Articles
Actus Privacy
Le TCF est-il illégal ? Analyse rationnelle de la situation entre l’IAB Europe et l’APD belge (mai 2025)
Actus Privacy
new

Le TCF est-il illégal ? Analyse rationnelle de la situation entre l’IAB Europe et l’APD belge (mai 2025)

Publié  

5/16/2025

par 

Thierry Maout

7
min lecture

Published  

May 16, 2025

by 

Thierry Maout

10 min read
Sommaire

Le 14 mai 2025, la Cour des marchés belge a rendu sa décision concernant l’IAB Europe et le TCF, répondant ainsi à certaines questions sur cette affaire.

Nous avons couvert cette saga en profondeur et suivi de près son évolution depuis la décision initiale de l’APD. En tant que fournisseur de CMP et acteur clé de l’écosystème de la Privacy, cette décision est essentielle pour nous et nos clients. Notre objectif reste le même : décrypter l’actualité pour la rendre accessible et claire.

Avant d’entrer dans le détail, une précision importante : malgré les affirmations que l’on peut lire en ligne, cette décision ne déclare pas le TCF illégal. Lisez la suite pour une analyse détaillée de la situation, les actions à entreprendre si vous utilisez le framework, et une meilleure compréhension des subtilités de la décision.

IAB Europe vs l’APD belge : historique et contexte

La saga entre l’Interactive Advertising Bureau (IAB) Europe et l’Autorité de Protection des Données (APD) belge remonte à 2018, avec les plaintes du Conseil irlandais pour les libertés civiles autour du real-time bidding (RTB).

Ces plaintes ont mené à une décision de l’APD en février 2022, qui estimait que le Transparency and Consent Framework (TCF) de l’IAB Europe présentait des lacunes importantes. D’après l’APD :

  • La TC String peut être considérée comme une donnée personnelle nécessitant une base légale (consentement, intérêt légitime, etc.).
  • L’IAB Europe serait responsable de traitement de ces données, même s’il ne traite pas lui-même les informations de consentement.
  • L’IAB Europe serait également co-responsable de traitement avec les participants du TCF (partenaires, CMP, éditeurs). En conséquence, l’APD a estimé qu’aucune base légale n’était établie pour le traitement de la TC String.
  • Les mesures de sécurité mises en place pour garantir l’intégrité du signal de consentement pourraient être insuffisantes.

En conséquence, l’IAB Europe a été sommée de mettre le TCF en conformité, accompagnée d’une amende de 250 000 €. L’organisation a fait appel et publié la version 2.2 du TCF pour répondre à certaines préoccupations.

En mars 2024, la Cour de justice de l’Union européenne (CJUE) a apporté son éclairage en précisant que la TC String pouvait bien être une donnée personnelle, et qu’un organisme fixant des standards comme l’IAB Europe pouvait être co-responsable s’il influence le traitement, même sans accès direct aux données.

Fort de ces éléments, la Cour des marchés belge a rendu sa décision finale le 15 mai.

Mai 2025 : comprendre la décision de la Cour des marchés sur l’IAB Europe et le TCF

La Cour des marchés belge a rendu sa décision finale en mai, s’appuyant sur les précisions de la CJUE. Elle a annulé la décision initiale de l’APD pour des raisons procédurales, mais a confirmé l’essentiel des constats matériels de l’APD :

  • La TC String est considérée comme une donnée personnelle.
  • L’IAB Europe est co-responsable de traitement pour ces données, spécifiquement dans le cadre du système TCF (mais pas des opérations ultérieures dans le protocole OpenRTB).
  • L’absence de base légale, le manque de transparence et les mesures de sécurité insuffisantes ont été confirmés comme des violations du RGPD, liées au rôle de l’IAB Europe en tant que co-responsable de traitement pour le TCF.
  • L’amende de 250 000 € a été confirmée.

Quelles sont les prochaines étapes ?

La Cour des marchés a validé les principaux constats juridiques à l’encontre de l’IAB Europe dans la gestion du TCF, précisant les responsabilités spécifiques de l’IAB dans le cadre du framework. Même si la décision initiale a été annulée pour des raisons de procédure, l’affaire ne retourne pas à l’APD : la Cour s’est prononcée sur le fond.

L’action demandée à l’IAB Europe pour résoudre les problèmes identifiés autour du TCF reste donc d’actualité.

