile pour les utilisateurs de « garder le contrôle sur leurs données personnelles », car les informations fournies sont « trop génériques et vagues pour permettre aux utilisateurs de comprendre la nature et l’étendue du traitement ».
Sanction de l’IAB
Le montant de l’amende est dû à la crainte de l’APD belge que « le TCF puisse entraîner une perte de contrôle de leurs informations personnelles par de grands groupes de citoyens ». L’IAB Europe s’est vu accorder deux mois pour élaborer un plan de mise en conformité avec le Transparency and Consent Framework. L’IAB Europe a également reçu l’ordre de nettoyer ses systèmes de toutes les données personnelles déjà collectées via le système TCF, mais cette directive ne le fait pas. Il y a plus de 1 000 entreprises qui utilisent IAB Europe et le TCF et elles sont également tenues de supprimer toutes ces données de leurs systèmes. La liste des entreprises qui ont collecté des données via le TCF comprend Google, Amazon et le site en ligne de Microsoft. entreprises publicitaires.
La décision d’aujourd’hui libère des centaines de millions d’Européens du spam de consentement et du risque plus profond que leurs activités en ligne les plus intimes soient transmises par des milliers d’entreprises.
IAB Europe a, peut-être sans surprise, rejeté la décision de l’Autorité belge de protection des données qu’ils sont un contrôleur de données, publiant une déclaration affirmant que : « Nous pensons que cette conclusion est erronée en droit et aura des conséquences négatives imprévues majeures allant bien au-delà de l’industrie de la publicité numérique » et qu’ils « envisagent toutes les options en ce qui concerne une contestation judiciaire ». Nous pouvons donc nous attendre à ce que les querelles juridiques sur celui-ci durent un certain temps.
Qu’est-ce que cela signifie pour vous
Tout cela fait suite à une plainte concernant l’insécurité du système de publicité en ligne « Real-Time Bidding » (RTB) initié par le Dr Ryan en 2018. Le RTB est défini comme un outil « améliore les ventes d’espaces publicitaires prédéterminés grâce à de vrais marketing axé sur les données et publicité (comportementale) personnalisée. » RTB a permis aux annonceurs en ligne de consulter les informations sur les cookies collectées via les bannières TCF et de diffuser des annonces à toutes ces personnes.
La décision de la DPA belge signifie désormais que toutes ces informations qui ont été partagées avec ces annonceurs ont été collectées illégalement car l’argument de « l’intérêt légitime » ne s’applique pas et IAB Europe va devoir trouver un meilleur argument que « mais nous » je ne suis pas un contrôleur de données » pour éviter d’autres sanctions. Bien que cela ne mette pas fin à tous ces ennuyeux « acceptez-vous les cookies ? » bannières, cela signifie, espérons-le, la fin d’un tel suivi manifeste simplement pour le marketing, et que nos données ne seront pas vendues à qui sait combien de tiers.