Back to Blog

« L’IAB créé des outils que les acteurs de la publicité utilisent pour se mettre dans les clous de la conformité »

Maxime JAILLET

Le protocole TCF, vous en avez souvent entendu parler. Mais devez-vous forcément l’appliquer si vous voulez déposer vos cookies ? On en a parlé à Me Christophe Landat, associé-fondateur d'Axeptio et notre avocat (GetAvocat) officiel et préféré. Dans cette première partie de l’interview, il défriche pour vous les sigles du jargon de la publicité.

Salut Christophe ! Aujourd'hui, on va entrer dans la jungle des sigles. IAB, RTB, TCF... Tout ça donne un peu le tournis... Tout d'abord, peux-tu nous expliquer ce qu'est le Real Time Bidding (RTB) ?

« RTB », c’est un acronyme anglais, pour enchères en temps réel. En fait, c’est de la publicité en mode programmatique qui fonctionne sur le principe de la mise aux enchères d’impressions. Tout ça est bien sûr automatisé, il n’y a pas un type derrière son écran qui appuie sur un bouton pour acquérir une enchère. Ça se déroule en quelques milli-secondes.

On met en place un système où l’enchère la plus haute va emporter la possibilité d’afficher sa publicité sur le site visité par l’internaute. Ce en fonction de cookies déposés au préalable sur sa machine.

Le RTB, c’est donc au final une concurrence débridée entre publicitaires pour savoir qui pourra afficher sa publicité auprès d’un internaute.

Si j'achète des emplacements publicitaires sur Facebook Ads ou Google Adwords ou bien si je diffuse des publicités de ce type sur mon site, je fais forcément du RTB ou pas ?

Non, pas forcément.

Quand tu fais du programmatique, tu peux privilégier une méthode plutôt qu’une autre et le RTB est une manière de faire du programmatique. C’est l’automatisation, poussée à outrance, de la monétisation de ton inventaire digital, en fonction de critères économiques que tu as défini. Ce système va se déclencher en fonction de la collecte d’informations effectuée au préalable.

Et d’ailleurs, la manière dont les données personnelles sont collectées et sont croisées peut poser des interrogations sur le plan juridique.

Maintenant, parlons de l'IAB. C'est quoi, exactement, l'IAB ? Peux-tu nous en dire un peu plus sur ce qu'ils font ?

L’Iab, c’est une grosse machine. C’est l’abréviation d’Interactive Advertising Bureau. C’est une organisation internationale qui regroupe les acteurs de la publicité sur internet.

Grosso modo, son rôle est de créer des normes contraignantes pour les adhérents (et donc pas pour tous ceux qui n’adhèrent pas…), de faire des recommandations.

Donc l’IAB créé des standards de publicité sur internet et des outils que les acteurs du marketing et de la publicité (qui font pas mal de business avec la data) vont pouvoir utiliser pour se mettre dans les clous de la conformité par rapport aux règles publicitaires.

Ceci avec quand même un prisme qui est celui de la collecte de données avant tout. C’est une orientation très très business où on essaie de faire cohabiter les contraintes légales avec des impératifs économiques. L’IAB essaie de poser le compromis le plus acceptable possible entre ces deux enjeux et ce n’est pas toujours facile.

Il y a ainsi une volonté de privilégier le volet business qui s’accompagne fatalement de lectures du RGPD, qui sont propres à l’IAB, et qui peuvent parfois poser question.

Quand on visite certains sites web, on voit que leurs modules de cookies sont designés de la même manière, cela donne tout un panel de choix au user. Ces éditeurs appliquent le protocole TCF de l'IAB. Qu'est-ce que c'est, au juste, et pourquoi ces éditeurs ont-ils adopté ce standard ?

TCF, cela veut dire « Transparency and Consent Framework ». Il est édicté par l’IAB.

Le TCF, c’est ni plus ni moins que la définition d’un paramétrage et d’une manière de collecter un consentement à travers un logiciel. Si tu es adhérent à l’IAB et que tu souscris à la norme TCF, tu devras collecter le consentement comme l’IAB le demande. Et pas autrement.

Sur certaines CMP, l’éditeur nous demande si on est d’accord ou pas pour déposer divers types de cookies. On nous demande donc notre consentement. Mais si on refuse, l’éditeur peut quand même déposer ses cookies parce qu’il y a un intérêt légitime. Tu nous expliques ?

De mon point de vue, c’est le principal souci qui se pose avec le TCF. On met souvent en avant un des 6 fondements de collecte de données qui est celui de l’intérêt légitime prévu par l’article 6.1.f du RGPD.

