IAB TCF : où en est-on ?
Le point sur la forme et le fond d'un imbroglio tech et juridique : l'Autorité de Protection des Données Belge contre l'Interactive Advertising Bureau (IAB) Europe .
Publié le 20 septembre 2023
Pourquoi est-ce si important, en quoi cela concerne-t-il l'usager ?
Si l'on évoque le trigramme "TCF", cela vous évoque probablement peu de choses. En revanche, si l'on indique que ce "TCF" opère dans près de la moitié des bannières de consentement des 100 sites les plus visités en France, vous êtes en définitive très concerné, et les conséquences qui pèsent sur vous ne sont vraiment pas anodines.
Qu'est-ce que l'IAB ?
On reprend donc tout depuis le début, en citant à nouveau ce que l'on avait écrit dans nos articles précédents. Fondée à New York en 1996, l'Interactive Advertising Bureau (IAB) se définit comme "une association dont la mission est triple : structurer le marché de la communication sur Internet, favoriser et défendre son usage, et optimiser son efficacité". Par "communication sur Internet", il faut clairement entendre : publicité programmatique. D'aucuns considèrent clairement cette organisation comme le lobby majeur de l'Adtech. On peut considérer cette association comme une entité dont l'objectif consiste à défendre, promouvoir et structurer la publicité programmatique. L'IAB est particulièrement prégnante, influente et organisée : il existe entre autres une IAB France, une IAB Europe et une IAB US. Globalement et mondialement reconnue dans l'écosystème de la publicité programmatique, elle définit et élabore ses propres standards, très largement adoptés. Parmi ces standards, on peut trouver sa propre interface insérée dans de nombreuses bannières de consentement : le "Transparency Consent Framework", le TCF.
Qu'est-ce que le TCF, que réalise-t-il ?
Le TCF est apparu en 2018. Selon la communication de l'IAB, sa création a été motivée par le besoin de se mettre en conformité avec le RGPD. Dans la réalité, il s'agissait surtout de communiquer sur des mesures à minima qui permettaient de préserver le fonctionnement en l'état de l'écosystème publicitaire. Car en effet, la longue et complexe procédure juridique que nous allons décrire par la suite montre bien que TCF et RGPD sont très loin d'être spontanément compatibles, et c'est tout le sujet de cet article.
Du point de vue de l'utilisateur, le TCF est une interface intégrée dans un nombre important de cookies banners. De l' "autre côté de la bannière", il regroupe une très large majorité d'acteurs de la publicité programmatique (généralement des annonceurs, appelés "vendors"), qui se plient à certains standards pour être intégrés à une liste éditée et régulièrement mise à jour par l' IAB, nommée "Global Vendor List", ou GVL. Entre l'utilisateur et les vendors, il existe une place de marché : un marché d'enchères en temps réel, appelé Real Time Bidding, ou RTB.
Et c'est là que la catastrophe se structure et se met en place.
Pour comprendre un peu plus en détail le fonctionnement du RTB, on renvoie le lecteur à cet excellent article de l'ONG Irish Council of Civil Liberties (ICCL), consultable sur cette page. C'est ici l'occasion de préciser que l'ICCL est un des acteurs majeur parmi les plaignants, nous y reviendrons. Pour être plus concis, on retiendra que le RTB (citation de la page qui vient d'être évoquée) "suit et partage ce que les gens voient en ligne et leur emplacement réel 178 000 milliards de fois chaque année aux États-Unis et en Europe. Le RTB est la plus grande violation de données jamais enregistrée."
Fin de citation.
Concrètement, que se passe-t-il quand un utilisateur clique sur "Tout accepter" d'un cookie banner contenant le TCF ?
- Le TCF, intégré dans la fenêtre de consentement, enregistre et chiffre en détail le consentement ou le refus de l'utilisateur sous la forme d'une chaîne de caractères appelée "TC_String",
- Il transmet ce TC_String aux partenaires publicitaires du site visité. Le nombre de ces partenaires s'élève en moyenne à 600 (!)
- Les partenaires peuvent ainsi accèder aux données de l'utilisateur dans la mesure où ils détiennent son consentement, les collectent, et utilisent un système complexe d'intermédiaires dont l'objectif consiste à afficher de la publicité ciblée..... et engranger quelques dollars ou euros au passage. Les données de l'utilisateur sont collectées, et ce dernier fait l'objet d'un profilage.
