Back to Blog

« Si vous n’utilisez pas le TCF, vous n’êtes pas RGPD compliant ? Ça c’est la blague du siècle ! »

Maxime JAILLET

Dans la première partie de cette interview, Me Christophe Landat, associé-fondateur d'Axeptio et notre avocat (GetAvocat) officiel et préféré, a débroussaillé le jargon du secteur : IAB, TCF, RTB, intérêt légitime. On rentre maintenant dans le dur : les éditeurs sont-ils oui non obligés d’utiliser le protocole TCF ?

Est-ce que le protocole TCF s'applique à toute la publicité en ligne ou uniquement aux enchères en temps réel (RTB) ?

Si tu fais de la publicité display, tu fais ce que tu veux. Tu n’es pas obligé d’utiliser le TCF, c’est très clair. Tu peux utiliser d’autres CMP.

Pour le RTB, de par la manière dont ça fonctionne, c’est plus compliqué. Comment faire du RTB sans la notion d’intérêts légitimes comme base de collecte des données ? Mon sentiment, c’est que le recueil du consentement n’est pas réalisé d’une manière totalement satisfaisante.

Par conséquent, je ne vois pas comment ce serait possible de faire du RTB sans passer par le TCF. Et donc cela suppose d’accepter la lecture de la notion d’intérêts légitimes qui est celle de l’IAB.

Pour être bien sûr de comprendre, un éditeur qui veut diffuser de la publicité sur son site doit forcément respecter le protocole TCF pour être RGPD et cookies compliant ? S'il ne le fait pas, la CNIL peut le sanctionner ?

Non, bien sûr que non ! Le TCF est une des modalités qui existe pour se mettre en conformité. Avec, comme je te le disais, une lecture très pro-business du fondement de la collecte des données qui s’éloigne des conseils de prudence de la CNIL par exemple .

Toute entreprise qui veut faire de la pub’ en ligne peut passer par n’importe quelle CMP. On n’est pas obligé utiliser le TCF.

Il faut quand même préciser que certains s’amusent à faire courir une rumeur : « si vous n’utilisez pas le TCF, vous n’êtes pas RGPD-compliant ». Ça c’est la blague du siècle!!! Le TCF est une des modalités proposées et l’IAB est un acteur économique parmi d’autres. Ce n’est pas une norme légale ou réglementaire, c’est une norme contractuelle qui dépend d’une association qui regroupe des publicitaires.

Donc si tu veux utiliser un autre système sur ton site, bien évidemment que la CNIL ne va pas te sanctionner ! Elle va simplement vérifier que tu es dans la conformité au RGPD. Toute entreprise qui veut utiliser autre chose que le protocole TCF pour être compliant peut le faire et peut choisir parmi l’ensemble des solutions disponibles.

Je pense simplement que les diverses solutions présentes sur le marché ont des analyses différentes de la mise en œuvre du RGPD et de la loi du 6.01.1978.

Chez Axeptio, par exemple, on a décidé de jouer le jeu à fond, d’être dans le respect le plus total du consentement. Au risque de ne pas satisfaire les envies de certaines entreprises qui recherchent une conformité cosmétique mais qui sur le fond, ne se préoccupent pas de savoir si les droits des utilisateurs finaux sont respectés.

D'accord, toi tu dis que la reco de l'IAB, ce n'est pas la loi. Mais si je me mets à la place d'un éditeur, j'aurai peur que plus personne ne veuille travailler avec moi si je ne respecte pas le protocole TCF. Est-ce que les annonceurs qui diffusent des publicités sur mon site ou les agences qui vendent mes espaces publicitaires peuvent contractuellement m'obliger à respecter ce protocole ?

Il y a deux choses.

La seule norme qui soit contraignante est le règlement, la loi ou un traité international. Le RGPD est un règlement de l’Union Européenne. La seule contrainte d’un acteur est de respecter ce texte et s’agissant des cookies de respecter la loi du 6.01.1978 actualisée.

Si tu adhères à un engagement contractuel, tu es tenu par le contrat. Mais ce contrat ne peut pas prévoir de dispositions qui te font déroger au respect de la loi, du règlement ou du traité international. Tu ne peux donc pas conclure un contrat qui comporterait des dispositions te conduisant sciemment à violer la loi.

En revanche, il y a la contrainte « comportementale ». Si tu adhères au protocole TCF, tu adhères à la philosophie et à la lecture que fait l’IAB, qui n’est à l’évidence pas la même que celle que fait Axeptio. A chacun sa lecture et les risques qu’il prend vis-à-vis des texes.

La contrainte est donc finalement presque matérielle. Dès lors que tu choisis la solution du TCF, tu devras respecter les contraintes techniques de ce protocole. A charge pour toi de t’assurer de la pleine conformité de tous les éléments aux normes d’exigence du RGPD.

