1 min

L’APD sanctionne IAB Europe : son tracking publicitaire viole le RGPD

Ce 2 février 2022, l’Autorité belge de la protection des données (APD) a infligé une amende à IAB Europe pour son module de tracking publicitaire TCF, qui viole le RGPD.

Pour répondre aux exigences du RGPD, IAB Europe, qui regroupe les géants de la publicité en ligne en Europe (dont Google et Facebook), a développé le Transparency and Consent Framework (ou TCF). Ce composant a été conçu pour offrir « un cadre transparent et fixe dans le traitement des données personnelles pour le tracking publicitaire, dans le strict respect du RGPD ».

TCF propose un standard de consentement au traitement des données (Transparency and Consent (TC) String) : les préférences des utilisateurs sont ensuite stockées et partagées avec les acteurs de la publicité en ligne. Il doit favoriser le respect du RGPD dans l’utilisation d’OpenRTB, un protocole d’enchères automatiques pour des encarts de publicité ciblée.

Mais, ce 2 février 2022, l’APD, en lien avec les autres CNIL de l’UE, a infligé une amende de 250 000 euros à IAB Europe, justement parce que le TCF ne respecte pas le RGPD. Premier manquement : l’IAB n’a pas mentionné de base légale pour le traitement de TC string, et les fondements juridiques offerts par le TCF sont insuffisants.

Ensuite, les informations données aux utilisateurs dans les interfaces de consentement sont trop génériques et vagues, empêchant l’exercice d’un jugement éclairé et un respect des droits privés. Pour finir, IAB Europe n’a pas tenu de registre des activités de traitement, n’a pas désigné de délégué à la protection des données (DPA) et n’a pas réalisé d’analyse d’impact relative à la protection des données (AIPD).

L’ADP laisse six mois à IAB Europe pour se mettre en conformité, avec 5 000 euros d’astreinte par jour de retard.

Partager cet article avec un ami