« L’IAB créé des outils que les acteurs de la publicité utilisent pour se mettre dans les clous de la conformité »
Maxime JAILLETLe protocole TCF, vous en avez souvent entendu parler. Mais devez-vous forcément l’appliquer si vous voulez déposer vos cookies ? On en a parlé à Me Christophe Landat, associé-fondateur d'Axeptio et notre avocat (GetAvocat) officiel et préféré. Dans cette première partie de l’interview, il défriche pour vous les sigles du jargon de la publicité.
« RTB », c’est un acronyme anglais, pour enchères en temps réel. En fait, c’est de la publicité en mode programmatique qui fonctionne sur le principe de la mise aux enchères d’impressions. Tout ça est bien sûr automatisé, il n’y a pas un type derrière son écran qui appuie sur un bouton pour acquérir une enchère. Ça se déroule en quelques milli-secondes.
On met en place un système où l’enchère la plus haute va emporter la possibilité d’afficher sa publicité sur le site visité par l’internaute. Ce en fonction de cookies déposés au préalable sur sa machine.
Le RTB, c’est donc au final une concurrence débridée entre publicitaires pour savoir qui pourra afficher sa publicité auprès d’un internaute.
Si j'achète des emplacements publicitaires sur Facebook Ads ou Google Adwords ou bien si je diffuse des publicités de ce type sur mon site, je fais forcément du RTB ou pas ?
Non, pas forcément.
Quand tu fais du programmatique, tu peux privilégier une méthode plutôt qu’une autre et le RTB est une manière de faire du programmatique. C’est l’automatisation, poussée à outrance, de la monétisation de ton inventaire digital, en fonction de critères économiques que tu as défini. Ce système va se déclencher en fonction de la collecte d’informations effectuée au préalable.
Et d’ailleurs, la manière dont les données personnelles sont collectées et sont croisées peut poser des interrogations sur le plan juridique.
Maintenant, parlons de l'IAB. C'est quoi, exactement, l'IAB ? Peux-tu nous en dire un peu plus sur ce qu'ils font ?
L’Iab, c’est une grosse machine. C’est l’abréviation d’Interactive Advertising Bureau. C’est une organisation internationale qui regroupe les acteurs de la publicité sur internet.
Grosso modo, son rôle est de créer des normes contraignantes pour les adhérents (et donc pas pour tous ceux qui n’adhèrent pas…), de faire des recommandations.
Donc l’IAB créé des standards de publicité sur internet et des outils que les acteurs du marketing et de la publicité (qui font pas mal de business avec la data) vont pouvoir utiliser pour se mettre dans les clous de la conformité par rapport aux règles publicitaires.
Ceci avec quand même un prisme qui est celui de la collecte de données avant tout. C’est une orientation très très business où on essaie de faire cohabiter les contraintes légales avec des impératifs économiques. L’IAB essaie de poser le compromis le plus acceptable possible entre ces deux enjeux et ce n’est pas toujours facile.
Il y a ainsi une volonté de privilégier le volet business qui s’accompagne fatalement de lectures du RGPD, qui sont propres à l’IAB, et qui peuvent parfois poser question.
Quand on visite certains sites web, on voit que leurs modules de cookies sont designés de la même manière, cela donne tout un panel de choix au user. Ces éditeurs appliquent le protocole TCF de l'IAB. Qu'est-ce que c'est, au juste, et pourquoi ces éditeurs ont-ils adopté ce standard ?
TCF, cela veut dire « Transparency and Consent Framework ». Il est édicté par l’IAB.
Le TCF, c’est ni plus ni moins que la définition d’un paramétrage et d’une manière de collecter un consentement à travers un logiciel. Si tu es adhérent à l’IAB et que tu souscris à la norme TCF, tu devras collecter le consentement comme l’IAB le demande. Et pas autrement.
De mon point de vue, c’est le principal souci qui se pose avec le TCF. On met souvent en avant un des 6 fondements de collecte de données qui est celui de l’intérêt légitime prévu par l’article 6.1.f du RGPD.
Il faut un fondement légal pour pouvoir collecter des données : il en existe 6 en tout. On peut par exemple le faire parce que l’internaute y consent, parce que la loi l’autorise, parce que le traitement de données est nécessaire pour exécuter le contrat qu’il a signé. Et puis, il y a ce fondement très flou des « intérêts légitimes poursuivis par le responsable du traitement ».
Pour moi, c’est très clairement un fondement dangereux. Pourquoi ? Parce que pour pouvoir l’utiliser, il faut d’abord au préalable mener une analyse très fine et mettre en balance les objectifs de celui qui collecte et les risques qu’il entraîne pour les droits des personnes.
La CNIL rappelle que « L’intérêt légitime ne peut donc être considéré comme une base légale « par défaut » : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse. » (https://www.cnil.fr/fr/les-bases-legales/interet-legitime)
Mais il est où cet « examen attentif » quand tu collectes des données à la volée sans aucune analyse préalable ?!
Il y a un avis qui a été émis par l’ancien G29 (et maintenant CEPD – Comité européen sur la protection des données) sur la notion d’intérêts légitimes. Cet avis fait plus de 70 pages ! Et dans cet avis, on s’interrogeait déjà sur la manière de gérer la notion d’intérêts légitimes par rapport à la légitime protection des droits et libertés fondamentaux des personnes.
Je considère pour ma part que l’usage qui est fait actuellement de ce fondement est excessif. Mais il est surtout déséquilibré et dangereux pour ceux qui l’utilisent. Pourquoi ? Avant le RGPD, on avait déjà de la jurisprudence avec le précédent d’au moins une entreprise sanctionnée pour avoir déposé des cookies sur des sites internet sur la base de ses intérêts légitimes (un intérêt économique en l’espèce). Or, on doit faire une appréciation entre les intérêts de l’entreprise et les droits des personnes, leurs attentes légitimes vis-à-vis des collectes et des traitements de leurs données. Il faut trouver un équilibre et souvent, cet équilibre n’est pas respecté.
Je vais donner un exemple concret. Tu es une entreprise qui fabrique du papier qui serviront pour billets de banque ou des pièces d’identité. Tu sais que la matière que tu traites peut-être volée par des personnes externes ou par des personnes qui travaillent au sein de l’entreprise.
Il s’agit donc à la fois de protéger les salariés contre les intrusions de l’extérieur et de protéger l’entreprise contre les éventuelles malversations de certaines personnes au sein du personnel. Tu vas mettre en place des caméras de surveillance, de la biométrie et tout ça, c’est de la collecte de données à caractère personnel.
Tu vas fonder cette collecte de données sur la protection des intérêts légitimes de l’entreprise.
D’une part, tu protèges les droits et libertés fondamentaux de tes salariés car tu les mets en sécurité avec des dispositifs de badge d’entrée... D’autre part, tu mets en sécurité la production de l’entreprise vis à vis de l’État. Donc là, tu peux considérer que tu es dans un équilibre entre les intérêts légitimes de l’entreprise et les droits et libertés fondamentaux des personnes concernées. Mais tu vois que c’est une situation très particulière.
Je pense que la notion d’intérêt légitime, telle qu’elle est envisagée dans le domaine publicitaire, est appréciée un peu trop abusivement. Je ne suis d’ailleurs pas le seul à le penser car on sait qu’il y a des procédures en cours, on est en train d’enquêter sur ce genre de pratique.
Suite de l’interview au prochain épisode !
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.