Il est important de rappeler que le TCF n’a pas été pris en défaut et ne fait l’objet à l’heure actuelle d’aucune condamnation. On peut donc parfaitement fonctionner sur cette base-là. Mais pour autant, il y a une lecture juridique des intérêts légitimes qui peut être remise en question.

Chez Axeptio, j’ai dit dès le départ, quand on a conçu le logiciel, que sur les 6 fondements de la collecte données, l’intérêt légitime était une notion « casse-gueule ». Ce fondement ne bénéficie pour l’instant pas de recul suffisant pour l’exploiter aussi largement que c’est pourtant le cas aujourd’hui dans le domaine de la publicité digitale. L’IAB a une lecture très différente et a décidé d’y aller à fond. Moi je déconseille l’utilisation de ce fondement parce que je l’estime risqué.

Au fait, le TCF, est-ce bien légal ? J'ai lu un article disant que la Belgique le remet en cause. A-t-il été approuvé par les autorités ? Est-ce que sa légalité est sujet à discussion en ce moment ?

Tout ça est assez opaque parce que tant qu’on n’est pas sur des décisions de justice, il n’y a pas d’informations publiées. La seule chose qu’on sait est que l’APD, la « CNIL belge », a été saisie d’une question concernant le TCF. Et effectivement il y a des investigations en cours et un rapport a été rendu. Le premier rapport qui a fuité aurait tendance à confirmer mes craintes. Mais pour autant, il n’y a pas eu de décision de sanction.

On en saura sans doute plus dans les mois qui viennent. L’analyse qui sera rendue pourrait être contraire à ce que certains estimaient possible au départ.
Donc pour l’instant, il y a eu un rapport préliminaire et, à ma connaissance, pas de décision de sanction. Donc on peut utiliser le TCF sans avoir la crainte d’être poursuivi et sanctionné. On en saura plus dans quelques temps.

Tu me confirmes que même si Axeptio n'embarque plus le TCF, la solution est conforme ?

Oui, à 200 %. On a cette fierté chez Axeptio d’avoir été installé sur les sites de sociétés qui ont vécu des contrôles de la CNIL et les ont passé avec succès. On sait aussi qu’on a été les premiers à lancer un système avec un pop-up en bas à gauche sur l’écran. Depuis, on a été suivi par d’autres. Personne ne l’avait fait avant nous.

Le mécanisme même du logiciel a été conçu en étroite collaboration entre mon cabinet d’avocat et les développeurs d’Axeptio. On a tenu compte de nos exigences réciproques. Pour moi, ce n’était pas facile de prendre en compte les contraintes marketing et commerciales. Et ce n’était pas facile pour les développeurs de pondre du code en étant conforme avec les exigences juridiques.

Alors oui, très clairement je peux te confirmer qu’Axeptio, c’est conforme et c’est la solution la plus respectueuse de l’esprit de la loi.

Axeptio a un temps embarqué les exigences du protocole TCF puis l'a quitté. Pourquoi ?

Après analyse du framework de l’IAB, on se rend bien compte qu’il y a une analyse juridique que nous ne partageons pas. Et il y a aussi une contrainte technique qui fait qu’Axeptio ne pourrait pas être le tiers de confiance qu’il est aujourd’hui si on intègre le TCF. On ne pourrait pas boxer dans la même catégorie en termes de perception et de rapport à l’utilisateur final.

L’analyse de l’IAB est respectable. Mais on n’a pas la même vision de la protection des données personnelles. Je ne sais pas s’il y en a un des deux qui aura raison et l’autre, tort. Mais les deux philosophies ne sont pas compatibles : on ne pouvait donc pas faire évoluer nos produits ou notre entreprise avec une branche d’ADN qui est différente.

On travaille sur la même scène mais on ne joue clairement pas la même pièce…

Christophe, merci pour ces échanges qui étaient passionnants. Et à bientôt pour un prochain "Better Call Chris" !

Ne partez pas si vite ... 

Axeptio a participé à la Créalia’s Cup

Le 24 juin dernier, Axeptio a pris part à la 8è edition de la Créalia’s Cup. Nous nous sommes défendus vaillamment puisque nous finissons 5e.

Lire la suite

Data Protection Officer – Comment choisir son DPO et bien le positionner ?

Le Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. Comment faire pour bien choisir son DPO, comment lui faciliter la vie grâce à des solutions. On vous dit tout dans cet article.

Lire la suite

HttpOnly, Secure… Comment sécuriser vos cookies et votre site web ?

Mettre votre site web en conformité RGPD, c’est aussi sécuriser vos cookies. Les cookies sont indispensables au fonctionnement du site et de ses fonctionnalités. Mais ils sont vulnérables aux attaques. D’où l’intérêt d’une politique sécurité… et d’utiliser les attributs HttpOnly et Secure.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.