Certaines mesures ont déjà été mises en œuvre, et la décision guidera les prochaines étapes, avec l’objectif de rendre la version actuelle du TCF juridiquement conforme, contrairement à la version de 2022 auditée par l’APD.

À ce stade, l’histoire n’est pas encore terminée.

Que signifie cette décision pour les organisations utilisant le TCF ?

Les décisions comme celle-ci peuvent être clivantes, ce qui n’est pas nouveau dans l’histoire du TCF. Suite à la décision, et en attendant les prochaines, les implications pour les organisations qui utilisent le TCF continuent d’être analysées, comme expliqué par notre Chief Privacy Officer :

« Si certaines inquiétudes sont compréhensibles, l’IAB n’est pas insatisfait de cette décision. À ce stade, nous estimons que rien dans le jugement ne déclare le TCF illégal. De ce que nous voyons, cette décision ne marque pas un changement radical. »

Thomas Adhumeau, Chief Privacy Officer chez Didomi

Que signifie cette nouvelle décision si vous êtes client CMP chez Didomi ?

L’équipe Didomi analyse actuellement en détail la décision pour en comprendre les implications concrètes, en discutant avec les parties concernées. Cependant :

  • Si vous utilisez le TCF, soyez rassuré : de nombreuses améliorations (comme celles intégrées dans la version 2.2 du TCF) ont déjà été implementées suite aux observations de l’APD. D’autres évolutions continueront d’être intégrées à notre roadmap produit. Aucun changement supplémentaire n’est nécessaire pour le moment.
  • Si vous n’utilisez pas le TCF, la flexibilité de notre plateforme vous permet de continuer ainsi, sans contrainte.

Nos solutions sont 100 % personnalisables et, surtout, conformes à la législation. Pour garantir cette conformité, nous collaborons avec des cabinets d’avocats et des acteurs de l’industrie, et nous faisons certifier notre entreprise et nos produits.

La décision de la Cour des marchés belge apporte plus de clarté sur les rôles et responsabilités dans l’écosystème TCF. Mais elle s’inscrit dans un processus juridique encore en cours. Nous vous tiendrons informés de la suite.

Foire aux questions (FAQ)

Le TCF est-il illégal ?

Non, la décision de mai 2025 de la Cour des marchés belge ne déclare pas illégal le Transparency and Consent Framework (TCF).

Puis-je toujours utiliser le TCF après la décision de mai 2025 ?

Oui. La décision met l'accent sur les obligations d'IAB Europe en tant que responsable conjoint du traitement et sur la nécessité d'améliorer la transparence, la base juridique et la sécurité. Si vous utilisez le TCF v2.2, vous bénéficiez déjà de nombreuses améliorations attendues par les régulateurs.

Dois-je arrêter d'utiliser le TCF et passer à un autre framework ?

Le TCF reste largement utilisé et est activement mis à jour pour répondre aux attentes légales. Il n'est pas nécessaire de changer de framework à la suite de cette décision. Assurez-vous plutôt que votre implémentation actuelle est à jour (TCF v2.2), que vos bases juridiques sont bien définies et que vos pratiques en matière de consentement sont transparentes et sécurisées.

Comment Didomi réagit-il à cette décision ?

Chez Didomi, nous suivons la situation de près et collaborons avec des experts juridiques et des parties prenantes du secteur pour évaluer les implications. Notre CMP a déjà intégré de nombreuses améliorations décrites dans le TCF v2.2, et nous continuerons d'évoluer en fonction des directives réglementaires.

Que vous utilisiez le TCF ou non, notre plateforme reste entièrement conforme, flexible et sécurisée.

L'auteur
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Voir les contributions

Articles reliés

Actus Privacy
Google Chrome conserve finalement les cookies tiers : Que faut-il en retenir ?
April 29, 2025
Lire l'article
Actus Privacy
Le retrait du consentement : l’enjeu sous-jacent de la décision de la CNIL dans l’affaire Orange
January 24, 2025
Lire l'article
Actus Privacy
Tendances privacy en 2025 : les prédictions de notre équipe
January 14, 2025
Lire l'article
Actus Privacy
AdTech : l'importance cruciale de surveiller la conformité de ses partenaires
December 11, 2024
Lire l'article
Actus Privacy
Applications Mobiles : Comprendre les recommandations de la CNIL (2024)
October 24, 2024
Lire l'article
Actus Privacy
Le futur du consentement utilisateur : Notre discussion avec Max Schrems
October 15, 2024
Lire l'article