Certains partenaires n'utilisent pas le consentement de l'utilisateur pour pister et profiler l'usager, mais un autre argument juridique (appelé "base légale") : l'intérêt légitime. Détailler l'intérêt légitime ici serait fastidieux, néanmoins le lecteur intéressé peut se renseigner sur ce sujet très important
sur cette page du site de la CNIL.
De façon concrète, lorsqu'un utilisateur clique sur "continuer sans accepter", certains organismes continuent MALGRE TOUT de collecter ses données au nom de cette base légale qu'est l'intérêt légitime.
L'IAB fournit une interface de déchiffrement du TC_String sur cette page. Y sont entre autres détaillées l'ensemble des finalités auxquelles l'usager a consenti ou refusé, la date de l'événement, et d'autres spécifications techniques et juridiques. Voici ci-dessous un exemple de ce à quoi il ressemble, chiffré et déchiffré (exemple pris sur le site "lemonde.fr", en cliquant sur "accepter et continuer"). Pour mémoire, ce TC_string se retrouve souvent dans les en-têtes de requêtes sous la forme "gdpr-consent").
Que reproche-t-on en général (et nous en particulier) au TCF ?
Les reproches de fond
Nous avions déjà évoqué ce que nous appelions une "situation de distortion" dans un article précédent sur les fenêtres de consentement, ou CMP. En effet, la fenêtre de consentement est là pour faire respecter le choix de l'usager en conformité avec le RGPD. Nous reposons ainsi la question : est-il du rôle d'un acteur majeur de la publicité en ligne de s'immiscer dans ce processus ? Nous pensons clairement que non. Mais il y a plus grave : l'exploitation de l'ignorance des éditeurs de petite et moyenne taille.
Une récente visio conférence avec un CEO et son staff nous ont fait comprendre une chose que nous n'avions bien naïvement pas soupçonné. Il apparaît qu'en évoquant le TCF, ceux-ci semblaient ignorer totalement ce dont il s'agissait, alors que le TCF était précisément mis en oeuvre sur leur bannière de consentement ! En creusant, on réalise que ce sont les CMP (i.e. certaines plateformes sous traitantes qui concoivent pour l'éditeur des bannières de consentement) qui intègrent ce TCF sans toujours en avertir de façon claire et loyale les éditeurs, ou à minima semble-t-il.
Ensuite vient une question de bon sens le plus élémentaire : est-il concevable qu'un usager soit en capacité de poser un choix éclairé qui consiste à accepter la collecte de ses données par MILLE entreprises publicitaires, aux rôles et aux finalités différentes et spécifiques pour chacune ? Non, bien évidemment. C'est pourtant ce qu'impose le TCF.
Ces reproches de fond se déclinent en arguments techniques et juridiques. En 2019, l'ICCL, sous l'impulsion du Dr Johnny Ryan, a déposé plainte auprès de l'autorité de contrôle Belge (pays du siège de l'IAB Europe) pour violation du RGPD. Nous citons ici l'ICCL, mais elle n'est pas la seule. l'APD Belge a donc reçu et traîté cette plainte. Nous allons en détailler l'incroyable feuilleton. C'est ici qu'on invite le lecteur à s'accrocher, car les attermoiements de procédures sont nombreux.
La Sanction de l'APD Belge contre IAB Europe (Eh oui, ce que vous venez de lire n'était qu'une introduction !)
Ce qui va suivre est suffisamment complexe pour que nous proposions au lecteur un glossaire avant même de commencer la lecture (le nombre d'intervenants étant significatif), glossaire que voici :
IAB :
Interactive Advertising Bureau : nous venons d'en parler. La section européenne de l'IAB est IAB Europe, la section française est nommée "Alliance digitale".TCF :
Transparncy Consent Framework. Idem.APDB :
Autorité de Protection des Données Belge : c'est l'équivalent de la "CNIL Belge".Cour des marchés :
instance juridique belge saisie en cas de recours dans le cadre d'une procédure de sanction émise par l'APDB. La Cour des marchés émet des décisions qui ont une valeur contraignanteCJUE :
Cour de Justice de l'Union Européenne : la plus haute instance juridique en Europe.TC_String :
chaîne de caractère enregistrant les caractéristique de consentement de l'utilisateur (nous venons également d'en parler).DCP :
donnée à caractère personnel, au sens juridique du terme.RT :
Responsable de Traitement des données, au sens juridique du terme.
C'est parti, chronolgie des événements !
