Les bannières de cookies sont-elles illégales en Europe ?
La partie centrale de la bannière de cookies a été déclarée illégale par la DPA belge.
Le module central pour le ciblage et la bannière de cookies est illégal
La norme technique utilisée par les sociétés de publicité pour recueillir le consentement GDPR en ligne est illégale. Les conséquences pourraient être énormes - pour les organes de presse, mais aussi pour les géants du secteur tels que Google et Amazon.
Qu’a décidé l’APD belge ?
L’autorité belge de protection des données APD a décidé qu’un mécanisme central pour les bannières de cookies violait le règlement général européen sur la protection des données (GDPR). La décision a été prise dans le cadre d’une procédure dite à guichet unique. Cela signifie qu’elle s’applique à l’ensemble de l’UE. La procédure découle d’une plainte déposée par le Conseil irlandais pour les libertés civiles et d’autres organisations européennes de défense des droits civils, et pourrait potentiellement être un énorme coup dur pour l’industrie européenne de la publicité.
Pour en savoir plus sur cette décision , cliquez ici.
Un coup dur pour l’industrie des données
”La décision d’aujourd’hui libère des centaines de millions d’Européens du spam de consentement et du risque plus profond que leurs activités en ligne les plus intimes soient transmises par des milliers d’entreprises”, a déclaré le Dr Johnny Ryan du Conseil irlandais pour les libertés civiles.
Comment fonctionne le consentement par cookie et la publicité ciblée ?
Le consentement en matière de cookies
La publicité ciblée sur l’internet fonctionne comme suit (explication simplifiée) : Chaque visite sur un site web utilisant le suivi des cookies pour la publicité ciblée déclenche une enchère entre les fournisseurs d’annonces. Une décision est prise en quelques millisecondes quant aux publicités que l’utilisateur verra en fonction de son profil et d’autres facteurs (= enchères en temps réel).
Enchères en temps réel
Pour que ce système d’enchères en temps réel (RTB) fonctionne, les sociétés de publicité veulent en savoir beaucoup sur la personne qui navigue actuellement sur leur site web : Âge, sexe, intérêts, sites web visités, lieu de résidence, pouvoir d’achat, etc. Ces données sont utilisées pour afficher la publicité la mieux adaptée, celle sur laquelle l’utilisateur aura le plus de chances de cliquer.
Lisez ici pourquoi nous demandons l’interdiction des publicités ciblées.
Un suivi sans consentement ?
Toutefois, en vertu du GDPR, un tel suivi n’est autorisé que si l’utilisateur y consent. Le cadre de transparence et de consentement (TCF) de l’association publicitaire IAB Europe est censé demander ce consentement : Si les utilisateurs cliquent sur “accepter les cookies” ou ne s’opposent pas à ce que l’utilisation de leurs données soit dans l’intérêt légitime du fournisseur, le TCF génère une chaîne dite TC. Cet identifiant sert de base à la création de profils individuels. Ensuite, les profils sont utilisés pour les faire correspondre aux publicités à afficher. Ce faisant, la chaîne TC est transmise à des centaines et des centaines de partenaires dans le système OpenRTB.
L’ensemble du secteur de la publicité (lorsqu’il est question d’annonces ciblées) repose sur la chaîne TC, ce qui en fait la norme la plus importante de l’écosystème de la publicité en ligne.
Comment cette décision influence-t-elle le secteur de la publicité ?
Aujourd’hui, l’APD belge a décidé que le partage de la chaîne TC avec des centaines de partenaires violait le règlement général sur la protection des données. Selon l’autorité de contrôle, le système utilisé par les annonceurs pour recueillir le consentement à la publicité ciblée sur Internet ne respecte pas les principes de légalité et de loyauté.
Dans sa décision, l’APD belge a infligé une amende de 250 000 euros à l’association publicitaire IAB Europe, qui développe et exploite le mécanisme TCF. En outre, l’IAB doit maintenant supprimer les données personnelles déjà collectées. Les conditions que l’APD impose au secteur de la publicité pour continuer à utiliser le cadre de transparence et de consentement sont toutefois beaucoup plus importantes.
