Back to Blog

Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !

Christophe Landat

Vous avez vu ce film avec Léonardo Di Caprio sur Netflix, “Don’t look up!”. C’est l’histoire de scientifiques qui détectent plusieurs mois avant son arrivée une météorite dont ils savent qu’elle va détruire la planète entière.

Ils préviennent tout le monde... mais personne n’écoute.

Bref, c’est l’histoire d’une catastrophe annoncée de longue date que personne ne considère avec sérieux.

Cette histoire, c’est la même que celle de l’IAB avec le RGPD : on met en place un protocole pour récolter les données personnelles en masse (le TCF) qui est illégal mais on pousse malgré tout une grande majorité de l’industrie du marketing à l’utiliser quand même.

Et la plupart des CMP dont le rôle consiste normalement à permettre la collecte de données personnelles de manière conforme au RGPD, au lieu de refuser la mise en place du protocole TCF dans leur solution pour protéger leurs clients, se disent qu’après tout, si tout le monde le fait, c’est quand même le moyen de signer plus de clients et donc de faire de plus gros chiffres.

J’ai pour ma part toujours été étonné qu’on puisse proposer aux professionnels du marketing une CMP sans avoir un vrai service juridique compétent en interne.

Chez Axeptio dès l’origine, la CMP a été conçu en étroite collaboration avec un avocat rodé aux questions de protection des données personnelles. Tellement étroite qu’il a été associé à l’entreprise ! Je le sais de source sûre puisque cet avocat… c’est moi.

Axeptio, depuis son lancement a refusé d’intégrer le protocole TCF car l’analyse juridique que nous en avions faite démontrait que les règles de bases du RGPD n’étaient pas respectées. Autant vous dire que le refus d’intégrer ce protocole nous a fermé nombre de portes sur le plan commercial.

On passera sur les équipes commerciales concurrentes n’hésitant pas à dénigrer Axeptio pour cette incompatibilité et allant jusqu’à prétendre que n’étant pas conforme au TCF, cela n’était pas conforme au RGPD. Il va falloir réviser vos fiches les gars...

Donc voilà, à force de franchir la ligne jaune en klaxonnant à tue-tête et en faisant des bras d’honneur aux CNIL européennes, il fallait s’attendre à un sévère retour de manivelle.

C’est désormais chose faite et tous ceux qui ont opté pour une “CMP TCF compatible” peuvent se mordre les doigts car ils sont désormais confrontés à d’insolubles difficultés.

L’APD (l’Autorité de Protection des Données, la CNIL Belge) a donc sifflé la fin de la récréation et avec elle, toutes les CNIL européennes grâce au mécanisme du guichet unique qui permet d’uniformiser une décision au sein de l’UE et de s’assurer que quelque soit le pays membre, il n’y aura aucun autre pays qui prendra une décision différente.

Vous allez voir dans les prochaines semaines (en réalité ça a déjà commencé...) fleurir les communiqués bullshit servis par tous ceux qui tombent sous le coup de cette décision.

Les conséquences en réalité sont graves, lourdes et potentiellement coûteuses et nous allons les envisager ensemble dans les lignes qui suivent. Par souci de transparence, chaque précision donnera lieu à l’indication de la référence dans la décision dont elle est tirée afin que vous puissiez, par vous-même, aller vérifier ce que dit effectivement la décision.

Faites-vous couler un café, asseyez-vous et lisez ce qui suit. Comme le disait Mulder : la vérité est ailleurs.

La voilà résumée en quelques lignes.

Ma société utilise des cookies fournit par une CMP utilisant le protocole TCF de l’IAB : suis-je concerné par la décision de l’APD ?

Oui.

Le résumé  nous est fourni par Hielke Hijmans, président de la Chambre Contentieuse de l'APD qui explique : « Dans la version actuelle du TCF, le traitement de données à caractère personnel (par exemple l'enregistrement de préférences d'utilisateur) est incompatible avec le RGPD » (à consulter dans la présentation liminaire de la décision : “L'APD remet de l'ordre dans l'industrie de la publicité en ligne : IAB Europe est tenue responsable d'un mécanisme qui viole le RGPD”)

Peut-on être plus clair ?

Certains commencent à essayer d’allumer des contre-feux de communication en expliquant que seul le RTB (real-time bidding : publicité programmatique qui repose sur la mise aux enchères de chaque impression de manière indépendante) est concerné par l’interdiction : c’est faux.

C’est tout le protocole TCF qui est déclaré illégal, en l’état de cette décision.

En conséquence le simple fait de collecter des données via ce protocole, fut-ce indirectement, vous place sous le coup d’une sanction potentielle. Pourquoi ? Parce que le RGPD comporte en son sein des mécanismes de responsabilités conjointes permettant de garantir que tous les acteurs s’impliqueront ainsi dans la garantie de la compliance : chaque acteur de la chaine de conformité est tenu de veiller au respect du RGPD par son partenaire, son sous-traitant, son responsable de traitement.

