Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.La Cour des Marchés (juridiction d'appel de l'affaire en Belgique) a depuis saisi la Cour de Justice de l'Union Européenne de plusieurs questions préjudicielles.
Ce n'est qu'à la suite de la prise de position de la CJUE que la Cour des Marchés rendra sa décision. De lourdes menaces juridiques pèseront donc encore longtemps sur le protocole TCF de l'IAB au regard de la longueur des procédures.
Vous avez vu ce film avec Léonardo Di Caprio sur Netflix, “Don’t look up!”. C’est l’histoire de scientifiques qui détectent plusieurs mois avant son arrivée une météorite dont ils savent qu’elle va détruire la planète entière.
Ils préviennent tout le monde... mais personne n’écoute.
Bref, c’est l’histoire d’une catastrophe annoncée de longue date que personne ne considère avec sérieux.
Cette histoire, c’est la même que celle de l’IAB avec le RGPD : on met en place un protocole pour récolter les données personnelles en masse (le TCF) qui est illégal mais on pousse malgré tout une grande majorité de l’industrie du marketing à l’utiliser quand même.
Et la plupart des CMP dont le rôle consiste normalement à permettre la collecte de données personnelles de manière conforme au RGPD, au lieu de refuser la mise en place du protocole TCF dans leur solution pour protéger leurs clients, se disent qu’après tout, si tout le monde le fait, c’est quand même le moyen de signer plus de clients et donc de faire de plus gros chiffres.
J’ai pour ma part toujours été étonné qu’on puisse proposer aux professionnels du marketing une CMP sans avoir un vrai service juridique compétent en interne.
Chez Axeptio dès l’origine, la CMP a été conçu en étroite collaboration avec un avocat rodé aux questions de protection des données personnelles. Tellement étroite qu’il a été associé à l’entreprise ! Je le sais de source sûre puisque cet avocat… c’est moi.
Axeptio, depuis son lancement a refusé d’intégrer le protocole TCF car l’analyse juridique que nous en avions faite démontrait que les règles de bases du RGPD n’étaient pas respectées. Autant vous dire que le refus d’intégrer ce protocole nous a fermé nombre de portes sur le plan commercial.
On passera sur les équipes commerciales concurrentes n’hésitant pas à dénigrer Axeptio pour cette incompatibilité et allant jusqu’à prétendre que n’étant pas conforme au TCF, cela n’était pas conforme au RGPD. Il va falloir réviser vos fiches les gars...
Donc voilà, à force de franchir la ligne jaune en klaxonnant à tue-tête et en faisant des bras d’honneur aux CNIL européennes, il fallait s’attendre à un sévère retour de manivelle.
C’est désormais chose faite et tous ceux qui ont opté pour une “CMP TCF compatible” peuvent se mordre les doigts car ils sont désormais confrontés à d’insolubles difficultés.
L’APD (l’Autorité de Protection des Données, la CNIL Belge) a donc sifflé la fin de la récréation et avec elle, toutes les CNIL européennes grâce au mécanisme du guichet unique qui permet d’uniformiser une décision au sein de l’UE et de s’assurer que quelque soit le pays membre, il n’y aura aucun autre pays qui prendra une décision différente.
Vous allez voir dans les prochaines semaines (en réalité ça a déjà commencé...) fleurir les communiqués bullshit servis par tous ceux qui tombent sous le coup de cette décision.
Les conséquences en réalité sont graves, lourdes et potentiellement coûteuses et nous allons les envisager ensemble dans les lignes qui suivent. Par souci de transparence, chaque précision donnera lieu à l’indication de la référence dans la décision dont elle est tirée afin que vous puissiez, par vous-même, aller vérifier ce que dit effectivement la décision.
Faites-vous couler un café, asseyez-vous et lisez ce qui suit. Comme le disait Mulder : la vérité est ailleurs.
La voilà résumée en quelques lignes.
Ma société utilise des cookies fournit par une CMP utilisant le protocole TCF de l’IAB : suis-je concerné par la décision de l’APD ?
Oui.
Le résumé nous est fourni par Hielke Hijmans, président de la Chambre Contentieuse de l'APD qui explique : la présentation liminaire de la décision
Peut-on être plus clair ?
Certains commencent à essayer d’allumer des contre-feux de communication en expliquant que seul le RTB (real-time bidding : publicité programmatique qui repose sur la mise aux enchères de chaque impression de manière indépendante) est concerné par l’interdiction : c’est faux.
C’est tout le protocole TCF qui est déclaré illégal, en l’état de cette décision.
En conséquence le simple fait de collecter des données via ce protocole, fut-ce indirectement, vous place sous le coup d’une sanction potentielle. Pourquoi ? Parce que le RGPD comporte en son sein des mécanismes de responsabilités conjointes permettant de garantir que tous les acteurs s’impliqueront ainsi dans la garantie de la compliance : chaque acteur de la chaine de conformité est tenu de veiller au respect du RGPD par son partenaire, son sous-traitant, son responsable de traitement.
