RTB et publicité programmatique - Le framework de l’IAB viole-t-il le RGPD ?
Maxime JAILLETLe dernier rapport de l’Autorité de Protection des Données belge conclut que le framework TCF de l’IAB ne respecte pas le RGPD. Les constats effectués sont accablants. Mais ce n’est qu’un rapport, pas une décision. La procédure de l’APD poursuit donc son cours. Pour les éditeurs de sites web, c’est par contre peut-être le moment de passer au marketing choisi. C’est notre actualité marché du jour.
Le rapport accablant de l’Autorité belge de Protection des données
Ces dernières années, plusieurs autorités de protection des données ont été saisies de plaintes visant la technologie RTB – Real Time Bidding ou enchères en temps réel.
- Les autorités anglaises et irlandaises ont été les premières saisies ;
- d’autres plaintes ont suivi : en Belgique, au Luxembourg, aux Pays-bas...
Or le site Techcrunch a récemment révélé une petite bombe : les conclusions rendues par le service des investigations de l’Autorité Belge de protection des données (APD). Ces investigations ont porté sur le RTB mais aussi sur le framework proposé par l’IAB pour sécuriser la collecte de données via des traceurs publicitaires.
D’après ce rapport, le framework ne respecterait tout simplement pas le RGPD. Les conclusions sont particulièrement défavorables :
- L’IAB a pour vocation de proposer un framework et des bonnes pratiques à implémenter sur son site web. Mais selon l’APD, l’IAB Europe joue un rôle dans le traitement des données… jusqu’à en assurer la responsabilité du traitement.
- Une\tgouvernance inexistante : 1/\tAucun Data Protection Officer n’a été nommé ; 2/l’IAB Europe ne tient pas de registre pour le traitement des données qu’elle opère ; 3/\tPas de politique de confidentialité sur son site web pour informer les internautes.
- le framework TCF ne respecte pas les grands principes structurant le traitement des données personnelles : transparence, loyauté, accountability, licéité du traitement ;
- Le TCF permet de traiter des données sensibles (opinions politiques, appartenance religieuses, orientation sexuelle…) sans un encadrement suffisant. L’Irish Council for Civil Liberties, qui soutient ces plaintes coordonnées, a par exemple examiné comment des données de personnes profilées LGBT+ ont été utilisées pour influencer une élection nationale.
Le TCF de l’IAB touché mais pas (encore) coulé
Pas de conclusion hâtive : l’APD n’a pas rendu de conclusion définitive.
Comme l’IAB s’est empressée de le remarquer, il ne s’agit que d’un rapport du service investigations de l’APD. Ce rapport va être remis à un service contentieux pour qu’une procédure soit mise en route. Pas avant 2021…
Certes, les investigations conduites par l’autorité britannique de protection des données (ICO) ont conduit à publier en 2019 un rapport public poussant le secteur de l’ADtech à se réformer. Mais depuis, rien. Toute nouvelle action semble avoir été suspendue pendant la pandémie.
Par ailleurs, l’IAB a annoncé avoir récemment publié une v2 de son framework. Les discussions se poursuivent donc avec les autorités européennes et nationales concernant la manière de rendre le TCF conforme.
Quelles conséquences pour vos sites web ?
Ce contexte défavorable aux enchères en temps réel (RTB) est une occasion majeure pour vous. Démarquez-vous, montrez votre préoccupation pour les données personnelles de vos prospects et clients.
Le sujet des cookies reste encore mal compris de nombreux utilisateurs. Mais la publicité en ligne, particulièrement le tracking et le retargetting, attirent une inquiétude croissante.
Alors, comment faire ?
- Basculez vers une approche marketing revigorante. Le marketing bio et le marketing choisi vous tendent les mains.
- Jouez la carte de la transparence. Rendez agréable ce moment où l’on veut savoir quels cookies sont déposés sur votre site et faire le choix de les accepter ou de les refuser.
- N’affichez pas un bandeau cookies moche, soignez le design et l’expérience utilisateur. Proposez un module esthétique et une expérience conviviale. Désormais, vous allez rendre service en donnant le contrôle sur les cookies.
- Rendez votre politique de confidentialité et votre rubrique sur les cookies lisibles.
Axeptio propose un module de gestion des cookies répondant exactement à ces objectifs. Nous pouvons vous accompagner pour l’installation de l’outil et même proposer des illustrations maison.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.