Belgique : L’APD inflige une amende de 250.000 € à IAB Europe tenue responsable d’un mécanisme (TCF) contraire au RGPD
Le 2 février dernier, l’autorité belge de protection des données (ADP) a sanctionné la société Interactive Advertising Bureau Europe (IAB) Europe, estimant que son mécanisme de gestion de la publicité en ligne était contraire au RGPD.
Le « Transparency and Consent Framework » (TCF), élaboré par l’IAB Europe, est un mécanisme très répandu qui permet la gestion des préférences des utilisateurs pour la publicité personnalisée en ligne.
Le TCF facilite la pratique du « Real-Time Bidding ». Il s’agit d’un système d’enchère d’espace publicitaire en temps réel largement automatisé et utilisé par des géants du secteur.
À la suite nombreuses plaintes, l’ADP a analysé la conformité du système TCF au RGPD.
Dans cette décision, elle sanctionne plusieurs violations, à savoir :
- Une violation du principe de licéité puisque l’IAB Europe n’a pas déterminé de base légale valable pour ses traitements.
- Un manquement au principe de transparence et à l’information des utilisateurs. En effet, les informations fournies aux utilisateurs étaient trop génériques et vagues pour leur permettre de comprendre la nature et la portée du traitement, particulièrement eu égard à la complexité du TCF. Il était dès lors difficile pour les utilisateurs de garder le contrôle de leurs données.
- Sur le fondement de la responsabilité, sécurité, protection des données dès la conception et protection des données par défaut, l’APD constate qu’en l’absence de mesures techniques et organisationnelles conformément au principe de protection des données dès la conception et de protection des données par défaut, (incluant de garantir l’exercice effectif des droits des personnes concernées et de contrôler la validité et l’intégrité des choix des utilisateurs), la conformité du TCF au RGPD n’est pas suffisamment garantie, ni démontrée.
- Un manquement aux obligations incombant aux responsables de traitement qui traitent des données personnelles à grande échelle. L’APD constate ainsi que l’IAB n’a pas tenu de registre de traitement, ni désigné de DPO ou réalisé d’analyse d’impact.
En plus de l’amende de 250 000 euros, l’IAB Europe a été sommée de mettre en place une série de mesures correctives pour se conformer aux règles en vigueur au sein de l’Union européenne.
Ces mesures comprennent notamment l’établissement d’une base légale valable pour le traitement et la diffusion de préférences d’utilisateurs du TCF, ainsi que l’interdiction d’invoquer l’intérêt légitime comme base légale du traitement de données à caractère personnel par les organisations participant au TCF ainsi qu’un contrôle strict des organisations participantes afin de s’assurer qu’elles respectent les exigences du RGPD.
L’IAB dispose d’un délai de deux mois pour soumettre un plan d’action pour la mise en œuvre de ces mesures.
Decision on the merits 21/2022 of 2 February 2022 DOS-2019-01377