TCF Vs Axeptio : deux stratégies opposées sur la collecte des données personnelles. Pourquoi Axeptio refuse d’utiliser le protocole TFC recommandé par l’IAB.
Un bon maçon vous dira toujours que construire une maison suppose de bâtir en premier de très solides fondations. Au risque sinon, les années passant, de voir la maison se fissurer en cas de mouvements de terrain, voire, carrément de s’écrouler sur votre tête.
Il en va exactement de même pour bâtir de bonnes bases de données personnelles : choisissez le mauvais fondement et vos bases de données seront non seulement vérolées, mais également inexploitables et surtout, sujettes à (grosses) sanctions en cas de plainte ou de contrôle.
Dans le premier cas, vous pouvez décider de vivre avec un casque sur la tête toute la journée. Pas toujours pratique pour prendre sa douche ou dormir. Dans le second cas, vous pouvez décider de miser sur le fait que vous avez toujours eu de la chance et que le contrôle, c’est pour les autres…
Sinon, vous pouvez continuer à lire cet article pour retrouver le sommeil du juste et continuer à vous goinfrer de données personnelles… en toute légalité.
Il existe 6 fondements juridiques permettant de justifier la collecte de données. Voici les 5 premiers avec un petit exemple à chaque fois pour illustrer le cas de figure qui peut se présenter :
- Le consentement de la personne concernée par la collecte : j’accepte via un cookie ou un formulaire de contact que mes données soient collectées dès lors que j’ai toutes les informations requises pour le faire. Un peu comme à l’autel devant Monsieur le Curé, il faut un consentement qui réponde à des critères bien précis, sinon vous risquez fort de faire le bonheur des avocats quelques années plus tard (un mariage sur deux se termine en divorce, tous mes vœux les amoureux…)
- Une nécessité contractuelle ou précontractuelle : la collecte de données est nécessaire à l’identification d’une partie à un achat sur le web. Passer un acte d’achat est un contrat électronique qui suppose l’identification des parties, donc de l’acheteur. Pas comme sur twitter où on se lâche sur tout et sur rien en mode hater : là, on doit révéler son identité.
- Le respect d’une obligation légale : la collecte des données est nécessaire pour établir les factures que la loi impose aux professionnels de rédiger en cas de vente. La loi impose aussi de conserver cette facture pendant 10 ans. A défaut vous risquez de contrarier le Fisc et ça, c’est déconseillé.
- La sauvegarde des intérêts vitaux : vous venez d’être attaqué par un lion échappé d’un zoo (pas de bol je sais…) et vous vous videz de votre sang : l’information de votre rhésus sanguin est collectée avant de vous faire une transfusion sanguine en urgence pour vous sauver la vie.
- L’exécution d’une mission de service public : vous avez conservé les factures pendant 10 ans mais elles étaient fausses, vous avez tué le lion alors que c’est une espèce protégée : vous vous retrouvez donc devant le Tribunal pour y être jugé. La collecte de vos données personnelles va alimenter votre casier judiciaire. Félicitations, vous êtes désormais prêt à devenir politicien.
C’est le sixième fondement qui va maintenant nous intéresser. Le plus bancal, le plus polémique et assurément le plus risqué de tous :
- La préservation des intérêts légitimes de celui qui collecte les données.
Si les 5 premiers fondements se comprennent assez aisément, le 6ème en revanche apparaît plus obscur et nécessite normalement la réalisation d’une analyse poussée pour être mis en œuvre.
Pourtant, nombreux sont ceux qui ont décidé de privilégier ce fondement pour faire de la collecte de masse. Et c’est justement ce qui commence sérieusement à agacer l’Union Européenne qui fourbit ses armes contre cette stratégie un peu grossière.
Le problème soulevé par ce fondement n’est pas nouveau. Il aurait dû normalement être un fondement juridique utilisé à la marge, c’est-à-dire très peu, un peu comme le sirop d’érable sur les pancakes (point trop n’en faut…). Or, on sait qu’il sert de base notamment à la collecte des données effrénée du RTB (Real Time Binding), les enchères publicitaires en temps réel.
Cette collecte massive de données est-elle conforme aux exigences posées par ce fondement ? Essayons de voir pourquoi le curseur de la balance penche, la plupart du temps, vers une réponse négative.
En 1994, alors même que la plupart des lecteurs de cet article n’avait pas atteint le stade du spermatozoïde et qu’on dansait le MIA du côté de Marseille grâce à IAM (« Hé tu dances ou je t’exploses !? »), le G29 (devenu Comité européen de la protection des données – ou CEPD - depuis 2018) a éclairci cette notion. Pour ceux qui savent : le CEPD, c’est le CEPD. Pour les autres, c’est grosso modo le Dark Vador de la donnée personnelle au sein de l’Union Européenne : le superviseur général de la protection de la data perso en Europe.