Il faut un fondement légal pour pouvoir collecter des données : il en existe 6 en tout. On peut par exemple le faire parce que l’internaute y consent, parce que la loi l’autorise, parce que le traitement de données est nécessaire pour exécuter le contrat qu’il a signé. Et puis, il y a ce fondement très flou des « intérêts légitimes poursuivis par le responsable du traitement ».  

Pour moi, c’est très clairement un fondement dangereux. Pourquoi ? Parce que pour pouvoir l’utiliser, il faut d’abord au préalable mener une analyse très fine et mettre en balance les objectifs de celui qui collecte et les risques qu’il entraîne pour les droits des personnes.

La CNIL rappelle que « L’intérêt légitime ne peut donc être considéré comme une base légale « par défaut » : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse. » (https://www.cnil.fr/fr/les-bases-legales/interet-legitime)

Mais il est où cet « examen attentif » quand tu collectes des données à la volée sans aucune analyse préalable ?!

Il y a un avis qui a été émis par l’ancien G29 (et maintenant CEPD – Comité européen sur la protection des données) sur la notion d’intérêts légitimes. Cet avis fait plus de 70 pages ! Et dans cet avis, on s’interrogeait déjà sur la manière de gérer la notion d’intérêts légitimes par rapport à la légitime protection des droits et libertés fondamentaux des personnes.

Je considère pour ma part que l’usage qui est fait actuellement de ce fondement est excessif. Mais il est surtout déséquilibré et dangereux pour ceux qui l’utilisent. Pourquoi ? Avant le RGPD, on avait déjà de la jurisprudence avec le précédent d’au moins une entreprise sanctionnée pour avoir déposé des cookies sur des sites internet sur la base de ses intérêts légitimes (un intérêt économique en l’espèce). Or, on doit faire une appréciation entre les intérêts de l’entreprise et les droits des personnes, leurs attentes légitimes vis-à-vis des collectes et des traitements de leurs données. Il faut trouver un équilibre et souvent, cet équilibre n’est pas respecté.

Tout ça a l’air bien compliqué ! Dans quels cas peut-on utiliser sans risque ce fondement  ?

Je vais donner un exemple concret. Tu es une entreprise qui fabrique du papier qui serviront pour billets de banque ou des pièces d’identité. Tu sais que la matière que tu traites peut-être volée par des personnes externes ou par des personnes qui travaillent au sein de l’entreprise.

Il s’agit donc à la fois de protéger les salariés contre les intrusions de l’extérieur et de protéger l’entreprise contre les éventuelles malversations de certaines personnes au sein du personnel. Tu vas mettre en place des caméras de surveillance, de la biométrie et tout ça, c’est de la collecte de données à caractère personnel.

Tu vas fonder cette collecte de données sur la protection des intérêts légitimes de l’entreprise.

D’une part, tu protèges les droits et libertés fondamentaux de tes salariés car tu les mets en sécurité avec des dispositifs de badge d’entrée... D’autre part, tu mets en sécurité la production de l’entreprise vis à vis de l’État. Donc là, tu peux considérer que tu es dans un équilibre entre les intérêts légitimes de l’entreprise et les droits et libertés fondamentaux des personnes concernées. Mais tu vois que c’est une situation très particulière.

Je pense que la notion d’intérêt légitime, telle qu’elle est envisagée dans le domaine publicitaire, est appréciée un peu trop abusivement. Je ne suis d’ailleurs pas le seul à le penser car on sait qu’il y a des procédures en cours, on est en train d’enquêter sur ce genre de pratique.

Suite de l’interview au prochain épisode !

Share on social media: 

Ne partez pas si vite ... 

Conformité RGPD – Comment faire pour ne pas avoir de cookies sur mon site ?

Le RGPD vous impose d’afficher un bandeau et de recueillir un consentement ? Les cookies vous sont indispensables, au moins pour des raisons techniques. Mais vous n’êtes pas obligé d’en déposer beaucoup.

Lire la suite

RGPD et application mobile - 8 (mauvaises) excuses pour vous défiler

Voici notre palmarès des mauvaises excuses pour éviter le sujet de la conformité RGPD de votre application mobile. Crainte des réactions de l’audience, priorité insuffisante, coûts du chantier… On vous dit pourquoi il est plus simple qu’il n’y paraît de s’y mettre

Lire la suite

L’infographie ultime pour optimiser vos opt-in cookies

Besoin de reconquérir des opt-in, d’augmenter l’acceptation de vos cookies ? On vous livre nos recettes dans une infographie ultime qui vise à enrichir l’expérience utilisateur sans verser dans le dark pattern.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.