A défaut de le faire, chaque acteur pris individuellement peut-être tenu conjointement responsable des irrégularités constatées.

C’est ce que rappelle l’APD au point 371 de sa décision (page 86) : « (…) les organisations participantes respectives doivent être considérées comme des responsables de traitement conjoints en ce qui concerne la collecte et la diffusion ultérieure du consentement, des objections et des préférences des utilisateurs, ainsi que pour le traitement connexe de leurs données à caractère personnel, sans que la responsabilité des CMP et des fournisseurs adtech participants ne réduise pour autant celle d'IAB Europe. ». En résumé : la responsabilité des autres acteurs de la chaîne de compliance ne diminue pas celle de l’IAB.

C’est une véritable chaîne des responsabilités qu’établit l’APD. Rien d’étonnant à cela, c’est prévu par le RGPD.

L’APD y consacre tout un chapitre dans sa décision intitulé : “B.3. - Responsabilité conjointe des publishers, des CMP et des fournisseurs adtech en ce qui concerne les moyens et les finalités du traitement des données à caractère personnel dans le contexte du TCF et de l'OpenRTB”. (page 84)

Le TCF est-il aujourd’hui légal?

Non! Voilà comment l’APD titre son communiqué officiel :  “Des violations sérieuses et multiples relevées par l’autorité de contrôle et au final une incompatibilité du TCF avec le RGPD.”

Pourquoi une décision aussi dévastatrice ?

Tout simplement parce que l’autorité de contrôle fait le constat que l’IAB a imposé un protocole violant dans sa conception même les dispositions les plus essentielles du RGPD :

  • “Le TCF actuel ne fournit pas de base juridique pour le traitement des préférences des utilisateurs” (point 535, page 121) : il ne s’agit pas d’une erreur de fondement, mais d’une absence de fondement autorisant la collecte des données! On ne peut pas imaginer situation plus grave, osons le dire : plus hallucinante…
  • Violation des articles 12 et 13 du RGPD : “Les utilisateurs d'un site web ou d'une application participant au TCF ne reçoivent pas d'informations suffisantes sur les catégories de données à caractère personnel collectées à leur sujet, et ne sont pas en mesure de déterminer à l'avance la portée et les conséquences du traitement. (Point 535 : page 121 de la décision.
  • Violation des articles 24, 25, 5.1.f et 32 RGPD : “Dans le cadre du système TCF actuel, les fournisseurs adtech reçoivent un signal de consentement sans qu'aucune mesure technique ou organisationnelle ne permette de garantir que ce signal de consentement est valide ou qu'un fournisseur adtech l'a effectivement reçu (…)” (Point 535 page 122).

Tout découle en réalité de la qualification du TC String exploité par l’IAB.

L’APD pose ainsi sa définition : “La TC String est destinée à capturer de manière structurée et automatisée les préférences d'un utilisateur lorsqu'il visite un site web ou une application d'un éditeur qui a intégré la CMP. Cela concerne notamment la collecte du consentement (ou non) au traitement des données à caractère personnel à des fins de marketing et autres, le partage ou non des données à caractère personnel avec des tiers (fournisseurs adtech) et l'exercice ou non du droit d'opposition.”.

L'APD constate que la TC String constitue la pierre angulaire du TCF (“la Chambre Contentieuse note que la TC String, en tant qu'expression des préférences des utilisateurs concernant les finalités du traitement et les fournisseurs adtech potentiels mis en avant par l'interface de la CMP, constitue la pierre angulaire du TCF.” Point 544, page 126)

L'APD dans sa décision fait droit à l’argumentation des plaignant relevant qu’un “(…) numéro d'identification unique, tel que la TC String générée et stockée dans un cookie, est une donnée à caractère personnel au sens de l'article 4, paragraphe 1, du GDPR (…)” (n°93, page 27).

L’autorité de contrôle belge relève de manière très objective que si “(…)il n'est pas établi de manière concluante que la TC String, en raison des métadonnées et des valeurs limitées qu'elle contient, permette en elle-même une identification directe de l'utilisateur(…)” il n’en reste pas moins “(…)que lorsque le pop-up de consentement est accédé, via un script, à partir d'un serveur géré par la CMP, celle-ci traite inévitablement aussi l'adresse IP de l'utilisateur, qui est explicitement classée comme une donnée à caractère personnel au sens du RGPD (…) Dès qu'un CMP stocke ou lit la TC String sur l'appareil d'un utilisateur par le biais d'un cookie euconsent-v2, le consentement ou l'objection au traitement pour des raisons d'intérêt légitime, ainsi que les préférences de cet utilisateur, peuvent être liés à l'adresse IP de l'appareil de l'utilisateur. En d'autres termes, les CMP disposent des moyens techniques de collecter les adresses IP (…) et de combiner toutes les informations relatives à une personne identifiable. La possibilité de combiner la TC String et l'adresse IP implique qu'il s'agit d'informations concernant un utilisateur identifiable.(…) (Point n°304 page 68 & 69).

L’obligation d’effacer toutes les données collectées jusqu’à présent via les CMP utilisant le TCF.

