Back to Blog

TCF Vs Axeptio : deux stratégies opposées sur la collecte des données personnelles. Pourquoi Axeptio refuse d’utiliser le protocole TFC recommandé par l’IAB.

Christophe Landat

Un bon maçon vous dira toujours que construire une maison suppose de bâtir en premier de très solides fondations. Au risque sinon, les années passant, de voir la maison se fissurer en cas de mouvements de terrain, voire, carrément de s’écrouler sur votre tête.

Il en va exactement de même pour bâtir de bonnes bases de données personnelles : choisissez le mauvais fondement et vos bases de données seront non seulement vérolées, mais également inexploitables et surtout, sujettes à (grosses) sanctions en cas de plainte ou de contrôle.

Dans le premier cas, vous pouvez décider de vivre avec un casque sur la tête toute la journée. Pas toujours pratique pour prendre sa douche ou dormir. Dans le second cas, vous pouvez décider de miser sur le fait que vous avez toujours eu de la chance et que le contrôle, c’est pour les autres…

Sinon, vous pouvez continuer à lire cet article pour retrouver le sommeil du juste et continuer à vous goinfrer de données personnelles… en toute légalité.

Comic Strip - L'élevage de cookies

Il existe 6 fondements juridiques permettant de justifier la collecte de données. Voici les 5 premiers avec un petit exemple à chaque fois pour illustrer le cas de figure qui peut se présenter :

  1. Le consentement de la personne concernée par la collecte : j’accepte via un cookie ou un formulaire de contact que mes données soient collectées dès lors que j’ai toutes les informations requises pour le faire. Un peu comme à l’autel devant Monsieur le Curé, il faut un consentement qui réponde à des critères bien précis, sinon vous risquez fort de faire le bonheur des avocats quelques années plus tard (un mariage sur deux se termine en divorce, tous mes vœux les amoureux…)
  1. Une nécessité contractuelle ou précontractuelle : la collecte de données est nécessaire à l’identification d’une partie à un achat sur le web. Passer un acte d’achat est un contrat électronique qui suppose l’identification des parties, donc de l’acheteur. Pas comme sur twitter où on se lâche sur tout et sur rien en mode hater : là, on doit révéler son identité.
  1. Le respect d’une obligation légale : la collecte des données est nécessaire pour établir les factures que la loi impose aux professionnels de rédiger en cas de vente. La loi impose aussi de conserver cette facture pendant 10 ans. A défaut vous risquez de contrarier le Fisc et ça, c’est déconseillé.
  1. La sauvegarde des intérêts vitaux : vous venez d’être attaqué par un lion échappé d’un zoo (pas de bol je sais…) et vous vous videz de votre sang : l’information de votre rhésus sanguin est collectée avant de vous faire une transfusion sanguine en urgence pour vous sauver la vie.
  1. L’exécution d’une mission de service public : vous avez conservé les factures pendant 10 ans mais elles étaient fausses, vous avez tué le lion alors que c’est une espèce protégée : vous vous retrouvez donc devant le Tribunal pour y être jugé. La collecte de vos données personnelles va alimenter votre casier judiciaire. Félicitations, vous êtes désormais prêt à devenir politicien.

C’est le sixième fondement qui va maintenant nous intéresser. Le plus bancal, le plus polémique et assurément le plus risqué de tous :

  1. La préservation des intérêts légitimes de celui qui collecte les données.

Si les 5 premiers fondements se comprennent assez aisément, le 6ème en revanche apparaît plus obscur et nécessite normalement la réalisation d’une analyse poussée pour être mis en œuvre.

Comic strip - Cookieville

Pourtant, nombreux sont ceux qui ont décidé de privilégier ce fondement pour faire de la collecte de masse. Et c’est justement ce qui commence sérieusement à agacer l’Union Européenne qui fourbit ses armes contre cette stratégie un peu grossière.