Année 2019 :
Plusieurs plaintes sont déposées auprès de l'ADPB contre IAB Europe au sujet du TCF, dont les plaignants estiment que celui-ci viole le RGPD. Les motifs de plaintes (synthétisés le plus possible, et la liste qui suit n'est pas exhaustive, on tente ici d'en traduire l'esprit) sont les suivants :
L'IAB ne fournit pas une information claire et compréhensible aux usagers sur la collecte et le traitement de leurs données accomplis via le TCF,
L'IAB réalise donc un traitement de données personnelles sans consentement juridiquement valide, et pratique de surcroît un traitement automatisé du TC_String, TC_String que les plaingants considèrent du reste comme une DCP.
Le mécanisme du TCF, ouvrant la porte du RTB aux usagers, ne protège pas suffisamment les DCP.
l'IAB fait revendiquer l'intérêt légitime pour réaliser de la publicité ciblée, ce qui est contraire aux principes du RGPD,
L'IAB n'a pas réalisé d'analyse de mesure d'impact (AIPD) sur les usagers au regard du nombre impressionnant d'entreprises Adtech collectant potentiellement des données personnelles.
L'IAB ne se comporte pas comme un responsable de traitement des données et se repose sur les éditeurs en termes de responsabilité, alors qu'elle est estimée être précisément RT dans le contexte du TCF.
2 février 2022 :
Après réception et traitement des plaintes, l'ADPB prononce une sanction à hauteur de 250 000 €, associée à plusieurs injonctions. Parmi celles-ci, elle demande notamment à l'IAB :
- d'émettre un plan d'action dans les deux mois suivant la sanction, destiné à corriger l'ensemble des infractions au RGPD relevées, soit avant le 2 avril 2022,
- de faire valider ce plan par l'APDB.
- Ces étapes accomplies, l'IAB aura six mois pour mettre en euvre le plan proposé et validé.
La décision complète de l'ADPB est téléchargeable
sur ce lien.
11 février 2022 :
l'IAB émet un premier recours (que nous appellerons "recours n°1) auprès de la Cour des Marchés Belge. Elle communique sur ce sujet via
cette page de son site.
Cependant, ce recours n'étant pas suspensif, il travaille à l'élaboration du plan d'action demandé.
1er avril 2022 :
l'IAB soumet son plan d'action à l'ADPB Belge.
7 septembre 2022 :
La Cour des marchés belge décide de suspendre la procédure du recours n°1, estimant ne pas être compétente pour répondre à deux questions juridiques fondamentales :
Primo : le TC_String est-il une DCP ?
Secundo : l'IAB est-il un responsable de traitement au sens juridique du terme ?
Elle décide de poser ces questions, appelées "questions préjudicielles", à la CJUE. La procédure semble donc en suspens jusqu'à la réponse de la Cour Européenne. Mais tout ce la serait bien trop simple, car surprise ! En effet, le....
11 janvier 2023 :
Contre toute attente, l'APDB annonce qu'elle valide le plan d'action de l'IAB proposé dix mois plus tôt, et somme donc celui-ci, comme initialement prévu, de l'exécuter en six mois.
10 février 2023 :
IAB dépose un second recours contre l'APDB pour invalider cette décison (que nous appellerons recours n°2). Elle n'est pas la seule : l'ICCL le fait également.
Pause récré. On tente d'en expliquer les raisons. Il est vrai que cette décision d'adoption est surprenante et a amené de nombreux et légitimes commentaires.
Du point de vue de l'ADPB, le fait que la Cour des marchés pose deux questions préjudicielles à la CJUE ne stoppe en rien la procédure, ou du moins, ne remet pas en question les points énoncés dans la sanction qui ne concernent pas les points préjudiciels, ce qui est exact au demeurant. Elle s'estime donc en droit de valider ce plan.
Et pour une fois, plaignant et défense ont la même réaction : poser un recours. Les raisons n'en sont pas les mêmes.
Pour IAB, ce qui est demandé par l'APDB est coûteux et lourd à mettre en place. Si jamais ce plan d'action commence à être exécuté par IAB, et si jamais la CJUE décrète finalement que le TC_String n'est pas une donnée personnelle, ou même qu'IAB n'est pas responsable de traitement au sens juridique du terme, celui-ci devra procéder à un rétropédalage encore plus coûteux.