A défaut de le faire, chaque acteur pris individuellement peut-être tenu conjointement responsable des irrégularités constatées.
C’est ce que rappelle l’APD au point 371 de sa décision (page 86) : « (…) les organisations participantes respectives doivent être considérées comme des responsables de traitement conjoints en ce qui concerne la collecte et la diffusion ultérieure du consentement, des objections et des préférences des utilisateurs, ainsi que pour le traitement connexe de leurs données à caractère personnel, sans que la responsabilité des CMP et des fournisseurs adtech participants ne réduise pour autant celle d'IAB Europe. ». En résumé : la responsabilité des autres acteurs de la chaîne de compliance ne diminue pas celle de l’IAB.
C’est une véritable chaîne des responsabilités qu’établit l’APD. Rien d’étonnant à cela, c’est prévu par le RGPD.
L’APD y consacre tout un chapitre dans sa décision intitulé : “B.3. - Responsabilité conjointe des publishers, des CMP et des fournisseurs adtech en ce qui concerne les moyens et les finalités du traitement des données à caractère personnel dans le contexte du TCF et de l'OpenRTB”. (page 84)
Le TCF est-il aujourd’hui légal?
Non! Voilà comment l’APD titre son communiqué officiel : “Des violations sérieuses et multiples relevées par l’autorité de contrôle et au final une incompatibilité du TCF avec le RGPD.”
Pourquoi une décision aussi dévastatrice ?
Tout simplement parce que l’autorité de contrôle fait le constat que l’IAB a imposé un protocole violant dans sa conception même les dispositions les plus essentielles du RGPD :
- “Le TCF actuel ne fournit pas de base juridique pour le traitement des préférences des utilisateurs” (point 535, page 121) : il ne s’agit pas d’une erreur de fondement, mais d’une absence de fondement autorisant la collecte des données! On ne peut pas imaginer situation plus grave, osons le dire : plus hallucinante…
- Violation des articles 12 et 13 du RGPD : “Les utilisateurs d'un site web ou d'une application participant au TCF ne reçoivent pas d'informations suffisantes sur les catégories de données à caractère personnel collectées à leur sujet, et ne sont pas en mesure de déterminer à l'avance la portée et les conséquences du traitement. (Point 535 : page 121 de la décision.
- Violation des articles 24, 25, 5.1.f et 32 RGPD sans qu'aucune mesure technique ou organisationnelle ne permette de garantir que ce signal de consentement est valide (Point 535 page 122).
Tout découle en réalité de la qualification du TC String exploité par l’IAB.
L’APD pose ainsi sa définition : “La TC String est destinée à capturer de manière structurée et automatisée les préférences d'un utilisateur lorsqu'il visite un site web ou une application d'un éditeur qui a intégré la CMP. Cela concerne notamment la collecte du consentement (ou non) au traitement des données à caractère personnel à des fins de marketing et autres, le partage ou non des données à caractère personnel avec des tiers (fournisseurs adtech) et l'exercice ou non du droit d'opposition.”.
L'APD constate que la TC String constitue la pierre angulaire du TCF (“la Chambre Contentieuse note que la TC String, en tant qu'expression des préférences des utilisateurs concernant les finalités du traitement et les fournisseurs adtech potentiels mis en avant par l'interface de la CMP, constitue la pierre angulaire du TCF.” Point 544, page 126)
L'APD dans sa décision fait droit à l’argumentation des plaignant relevant qu’un “(…) numéro d'identification unique, tel que la TC String générée et stockée dans un cookie, est une donnée à caractère personnel au sens de l'article 4, paragraphe 1, du GDPR (…)” (n°93, page 27).
L’autorité de contrôle belge relève de manière très objective que si “(…)il n'est pas établi de manière concluante que la TC String, en raison des métadonnées et des valeurs limitées qu'elle contient, permette en elle-même une identification directe de l'utilisateur(…)” il n’en reste pas moins celle-ci traite inévitablement aussi l'adresse IP de l'utilisateur, qui est explicitement classée comme une donnée à caractère personnel au sens du RGPDles CMP disposent des moyens techniques de collecter les adresses IPet de combiner toutes les informations relatives à une personne identifiableLa possibilité de combiner la TC String et l'adresse IP implique qu'il s'agit d'informations concernant un utilisateur identifiableles CMP disposent des moyens techniques de collecter les adresses IPet de combiner toutes les informations relatives à une personne identifiableLa possibilité de combiner la TC String et l'adresse IP implique qu'il s'agit d'informations concernant un utilisateur identifiableet de combiner toutes les informations relatives à une personne identifiableLa possibilité de combiner la TC String et l'adresse IP implique qu'il s'agit d'informations concernant un utilisateur identifiableLa possibilité de combiner la TC String et l'adresse IP implique qu'il s'agit d'informations concernant un utilisateur identifiable.(…) (Point n°304 page 68 & 69).