Le problème soulevé par ce fondement n’est pas nouveau. Il aurait dû normalement être un fondement juridique utilisé à la marge, c’est-à-dire très peu, un peu comme le sirop d’érable sur les pancakes (point trop n’en faut…). Or, on sait qu’il sert de base notamment à la collecte des données effrénée du RTB (Real Time Binding), les enchères publicitaires en temps réel.  

Cette collecte massive de données est-elle conforme aux exigences posées par ce fondement ? Essayons de voir pourquoi le curseur de la balance penche, la plupart du temps, vers une réponse négative.

En 1994, alors même que la plupart des lecteurs de cet article n’avait pas atteint le stade du spermatozoïde et qu’on dansait le MIA du côté de Marseille grâce à IAM (« Hé tu dances ou je t’exploses !? »), le G29 (devenu Comité européen de la protection des données – ou CEPD -  depuis 2018) a éclairci cette notion. Pour ceux qui savent : le CEPD, c’est le CEPD. Pour les autres, c’est grosso modo le Dark Vador de la donnée personnelle au sein de l’Union Européenne : le superviseur général de la protection de la data perso en Europe.

Là où le protocole TCF (d’ailleurs assimilable au côté obscur de la Force…) est utilisé par de très nombreuses CMP (pour les Siths web) pour réaliser des opérations de collecte et de transfert de millions de données personnelles en l’espace de micro-secondes, le régulateur européen explique que l’usage de ce fondement « requiert la mise en balance de l’intérêt légitime poursuivi par le responsable du traitement, ou par les tiers auxquels les données sont communiquées, et des intérêts ou des droits fondamentaux de la personne concernée. (…) Il faut (…) éviter de s’y référer automatiquement ou d’en élargir indûment l’utilisation au prétexte qu’il semble moins contraignant que les autres motifs (…). Le critère suppose un examen complet de plusieurs facteurs, de façon à garantir que les intérêts et les droits fondamentaux des personnes concernées sont dûment pris en considération. ».

Gloups… ça fait beaucoup d’infos. En résumé, ça veut dire : don’t fuck with legitimate interests !!!. Et pour les plus fâchés avec l’anglais, merci de bien vouloir n’utiliser ce fondement qu’avec la main tremblante.

Comic strip - La barrière de cookies

Ainsi pour pouvoir être utilisé, ce fondement, qui est en réalité le plus contraignant et le plus complexe à mettre en œuvre supposerait toujours, selon le régulateur européen, que les CMP utilisant le protocole TCF pour de telles opérations, avant de procéder à la collecte, permettent d’analyser les éléments suivants :

« - la nature et la source de l’intérêt légitime, et la question de savoir si le traitement des données est nécessaire à l’exercice d’un droit fondamental, est d’intérêt public à quelque autre égard ou bénéficie d’une reconnaissance dans la collectivité concernée;

- l’incidence sur les personnes concernées et leurs attentes raisonnables quant à ce qu’il adviendra de leurs données, ainsi que la nature des données et la façon dont elles sont traitées;

-les garanties supplémentaires qui pourraient limiter toute incidence injustifiée sur la personne concernée, comme la minimisation des données, les technologies renforçant la protection de la vie privée; une plus grande transparence, un droit général et inconditionnel de s’opposer au traitement et la portabilité des données. » 

Là encore pour simplifier, si vous utilisez le fondement des intérêts légitimes et que c’est simple de le faire : il y a un loup car si on fait les choses comme le veut la réglementation, c’est tout sauf rapide et simple. L’inverse du real time biding en somme. Vous me suivez ?

Comment en effet respecter ces exigences quand on prétend collecter des données via des cookies ?! Le fondement des intérêts légitimes apparaît inadapté à la collecte de données personnelles par ce moyen. C’est comme la pizza aux ananas, ça n’aurait jamais dû être tenté.