Là où le protocole TCF (d’ailleurs assimilable au côté obscur de la Force…) est utilisé par de très nombreuses CMP (pour les Siths web) pour réaliser des opérations de collecte et de transfert de millions de données personnelles en l’espace de micro-secondes, le régulateur européen explique que l’usage de ce fondement « requiert la mise en balance de l’intérêt légitime poursuivi par le responsable du traitement, ou par les tiers auxquels les données sont communiquées, et des intérêts ou des droits fondamentaux de la personne concernée. (…) Il faut (…) éviter de s’y référer automatiquement ou d’en élargir indûment l’utilisation au prétexte qu’il semble moins contraignant que les autres motifs (…). Le critère suppose un examen complet de plusieurs facteurs, de façon à garantir que les intérêts et les droits fondamentaux des personnes concernées sont dûment pris en considération. ».
Gloups… ça fait beaucoup d’infos. En résumé, ça veut dire : don’t fuck with legitimate interests !!!. Et pour les plus fâchés avec l’anglais, merci de bien vouloir n’utiliser ce fondement qu’avec la main tremblante.
Ainsi pour pouvoir être utilisé, ce fondement, qui est en réalité le plus contraignant et le plus complexe à mettre en œuvre supposerait toujours, selon le régulateur européen, que les CMP utilisant le protocole TCF pour de telles opérations, avant de procéder à la collecte, permettent d’analyser les éléments suivants :
- l’incidence sur les personnes concernées et leurs attentes raisonnables quant à ce qu’il adviendra de leurs données, ainsi que la nature des données et la façon dont elles sont traitées;
-les garanties supplémentaires qui pourraient limiter toute incidence injustifiée sur la personne concernée, comme la minimisation des données, les technologies renforçant la protection de la vie privée; une plus grande transparence, un droit général et inconditionnel de s’opposer au traitement et la portabilité des données. »
Là encore pour simplifier, si vous utilisez le fondement des intérêts légitimes et que c’est simple de le faire : il y a un loup car si on fait les choses comme le veut la réglementation, c’est tout sauf rapide et simple. L’inverse du real time biding en somme. Vous me suivez ?
Comment en effet respecter ces exigences quand on prétend collecter des données via des cookies ?! Le fondement des intérêts légitimes apparaît inadapté à la collecte de données personnelles par ce moyen. C’est comme la pizza aux ananas, ça n’aurait jamais dû être tenté.
Toujours pas convaincu ? Très bien, allons-voir ce qu’en dit la CNIL :
laquelle doit conduire à analyser les conséquences de la collecte et du traitement sur la vie privée des personnes concernées,
Le fondement des intérêts légitimes impose selon la CNIL la mesure des conséquences induites au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes ».
Cette précision laisse songeur : une analyse « au cas par cas »… Soit les CMP qui fonctionnent sous protocole TCF cachent Flash Gordon au creux de leur code source, soit elles ont unea pproche du respect des droits des personnes concernées très nord-coréenne.
Posez-vous donc la question si vous utilisez une CMP conforme aux exigences du protocole TCF : à chaque fois que vous voyez des cookies indiquer que les données sont collectées sur la base des intérêts légitimes de l’entreprise (« legitimate interests pursued by the controller or by a third party »), l’examen de proportionnalité avec la protection des droits et libertés fondamentaux a-t-il été réalisé ? Avez-vous documenté cette analyse ? Si oui comment et pourrez-vous en justifier en cas de contrôle ? Aimez-vous les chiens ? (NDLR : attention une de ces questions est un piège).
Car vous devrez en justifier, documentation à l’appui, comme le rappelle la CNIL : « (…) la CNIL recommande (…) que cette méthodologie fasse l’objet d’une documentation par le responsable du traitement, qui pourra notamment lui servir en cas de contrôle de la licéité du traitement. En tout état de cause, cet organisme doit être en capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement. ».
Nous arrivons maintenant vers la fin de cet article qui assurément changera votre vie d’entrepreneur. Vous allez quitter le côté obscur de la Force et rejoindre la rébellion pour collecter en toute légalité.
A tous ceux qui s’interrogent parfois sur le fait qu’Axeptio n’est pas « compatible » TCF, voilà donc une réponse claire : nous refusons d’être compatible avec une norme que nous estimons être contraire à l’état du droit européen.
Les informations récentes démontrent que le choix d’Axeptio était le bon : ne pas s’aventurer sur un chemin hasardeux risquant de mettre juridiquement en danger les utilisateurs de sa solution en mettant en avant un fondement que nous avons estimé après une analyse juridique poussée, inadapté à la mise en œuvre de cookies.
Le passé n’est assurément qu’un prologue et les alertes sismiques qui commencent à secouer le monde de la donnée personnelle sont annonciatrices de bouleversements bien plus importants qui devraient conduire chacun à bien réfléchir à la qualité des bases de onnées qu’il constitue et exploite actuellement.
Luc :« le côté obscur est le plus fort ?
Yoda :« Non… Non ! Plus rapide, plus facile, plus séduisant »
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.