L’obligation d’effacer toutes les données collectées jusqu’à présent via les CMP utilisant le TCF.
Des milliards de données personnelles ont été collectées sous l’empire du protocole TCF. La question se pose donc fatalement de savoir ce que doivent devenir ces données dès lors qu’elles ont été collectées de manière totalement illégale?
Les conséquences sont funestes notamment pour les utilisateurs des CMP fonctionnant sous protocole TCF car on touche là à un des points les plus lourds de conséquences
Voilà très précisément ce qu’édicte au point C1 n°535 l’autorité de contrôle dans sa sanction : "(…) il incombe aux CMP et aux publishers qui mettent en œuvre le TCF de prendre les mesures appropriées, conformément aux articles 24 et 25 du RGPD, en veillant à ce que les données à caractère personnel qui ont été collectées en violation des articles 5 et 6 du RGPD ne soient plus traitées et supprimées en conséquence.”
Il faut mesurer ce que cela signifie : toutes les données collectées depuis le 25.05.2018 notamment via une CMP soumise au protocole TCF de l’IAB l’ont été de manière illégale et doivent donc en conséquence être détruites...
Que risque une entreprise qui ne procéderait pas à une telle destruction? Les sanctions prévues à l’article 83 du RGPD que l’on peut résumer ainsi avec les mots de la CNIL : “ le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.”
Une décision applicable dans tous les pays de l’Union Européenne et même au-delà...
La décision n°21/2022 du 2 février 2022 a été prise dans le cadre de la procédure du guichet unique. De quoi s’agit-il?
La CNIL explique sur son site web que le mécanisme du guichet unique prévu par le RGPD “a vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions.”
C’est pour cette raison que l’APD belge rappelle cette collaboration dans sa décision à la page 6 : “Les autorités de contrôle suivantes ont indiqué leur volonté d'agir en tant qu'autorités de contrôle concernées (…) : Pays-Bas, Lettonie, Italie, Suède, Slovénie, Norvège, Hongrie, Pologne, Portugal, Danemark, France, Finlande, Grèce, Espagne, Luxembourg, République tchèque, Autriche, Croatie, Chypre et Allemagne (…) Irlande (…).
L’APD précise par ailleurs : “Au cours de la procédure, d'autres plaintes, dont l'objet est très similaire à celui de la présente affaire, ont été envoyées à l'APD belge par les APD maltaise, roumaine, croate, grecque, portugaise, suédoise, chypriote et italienne. Ces plaintes ne font pas partie de la présente procédure.” ce qui laisse entendre qu’il n’est pas exclu que d’autres décisions du même type suivent dans les prochains mois.
C’est ainsi que l’on apprend que “le 23 novembre 2021, l’APD a soumis son projet de décision à ces autres “CNIL européennes” (point 275, page 62 de la décision) et que l’autorité néerlandaise (point 277, page 63) et l’autorité portugaise (point 279, page 63) ont émis des demandes de complément dans la décision.
Voilà donc ce qu’apporte la procédure du guichet unique : une redoutable et efficace collaboration des pays appliquant le RGPD. On rappellera au passage pour l’anecdote que cela dépasse l’Union Européenne puisque le RGPD est également appliqué au sein des pays membres de l’EEE (Espace Économique Européen) soit l'Islande, le Liechtenstein et la Norvège.
Conséquence?
La décision de l’APD ne sera pas remise en question au niveau des autres autorités de contrôle et sa décision a donc vocation à s’appliquer dans des situations similaires dans toute la “zone RGPD”.
Soyons honnêtes, il n’est pas question de jouer les faux-modestes chez Axeptio. Le refus depuis l’origine de participer au TCF ne fut pas une décision facile à prendre car le respect des principes du RGPD entraînait de facto la fermeture d’un large pan d’une clientèle potentielle : nous l’avons toujours assumé.
Nous sommes donc particulièrement fiers aujourd’hui de pouvoir dire que nous avons fait le bon choix et que tous ceux qui veulent pouvoir s’adonner au business de la data peuvent le faire avec nos solutions en conformité avec les textes et dans l’esprit du marketing choisi et non du marketing subi.
Ne partez pas si vite
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.
Après la France, l'Italie va publier ses nouvelles règles pour les cookies !
Maxime JAILLETEn Italie, la consultation publique lancée par le régulateur étant achevée, on attend que le Garante publie ses nouvelles lignes directrices sur les cookies. Si vous vous intéressez à ce marché, c’est le moment de vous préparer à l’application des nouvelles règles. Configuration de la bannière, cookies de mesure d’audience, consentement granulaires, cookies walls…