Toujours pas convaincu ? Très bien, allons-voir ce qu’en dit la CNIL :

« L’intérêt légitime ne peut (…)  être considéré comme une base légale «par défaut » : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse », laquelle doit conduire à analyser les conséquences de la collecte et du traitement sur la vie privée des personnes concernées,   « (…) sur l’ensemble des droits et intérêts couverts par la protection des données personnelles (…) en mesurant ses incidences sur la vie privée des personnes (traitement de données sensibles, traitement portant sur des personnes vulnérables, profilage, etc.) et sur leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités ou déplacements, exclusion de l’accès à des services, etc.). »

Le fondement des intérêts légitimes impose selon la CNIL la mesure des conséquences induites « (…) afin de déterminer, au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes ».

Cette précision laisse songeur : une analyse « au cas par cas »… Soit les CMP qui fonctionnent sous protocole TCF cachent Flash Gordon au creux de leur code source, soit elles ont unea pproche du respect des droits des personnes concernées très nord-coréenne.

Posez-vous donc la question si vous utilisez une CMP conforme aux exigences du protocole TCF : à chaque fois que vous voyez des cookies indiquer que les données sont collectées sur la base des intérêts légitimes de l’entreprise (« legitimate interests pursued by the controller or by a third party »), l’examen de proportionnalité avec la protection des droits et libertés fondamentaux a-t-il été réalisé ? Avez-vous documenté cette analyse ? Si oui comment et pourrez-vous en justifier en cas de contrôle ? Aimez-vous les chiens ? (NDLR : attention une de ces questions est un piège).

Car vous devrez en justifier, documentation à l’appui, comme le rappelle la CNIL : « (…) la CNIL recommande (…) que cette méthodologie fasse l’objet d’une documentation par le responsable du traitement, qui pourra notamment lui servir en cas de contrôle de la licéité du traitement. En tout état de cause, cet organisme doit être en capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement. ».

Nous arrivons maintenant vers la fin de cet article qui assurément changera votre vie d’entrepreneur. Vous allez quitter le côté obscur de la Force et rejoindre la rébellion pour collecter en toute légalité.

A tous ceux qui s’interrogent parfois sur le fait qu’Axeptio n’est pas « compatible » TCF, voilà donc une réponse claire : nous refusons d’être compatible avec une norme que nous estimons être contraire à l’état du droit européen.

Les informations récentes démontrent que le choix d’Axeptio était le bon : ne pas s’aventurer sur un chemin hasardeux risquant de mettre juridiquement en danger les utilisateurs de sa solution en mettant en avant un fondement que nous avons estimé après une analyse juridique poussée, inadapté à la mise en œuvre de cookies.

Le passé n’est assurément qu’un prologue et les alertes sismiques qui commencent à secouer le monde de la donnée personnelle sont annonciatrices de bouleversements bien plus importants qui devraient conduire chacun à bien réfléchir à la qualité des bases de onnées qu’il constitue et exploite actuellement.

Luc :« le côté obscur est le plus fort ?

Yoda :« Non… Non ! Plus rapide, plus facile, plus séduisant »


Share on social media: 

Ne partez pas si vite ... 

Data Protection Officer – Comment choisir son DPO et bien le positionner ?

Le Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. Comment faire pour bien choisir son DPO, comment lui faciliter la vie grâce à des solutions. On vous dit tout dans cet article.

Lire la suite

HttpOnly, Secure… Comment sécuriser vos cookies et votre site web ?

Mettre votre site web en conformité RGPD, c’est aussi sécuriser vos cookies. Les cookies sont indispensables au fonctionnement du site et de ses fonctionnalités. Mais ils sont vulnérables aux attaques. D’où l’intérêt d’une politique sécurité… et d’utiliser les attributs HttpOnly et Secure.

Lire la suite

Vos utilisateurs souffrent de consent fatigue et voici pourquoi

Vos utilisateurs souffrent-ils de consent fatigue ? A force de voir des bannières sur les sites, on peut penser que beaucoup acceptent les cookies par défaut. Pourquoi il faut s’en préoccuper ? Comment lutter ? On vous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.