Articles
Actus Privacy
Le TCF de l'IAB Europe et l'APD belge : La saga juridique expliquée
Actus Privacy
new

Le TCF de l'IAB Europe et l'APD belge : La saga juridique expliquée

Publié  

5/23/2024

par 

Thierry Maout

3
min lecture

Published  

May 23, 2024

by 

Thierry Maout

10 min read
Sommaire

Il y a maintenant plus de deux ans que l'autorité de protection des données belge (APD) a contesté le Transparency and Consent Framework (TCF) de l'IAB Europe.

 

Alors que les procédures juridiques continuent d'évoluer et de façonner l'industrie AdTech en Europe, c'est le moment idéal pour revisiter la chornologie de cette affaire, depuis son postulat initial jusqu'à la situation aujourd'hui (et demain).

 

149 - TCF vs APD - Body 1 - FR

 

Sommaire

 

 

Au commencement, la décision de l'APD belge

 

Le 2 février 2022, l'APD belge, l'Autorité de Protection des Données (APD), a rendu une décision contre l'Interactive Advertising Bureau Europe (IAB Europe) concernant son Transparency and Consent Framework (TCF).

 

Les quatre points principaux soulevés par l'APD contre le TCF étaient les suivants :

 

  • La Transparency & Consent (TC) string, le signal de consentement stocké par les acteurs de l'industrie publicitaire, était considérée comme une information personnelle pour laquelle les participants doivent établir une base légale, qu'il s'agisse du consentement, de l'intérêt légitime ou autre.
  • L'IAB Europe a été jugé comme étant un responsable du traitement de ces informations, indépendamment du fait qu'il ne traite pas directement les informations de consentement.
  • L'IAB Europe a été décrit comme un co-responsable du traitement avec les participants du TCF (vendors, CMPs, éditeurs). En conséquence, l'APD considère qu'il n'a pas réussi à établir une base légale pour le traitement de la TC String.
  • Les mesures de sécurité en place pour protéger l'intégrité du signal de consentement étaient insuffisantes.

 

L'IAB Europe a été condamné à une amende de 250 000 EUR et sommé de développer un plan d'action dans les deux mois suivants.

En tant que fournisseur d'une Consent Management Platform (CMP) intégrée au TCF, nous avons réagi rapidement : Notre équipe a pu organiser un webinar et mettre en place des resources dans les semaines suivant la décision, proposant des recommandations et des étapes à suivre pour nos clients.

 

La réponse de l'IAB Europe et le TCF v2.2

 

À la suite de la décision, l'IAB Europe a répondu avec un plan d'action en avril 2022, qui, après des événements procéduraux supplémentaires en septembre 2022, a été examiné par l'APD belge le 11 janvier 2023.

Les principaux points de ce plan d'action, visant à traiter les problèmes identifiés par l'APD belge, ont donné naissance à la dernière itération du Transparency and Consent Framework, le TCF 2.2, qui a été publiée le 16 mai 2023, avec une date limite de mise en œuvre pour les participants fixée au 20 novembre 2023 (initialement prévue pour le 11 juillet 2023, mais retardée).

 

Didomi - TCFv2.2 checklist



Didomi a pleinement soutenu la migration vers le TCF v2.2 en travaillant en étroite collaboration avec l'IAB Europe, en améliorant notre Advanced Compliance Monitoring pour aider les organisations à rester à jour et à réduire leur liste de vendors lorsque nécessaire, et en assistant nos clients à déterminer le nombre de vendors à déclarer dans leur bannière de consentement.

Quelques mois après la date limite d'implémentation, notre équipe a été en mesure de rendre compte de l'impact observé de ces changements dans un livre blanc publié au dernier trimestre de 2023:

 

Didomi - TCF v2.2 impact et observations

 

La situation aujourd'hui (et demain)

 

L'IAB Europe a fait appel de la décision de l'APD en 2022, ce qui a conduit la Cour d'appel belge à soumettre certaines questions concernant l'affaire à la Cour de justice de l'Union européenne (CJUE).

Le 7 mars dernier, la CJUE a répondu à ces questions dans un arrêt concernant le TCF et l'APD belge, en se concentrant sur deux points principaux soulevés initialement en 2022 :

 

  • La Transparency & Consent (TC) String est considérée comme donnée personnelle.
  • L'IAB Europe pourrait être un co-responsable du traitement des données.

 

Nous nous sommes entretenus avec notre Chief Privacy Officer, Thomas Adhumeau, pour discuter de la décision de la CJUE sur le TCF dans son intégralité. Nous vous invitons à lire l'article pour obtenir une compréhension à jour de la situation et de ses implications :

 

{{understanding-the-eu's-eprivacy-regulation-gdpr-vs-tcf}}

 

En réponse au raisonnement de la CJUE, le Transparency & Consent Framework (TCF) Steering Group a approuvé une nouvelle itération du cadre en juin 2024, intégrant trois nouveaux amendements. Pour en savoir plus, consultez notre documentation technique.

 

La suite ? La décision de la CJUE va maintenant aider la Cour d'appel belge à délibérer pour rendre une décision, qui est attendue pour la fin d'année ou le début d'année prochaine. Il est important de noter que cela ne conclura pas nécessairement l'affaire, et pourrait au contraire déclencher de nouveaux développements pour l'IAB, l'APD et le TCF.

 

“Tout porte à croire que cette saga judiciaire continuera d’occuper le secteur du numérique pour les années à venir.”

- Thomas Adhumeau, Chief Privacy Officer à Didomi (source: Didomi blog)

 

En attendant, inscrivez-vous à notre newsletter et suivez-nous sur les réseaux sociaux pour rester informés des développements de l'affaire.