TCF : la décision de la CJUE limite la responsabilité de l'IAB Europe

TCF : la décision de la CJUE limite la responsabilité de l'IAB Europe Dans l'affaire qui oppose l'IAB Europe à l'Autorité belge de protection de données (APD), la Cour de justice de l'Union européenne (CJUE) confirme que la TC String peut être considéré comme une donnée personnelle

L'IAB Europe va certainement devoir, une fois de plus, faire évoluer le Transparency and Consent Framework (TCF), le standard adopté massivement par le marché de la publicité qui sert à  transmettre à toute la chaine programmatique le choix des utilisateurs en matière de consentement au dépôt de traceurs entre autres à de fins de ciblage. Soit un outil essentiel. Mais rien ne semble le mettre en péril. Dans l'affaire qui oppose l'IAB Europe à l'Autorité belge de protection de données (APD), la Cour de justice de l'Union européenne (CJUE) a rendu public ce jeudi 7 mars un arrêt avec deux clarifications importantes.

Tout d'abord, la TC String – soit la série de lettres et de caractères qui sert à transporter l'information sur le choix de l'internaute en matière de consentement – constitue bel et bien une donnée personnelle, comme l'avait indiqué l'APD belge. Deuxièmement : l'IAB Europe est coresponsable du traitement de ces données mais de manière beaucoup plus limitée que ce qui avait été précisé par l'autorité belge. Et sur ce point, tous dans l'industrie se montrent soulagés.

"La TC String contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel au sens du RGPD", indique dans un communiqué la CJUE, reprenant ainsi le même argumentaire de l'APD. "En effet, lorsque les informations contenues dans une TC String sont associées à un identifiant, tel que, notamment, l'adresse IP de l'appareil de l'utilisateur, elles peuvent permettre de créer un profil de cet utilisateur et de l'identifier."

En pratique, une telle interprétation rend de plus en plus large la notion de donnée personnelle. "D'après la CJUE, une combinaison de chiffres peut devenir une donnée personnelle si la personne en charge de son traitement a en sa possession des moyens raisonnables, même indirects, d'identifier l'internaute et notamment l'adresse IP", commente l'avocate Alexandre Iteanu. Or, de l'avis d'un expert du secteur, "toute transmission d'information sur Internet, avec ou sans TC String, est associée à une adresse IP". Surtout, selon cet expert, dans les versions antérieures au TCF 2.1, les informations intégrées dans le TC String comme l'horodatage (timestamp) à la seconde près augmentait les capacités d'identification quand cette donnée était associée à l'IP. Un aspect qui a donc été amélioré dans les dernières versions du standard.

Quoi qu'il en soit, quand l'information du consentement est transmise à travers la chaîne, le plus souvent à travers une requête http, elle peut par conséquent être associée à une adresse IP. De quoi rendre nécessaire la définition d'une base légale autorisant cette transmission si la lecture de la CJUE venait à être confirmée dans la suite de cette affaire, ce qui est très probable. L'IAB Europe qui au départ était opposée à cette interprétation en convient. "Nous prenons acte de cette décision qui, si elle devait se confirmer, nous fournira également des éléments sur la base légale à adopter", déclare au JDN Ninon Vagner, privacy director à l'IAB Europe.

Une responsabilité limitée

Dans sa décision, la CJUE tranche sur un autre point presque tout aussi essentiel, du moins pour l'IAB Europe : l'organisme auteur de ce standard doit être considéré "comme responsable conjoint de ce traitement au sens du RGPD", mais selon un périmètre beaucoup plus limité comparé à l'interprétation belge. Cette dernière imputait à l'IAB une responsabilité qui intégrait même les traitements ultérieurs à la simple collecte et transmission du consentement. Elle serait donc responsable de ce qui serait fait de ces données, comme le profilage, le ciblage, la mesure, etc.

"Tout l'intérêt de décision de la CJUE est dans le fait de ne pas confirmer cette interprétation large de la responsabilité de l'IAB Europe donnée par l'APD en 2022", analyse Sébastien Gantou, CEO de Digital DPO. "Elle délimite ainsi très clairement ce qui relève du TCF d'une part et de l'OpenRTB d'autre part. C'est très important de traiter ces deux standards de manière différenciée. Cela donne aussi des clarifications nécessaires à l'industrie et nous permet d'avancer", ajoute-t-il.

"Une importante partie de la décision de l'APD belge était basée sur cette lecture selon laquelle l'IAB Europe était coresponsable pour ce qui est des traitements ultérieurs de ces données, comme à de fins de publicité numérique, de mesure de l'audience ou la personnalisation du contenu. L'IAB Europe n'a aucune influence sur ces traitements et la décision de la CJUE de limiter notre coresponsabilité à la création et l'utilisation des TC Strings par les éditeurs et les vendeurs est une très bonne nouvelle. L'APD belge va devoir de toute évidence revoir sa décision", commente Ninon Vagner.

De quoi donner du baume au cœur aux associations représentatives de l'industrie de la publicité. "L'Alliance Digitale se félicite de constater que la Cour ne remet pas en cause le bien-fondé du TCF, norme commune qui a permis, depuis l'introduction du RGPD, à aider les entreprises dans leurs efforts de conformité avec la réglementation sur la protection des données personnelles", indique l'association française dans un communiqué. Il reste à savoir quel niveau de responsabilité sera imputé à l'IAB Europe.

Pour rappel, la CJUE avait été sollicitée par la Cour des marchés belge qui examine l'appel de l'IAB Europe à la condamnation de l'APD belge. Ce standard développé par l'IAB Europe et adopté par l'industrie de la publicité programmatique est censé garantir la transmission du consentement des utilisateurs à la chaîne publicitaire de manière respectueuse du RGPD. Mais tel n'est pas l'avis de l'APD qui a estimé en février 2022 que ce mécanisme violait plusieurs dispositions du RGPD. L'autorité a alors imposé à l'IAB Europe une amende de 250 000 euros et l'obligation de proposer un plan d'action. Tout en faisant appel de cette décision, l'IAB Europe a proposé un plan d'action et mis à jour sa norme en tenant compte d'une partie des exigences de l'autorité belge.

La Cour des marchés belge va maintenant reprendre son examen au fond en tenant compte des réponses apportées ce jeudi 7 mars par la CJUE. "Il est tout à fait envisageable que la Cour des marchés renvoie à son tour l'examen à l'APD et annule tout ou partie de sa première décision", conclut l'Alliance Digitale.