Notre opinion et observation : réaction compréhensible, mais dans tous les cas, cela signifie qu'IAB entend se placer en limite de législation pour perdre le moins possible ses intérêts. On observe donc ici qu'IAB ne cherche non pas à être ou ne pas être conforme au RGPD, mais bien à accomplir tout ce qui lui est possible tant qu'il n'existe pas d'entrave. Le fait d'appliquer le plan proposé ne posera aucune difficulté juridique, quelle que soit la décision de la CJUE.
Pour l'ICCL, on reproche sur le fond de prendre une décision sans que l'ONG puisse y avoir un droit de regard. En effet, il faut bien comprendre ici que contrairement à la France, une procédure déposée envers une autorité de contrôle considère le plaignant comme partie prenante de la procédure. L'ICCL estime ici que la validation du plan sans examen approfondi de sa part consitue une entrave à ses droits, tout particulièrement si le plan ne résoud pas l'ensemble des difficultés qu'elle a pointées.
Dans tous les cas, les deux parties estiment que l'APDB préempte les réponses de la CJUE et les décisions qui peuvent en découler.
15 mars 2023 :
L'APDB décide finalement d'elle-même de suspendre sa décision de validation du plan d'action. La nouvelle est plutôt bien accueillie (comme on peut s'en douter), et l'IAB précise "aller tout de même de l'avant", en mettant en oeuvre les points qui à priori ne donneraient pas lieu à controverse quelle que soit la décision de la CJUE. La communication de l'IAB sur ce sujet est consultable
sur cette page.
Ainsi, l'IAB semble adopter une attitude fairplay et constructive par cette déclaration. Mais en filigrane on comprend très bien qu'il n'a pas le choix pour des raisons de calendrier. Explications:
En donnant sa décision le 11 janvier, le compte-à-rebours de mise en oeuvre du plan se lance. l'IAB a donc six mois pour s'exécuter. A la date de suspension (15 mars), il restera, en cas de reprise du compte à rebours du plan, quatre mois : tout cela est bien insuffisant pour mettre correctement en oeuvre un plan d'action impliquant près de deux mille organismes Adtech, sans compter les CMP et les éditeurs. Cette déclaration qui semble mettre en avant le caractère constructif de l'IAB est à notre sens une communication de façade, d'autant plus que la réalité des faits tend à démontrer que peu de choses changent.
Ainsi, l'IAB a mis en oeuvre un plan conséquent que nous détaillons en dernière partie d'article, avec notre évaluation (et notre opinion sur le sujet...). La fin de mise en oeuvre pour chaque acteur imposée par l'IAB est prévue fin septembre 2023. Pourquoi ? Parce que l'IAB s'attendait initialement à une décision de la Cour des marchés vers le mois de juin, et que cette décision pouvait lui être défavorable. Ainsi, il faut bien comprendre que l'échéance de fin septembre est bien une échéance décidée par l'IAB seule, qui ne découle d'aucune décision juridique contraignante à ce stade.
7 septembre 2023 :
La Cour des marchés belge se prononce sur les recours:
Elle rejette le recours n°1 de l'IAB, et accepte les n°2, estimant recevable notamment les arguments de l'ICCL. La communication de l'ICCL quant à cette décision est consultable
sur cette page. ; l'ICCL fait notamment observer que la prochaine audition à la CJUE sur le sujet aura lieu le 21 septembre 2023, et qu'elle devrait publier sa décision peu après.
Voici donc où nous en sommes aujourd'hui.
Intéressons-nous désormais à ce qui compte pour l'utilisateur : quels sont ces changements désormais prévus d'être appliqués fin septembre ?
Les modifications du TCF applicables dès la fin septembre 2023
Plusieurs observations liminaires sont à émettre avant d'aborder le fond du problème. La première, c'est qu'il faut reconnaître que l'IAB a communiqué largement et déployé des outils visant à faire appliquer son plan d'action. On retiendra notamment un add-on pour navigateur dénomé "CMP Validator", qui examine la validité des nouvelles versions du TCF. Autant vous dire qu'on s'est servis... Par ailleurs, on le répète : il n'y a pas en l'état actuel de la situation d'obligation légale contraignante à le faire. Voici ci-dessous une capture d'écran de cet add-on, avec lequel nous avons travaillé.
La seconde : pour mettre en oeuvre ces modifications, l'IAB s'est (et a) investie et établi un échéancier complexe impliquant les vendors, les cmp et les éditeurs. Cet échéancier est consultable
sur cette page. On vous en fait la synthèse pour les points les plus importants, qui concernent non pas les acteurs, mais les usagers que nous sommes. (On vous épargne donc toute la partie GVL, qui cependant reste très importante). .
