La cour d'appel belge Marktenhof a déclaré illégal le système de gestion de la transparence et du consentement (Transparency & Consent Framework, TCF) de l'association professionnelle de la publicité en ligne IAB Europe. Elle suit ainsi une décision de l'autorité belge de protection des données GBA (Gegevensbeschermingsautoriteit). Le jugement devrait avoir un impact sur la publicité basée sur le tracking dans l'UE. Publicité ont.
" TC String " enfreint le RGPD
Dans sa décision n° 21/2022 du 2 février 2022, l'autorité belge de protection des données (GBA) a déclaré que le TCF (version 2.0) développé par IAB Europe enfreignait des règles essentielles de la RGPD de l'UE. La "chaîne TC" était au centre de l'affaire. Il s'agit d'une chaîne de caractères structurée qui permet de définir les préférences des utilisateurs pour des services personnalisés. Publicité sont stockées. L'ACC a considéré que TC String était une donnée à caractère personnel et que IAB Europe était (conjointement) Responsable s'est adressée à la Commission. Elle a infligé une amende de 250.000 euros et a fixé un délai de deux mois pour un plan d'action conforme au RGPD.
La décision a été prise dans le cadre de la procédure de guichet unique, avec l'aide d'autres autorités de surveillance européennes, et a eu une portée paneuropéenne.
L'IAB Europe a fait appel de la décision de l'ACC.
Décision du TCF devant la cour d'appel
Dans une décision intermédiaire ("tussenarrest"), la cour d'appel compétente "Marktenhof" à Bruxelles a d'abord confirmé la recevabilité formelle de l'appel d'IAB Europe. Une décision sur le fond n'a cependant pas encore été prise à ce moment-là.
Le Marktenhof a tout d'abord suspendu la procédure et a posé deux questions préjudicielles à la Cour de justice des Communautés européennes (CJCE) en vertu de l'article 267 du TFUE. D'une part, la cour d'appel a posé la question de savoir si ce que l'on appelle la "chaîne TC" - c'est-à-dire une chaîne de caractères structurée destinée à enregistrer les consentements et les refus des utilisateurs - pouvait être qualifiée de données à caractère personnel au sens de l'article 4, point 1 RGPD doit être classée comme telle. D'autre part, la Cour de Marché a voulu clarifier si une organisation comme IAB Europe, qui standardise et prescrit un cadre technique pour la gestion du consentement, peut être considérée comme un responsable (commun) au sens de l'article 4, point 7, de la directive. RGPD bien qu'elle n'ait aucun contrôle direct sur les processus de traitement concrets.
L'objectif de ce projet était de créer une sécurité juridique pour les autorités nationales de contrôle de la protection des données et les acteurs du marché. Jusqu'à présent, la classification de tels cadres sectoriels en matière de protection des données n'a été clarifiée de manière définitive ni au niveau européen ni par la jurisprudence.
La CJCE se prononce sur TC String et la responsabilité de l'IAB Europe
Dans son arrêt de mars 2024, la CJCE a statué sur les deux questions qui lui avaient été soumises par la Cour de marché concernant la qualification de TC String au regard de la protection des données et la responsabilité éventuelle de l'IAB Europe.
Chaînes TC en tant que données à caractère personnel
Tout d'abord, la CJCE a précisé que TC Strings données à caractère personnel au sens de l'article 4, point 1 RGPD de l'information. Ce qui est déterminant à cet égard, c'est que cette chaîne de caractères, qui n'est techniquement qu'une information de préférence codée, peut être modifiée en la combinant avec d'autres données telles que la Adresse IPL'utilisateur peut être mis en relation avec un utilisateur déterminé ou au moins identifiable grâce à l'identifiant du cookie ou aux informations relatives à l'appareil. Elle remplit donc les critères d'identifiabilité. Cette interprétation correspond à une définition large des données à caractère personnel, qui englobe également les informations pseudonymes et les informations transmises par des moyens techniques.
IAB Europe en tant que responsable (commun)
En outre, la CJUE a décidé qu'une organisation sectorielle comme IAB Europe pouvait être considérée comme responsable (conjoint) au sens de l'article 4, point 7, de la directive. RGPD peut être considérée comme une organisation. La Cour a souligné qu'il n'était pas nécessaire que l'organisation elle-même soit directement responsable pour être considérée comme telle. données à caractère personnel ne sont pas traités. Ce qui est déterminant, c'est de savoir s'ils ont été définis par des moyens et des fins de Traitement exerce une influence déterminante sur les opérations de traitement des données.