Des milliers d’opérateurs de sites web, la quasi-totalité des médias en ligne ainsi que de grandes sociétés de publicité telles que Google et Amazon utilisent ce mécanisme pour transmettre le consentement supposé des utilisateurs au traitement de leurs données personnelles à des fins publicitaires.
Hielke Hijmans, président de la chambre des litiges de l’APD belge , déclare:
” Les gens sont invités à donner leur consentement, alors que la plupart d’entre eux ne savent pas que leur profil est vendu un grand nombre de fois par jour afin de les exposer à des publicités personnalisées “. Bien qu’elle concerne le TCF, et non l’ensemble du système d’enchères en temps réel, notre décision d’aujourd’hui aura un impact majeur sur la protection des données personnelles des internautes. L’ordre doit être rétabli dans le système TCF afin que les utilisateurs puissent reprendre le contrôle de leurs données.”
Même si la décision n’affecte pas directement l’ensemble du système de publicité sur internet, elle aura un impact majeur sur la protection des données personnelles des internautes, estime M. Hijmans.
Pourquoi la décision est-elle importante ?
Les autorités belges chargées de la protection des données affirment que non seulement les profils publicitaires sont des données à caractère personnel, mais que la chaîne TC - qui est utilisée pour les publicités ciblées - doit également être considérée comme une donnée à caractère personnel. Cette chaîne peut être combinée avec l’adresse IP et, ainsi, rendre tout utilisateur identifiable.
Par conséquent, l’IAB Europe enfreint le GDPR avec le protocole TCF utilisé pour générer les chaînes TC. En outre, le consentement donné par les utilisateurs au suivi des données (cookies) est inefficace car il n’y a pas d’intérêt légitime suffisant de la part du propriétaire du site web pour demander un tel consentement en premier lieu.
Les autorités font valoir que l’intérêt légitime des utilisateurs l’emporte sur celui des sociétés de publicité en raison du risque élevé associé à la publicité par soumission en temps réel basée sur le suivi.
En outre, les informations fournies aux utilisateurs lorsqu’ils donnent leur consentement étaient trop générales et trop vagues pour qu’ils puissent comprendre la nature et la portée du traitement de leurs données, compte tenu notamment de la complexité de la publicité basée sur le suivi.
Quelles sont les prochaines étapes ?
La décision n’affecte pas immédiatement les éditeurs ou les sociétés de marketing utilisant des publicités basées sur le suivi.
Pour l’instant, la décision ne concerne que l’association de publicité IAB Europe en tant que fournisseur du protocole TCF.
On peut s’attendre à deux développements majeurs maintenant :
- Plus d’informations : Les informations fournies aux utilisateurs avant de donner leur consentement seront plus spécifiques et moins vagues à l’avenir.
- Une autre conséquence de cette décision pourrait être qu’à l’avenir, il sera difficile pour les entreprises d’invoquer un “intérêt légitime” comme base juridique pour le traitement des données. La seule base légale possible serait alors le consentement de l’utilisateur.
Première conséquence ? Le nouveau bouton “Rejeter tout” de Google
Un premier signe de l’application plus stricte des droits des clients par les autorités européennes est que Google ajoute enfin un bouton “Reject all” à ses bannières de cookies.
Jusqu’en avril 2022, il était très difficile de limiter le suivi des cookies par Google en raison de l’absence de bouton “Rejeter tout”.
Bonne nouvelle pour les défenseurs de la vie privée
Pour les internautes qui attachent de l’importance à la protection des données, la décision de l’autorité belge de protection des données de déclarer les bannières de cookies illégales est une très bonne nouvelle.
Tout d’abord, parce que les sociétés ad tech devront supprimer les données des utilisateurs qu’elles ont collectées par le biais du mécanisme TCF.
Deuxièmement - et surtout - la décision de l’autorité belge de protection des données pourrait entraîner le renversement de tout le système des publicités personnalisées.
Cela pourrait enfin mettre un terme à la publicité ciblée.