Voici donc les points qui nous semblent importants pour l'usager :
1 - Pas très important, mais il est toujours bon de savoir que techniquement, la version informatique du TCF passe de 2.0 à 2.2 . Les éditeurs et cmp sont donc censés nous présenter une version 2.2 d'ici fin septembre 2023.
2 - En revanche, parmi les points les plus importants pour nous : l'intérêt légitime ne peut plus être revendiqué pour certaines finalités publicitaires, conformément du reste aux derniers travaux du Comité européen de Protection des Données (CEPD, ou EDPB en anglais). Attention sur ce point, car il ne s'agit pas de toutes les finalités. Ainsi, sont proscrites d'utilisation de l'intérêt légitime comme base légale les finalités suivantes :
- accéder à des informations concernant le terminal de l'utilisateur,
- créer un profil personnalisé
- sélectionner des publicités personnalisées
- créer un contenu personnalisé
Les autres finalités, relatives à la mesure de perfomance et d'efficacité des publicités, peuvent en l'état continuer d'avoir pour base légale l'intérêt légitime, ce que nous estimons contestable en l'état, mais cela est une autre histoire.
3 - L'usager doit voir apparaître le nombre total de partenaires publicitaires du site éditeur sur la première page de la fenêtre de consentement aux cookies et traceurs. (Exemple : pour le site orange.fr, ce nombre s'élève à 1260).
4 - L'usager doit avoir accès à des explications, agrémentées d'exemples simples et compréhensibles, du traitement de ses données qui est réalisé. Il faut savoir que pour ce dernier point, l'IAB a d'ores et déjà développé et écrit des textes insérables dans les cookies banners en ce sens. Techniquement donc, la solution est prête.
Pour résumer, l'IAB a défini une politique de conformité se déclinant en 31 points précis, vérifiables grâce au CMP Validator développé. Pour l'usager, ce sont ces points de conformité qui sont les plus importants.
Nous avons donc réalisé l'état des lieux, avec les sites les plus visités en France.
NDLR : ATTENTION : La situation a largement évolué depuis la rédaction de cet article. Un article mettant à jour les informations qui suivent dans cet article est disponible sur cette page.
L'état des lieux
Voici donc le résultat ci-dessous sous forme de tableau, que nous allons vous expliquer. Ce tableau est téléchargeable en version PDF ici
Les sites apparaissant sur le tableau sont les sites utilisant le TCF et appartenant aux 100 sites les plus visités en France. A noter que la moitié de ces cent sites n'utilisent pas le TCF : les Big Techs, certains sites institutionnels, les sites dont les CMP refusent d'utiliser le TCF, etc. Figurent dans ce tableau, à la date du 18 septembre 2023 :
- le nom du site,
- la version en cours du TCF,
- le nombre de points de la politique de conformité demandée par l'IAB qui sont respectés (il en existe 31 au total),
Et, en cas d'acceptation de traceurs par l'usager :
- le nombre de partenaires publiciatires utilisant le consentement comme base légale pour collecter des données,
- le nombre de partenaires publicitaires utilisant l'intérêt légitime comme base légale pour collecter des données,
- le nombre total de partenaires (base légale + intérêt légitime)
Qu'observons-nous ?
En tout premier lieu, que seuls 4 sites ont la version 2.2 à une dizaine de jours de l'échéance demandée par l'IAB.
Mais surtout : AUCUN des sites n'applique AUCUN DES POINTS de la politique de conformité demandée. En conclusion : tout ça pour ça, pour le moment du moins.
Par ailleurs, certains sites ne semblent pas même être en conformité avec les principes imposés apr l'IAB. C'est notamment le cas de Decathlon, dont vous pouvez constater que le CMP Validator indique un seul partenaire, ce qui est, après audit du site, complètement faux. Cela relève donc : soit d'un défaut de développement de l'outil de la part de l'IAB, soit d'un masquage volontaire de Decathlon vis-à-vis de l'IAB. Une réclamation auprès de l'IAB sera déposée en ce sens.
Autant dire que pour l'utilisateur final, ABSOLUMENT RIEN n'a changé. Il devient urgent et souhaitable que cette procédure s'achève pour le bien des usagers que nous sommes. Le moins que l'on puisse dire, à la veille de l'audition en CJUE : à suivre...
Dignilog.