Des milliards de données personnelles ont été collectées sous l’empire du protocole TCF. La question se pose donc fatalement de savoir ce que doivent devenir ces données dès lors qu’elles ont été collectées de manière totalement illégale?

Comic Strip le sujet critique

Les conséquences sont funestes notamment pour les utilisateurs des CMP fonctionnant sous protocole TCF car on touche là à un des points les plus lourds de conséquences

Voilà très précisément ce qu’édicte au point C1 n°535 l’autorité de contrôle dans sa sanction : "(…) il incombe aux CMP et aux publishers qui mettent en œuvre le TCF de prendre les mesures appropriées, conformément aux articles 24 et 25 du RGPD, en veillant à ce que les données à caractère personnel qui ont été collectées en violation des articles 5 et 6 du RGPD ne soient plus traitées et supprimées en conséquence.”

Il faut mesurer ce que cela signifie : toutes les données collectées depuis le 25.05.2018 notamment via une CMP soumise au protocole TCF de l’IAB l’ont été de manière illégale et doivent donc en conséquence être détruites...

Que risque une entreprise qui ne procéderait pas à une telle destruction? Les sanctions prévues à l’article 83 du RGPD que l’on peut résumer ainsi avec les mots de la CNIL : “ le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.”

Une décision applicable dans tous les pays de l’Union Européenne et même au-delà...

La décision n°21/2022 du 2 février 2022 a été prise dans le cadre de la procédure du guichet unique. De quoi s’agit-il?

La CNIL explique sur son site web que le mécanisme du guichet unique prévu par le RGPD “a vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions.”

C’est pour cette raison que l’APD belge rappelle cette collaboration dans sa décision à la page 6 : “Les autorités de contrôle suivantes ont indiqué leur volonté d'agir en tant qu'autorités de contrôle concernées (…) : Pays-Bas, Lettonie, Italie, Suède, Slovénie, Norvège, Hongrie, Pologne, Portugal, Danemark, France, Finlande, Grèce, Espagne, Luxembourg, République tchèque, Autriche, Croatie, Chypre et Allemagne (…) Irlande (…).

L’APD précise par ailleurs : “Au cours de la procédure, d'autres plaintes, dont l'objet est très similaire à celui de la présente affaire, ont été envoyées à l'APD belge par les APD maltaise, roumaine, croate, grecque, portugaise, suédoise, chypriote et italienne. Ces plaintes ne font pas partie de la présente procédure.” ce qui laisse entendre qu’il n’est pas exclu que d’autres décisions du même type suivent dans les prochains mois.

C’est ainsi que l’on apprend que  “le 23 novembre 2021, l’APD a soumis son projet de décision à ces autres “CNIL européennes” (point 275, page 62 de la décision) et que l’autorité néerlandaise (point 277, page 63) et l’autorité portugaise (point 279, page 63) ont émis des demandes de complément dans la décision.

Voilà donc ce qu’apporte la procédure du guichet unique : une redoutable et efficace collaboration des pays appliquant le RGPD. On rappellera au passage pour l’anecdote que cela dépasse l’Union Européenne puisque le RGPD est également appliqué au sein des pays membres de l’EEE (Espace Économique Européen) soit l'Islande, le Liechtenstein et la Norvège.

Conséquence?

La décision de l’APD ne sera pas remise en question au niveau des autres autorités de contrôle et sa décision a donc vocation à s’appliquer dans des situations similaires dans toute la “zone RGPD”.

Soyons honnêtes, il n’est pas question de jouer les faux-modestes chez Axeptio. Le refus depuis l’origine de participer au TCF ne fut pas une décision facile à prendre car le respect des principes du RGPD entraînait de facto la fermeture d’un large pan d’une clientèle potentielle : nous l’avons toujours assumé.

Nous sommes donc particulièrement fiers aujourd’hui de pouvoir dire que nous avons fait le bon choix et que tous ceux qui veulent pouvoir s’adonner au business de la data peuvent le faire avec nos solutions en conformité avec les textes et dans l’esprit du marketing choisi et non du marketing subi.

Ne partez pas si vite ... 

Axeptio a participé à la Créalia’s Cup

Le 24 juin dernier, Axeptio a pris part à la 8è edition de la Créalia’s Cup. Nous nous sommes défendus vaillamment puisque nous finissons 5e.

Lire la suite

Data Protection Officer – Comment choisir son DPO et bien le positionner ?

Le Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. Comment faire pour bien choisir son DPO, comment lui faciliter la vie grâce à des solutions. On vous dit tout dans cet article.

Lire la suite

HttpOnly, Secure… Comment sécuriser vos cookies et votre site web ?

Mettre votre site web en conformité RGPD, c’est aussi sécuriser vos cookies. Les cookies sont indispensables au fonctionnement du site et de ses fonctionnalités. Mais ils sont vulnérables aux attaques. D’où l’intérêt d’une politique sécurité… et d’utiliser les attributs HttpOnly et Secure.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.