C'est le cas puisque l'IAB Europe, en concevant, en normalisant et en imposant le Consent Framework, a établi les paramètres fondamentaux pour la Traitement des chaînes de TC. En outre, elle coordonne l'interaction entre de nombreux acteurs du marché et joue ainsi un rôle de direction et de structuration dans l'ensemble de l'écosystème. Le fait que l'IAB Europe ne fournisse pas elle-même de contenus publicitaires ou ne crée pas de profils d'utilisateurs individuels n'est pas déterminant pour la responsabilité en matière de protection des données.
Importance de l'arrêt de la CJCE
Cette décision de principe a un impact direct sur tous les acteurs du marché de la publicité numérique, ainsi que sur d'autres secteurs dans lesquels des normes techniques sectorielles de traitement des données, telles que le TCF, sont appliquées. En particulier, l'arrêt souligne que la responsabilité juridique ne peut pas être déléguée ou réduite à la neutralité technique lorsqu'une institution intervient de manière centralisée dans un système lié à la protection des données.
IAB Europe en tant que co-responsable du TCF
Confirmation du point de vue du droit matériel
Sur la base de l'arrêt de la CJCE, la Cour de justice des Communautés européennes a statué que définitivement sur l'appel de l'IAB Europe. Bien que la décision n° 21/2022 de l'ACS ait été formellement annulé pour vice de procédure, cependant :
- Toutes les évaluations matérielles de l'ACC ont été confirmées.
- Le site Amende de 250.000 euros reste en vigueur.
- La Cour a réaffirmé que Chaînes TC données à caractère personnel sont représentés.
- IAB Europe continuera à agir en tant que responsable commun pour les Traitement des préférences des utilisateurs dans le cadre du TCF.
Clarification sur le composant OpenRTB
Cependant, la Cour des marchés a également précisé que l'IAB Europe n'est pas considérée comme (co-)responsable des traitements qui ont lieu exclusivement dans le cadre du protocole OpenRTB. Cela permet de créer une Définition des limites entre le cadre de normalisation du TCF et la mise en œuvre pratique des différentes actions publicitaires en temps réel a été effectuée.
Conseil de lecture : La CJCE renforce la transparence - les agences d'évaluation du crédit doivent divulguer leurs processus décisionnels
Décision du GDA sur le TCF avec impact sur le Real-Time Bidding
La décision a plusieurs implications fondamentales pour l'industrie AdTech et pour les organismes de normalisation sectoriels :
- TC Strings comme données à caractère personnel: Les acteurs du marché doivent à l'avenir faire entrer ces données dans le champ de protection des RGPD et de mettre en place des Bases juridiques et prévoir des mesures de protection.
- Responsabilité des organisations sectorielles : Les organisations telles que IAB Europe, qui établissent des normes et des règles techniques, peuvent être considérées comme responsables en matière de protection des données, même sans accès direct aux données personnelles ou utilisation de celles-ci.
- Clarté sur la répartition des rôles : L'exclusion de la responsabilité de l'IAB Europe pour les processus OpenRTB signale que l'accent est mis sur les domaines d'influence organisationnels et non sur la transmission technique en soi.
Même si la procédure initiale de l'ACC a été annulée en raison de vices de forme, la Cour des marchés confirme en fin de compte, entièrement l'avis juridique de l'ACC et de la CJCE. Si d'autres autorités européennes de protection des données suivent cet arrêt, cela pourrait avoir des conséquences sur la diffusion de messages personnalisés. Publicité et le système inter-appareils Suivi En effet, c'est surtout le "Real-Time Bidding" (RTB), dans lequel les annonces publicitaires sont mises aux enchères en temps réel, qui est concerné.
Le fait que les TC Strings données à caractère personnel et dont la collecte et la transmission dans le cadre du TCF sont assurées par un organisme de contrôle. responsabilité partagée suggère que de nombreux acteurs de la RTB doivent réévaluer leurs rôles en matière de protection des données et leurs processus techniques. Les questions relatives à l'efficacité du consentement sont particulièrement importantes, Affectation des fonds, Transparence et de minimisation lors de la mise aux enchères automatisée d'espaces publicitaires. L'arrêt devrait donc indirectement conduire à une réforme ou du moins à une adaptation profonde des processus RTB, tant sur le plan technique qu'organisationnel.
L'ACS a déjà annoncé qu'elle analyserait en détail les motifs du jugement.
German 
English 
Italian 
French