« Dans le monde du tracking publicitaire, si la curiosité est un vilain défaut, la discrétion est un crime bien pire. » Voilà plus de deux ans que notre cher conglomérat de suivi des pubs a été pris la main dans le sac de cookies pour atteinte à la protection des données personnelles dans notre Union Européenne, un peu comme un enfant attrapé avec le doigt dans le pot de confiture. Aujourd’hui, le complexe de surveillance data vient de recevoir une gifle magistrale : la cour suprême de l’UE a balayé les arguments de l’industrie publicitaire responsable de cet outil, confirmant que ces petits bouts de data générés en réponse aux choix de confidentialité des utilisateurs sont bel et bien des données personnelles, parce qu’ils contiennent un identifiant personnel.
La Cour de Justice de l’UE (CJEU) a également établi que l’association publicitaire responsable du développement de l’outil de gestion du consentement, IAB Europe, est considérée comme un « contrôleur conjoint », avec ses membres annonceurs. Cela veut dire qu’elle ne peut pas fuir sa responsabilité de veiller à ce que le traitement de données soit en accord avec le RGPD. La porte reste cependant ouverte à la possibilité qu’elle soit considérée comme contrôleur pour les opérations de traitement de données qui se font après que les préférences de consentement des utilisateurs soient enregistrées, si la preuve d’une influence sur les opérations de données subséquentes était trouvée.
La décision de CJEU fait suite à une série de questions d’un tribunal belge où IAB Europe a contesté la décision de février 2022 de l’autorité locale de protection des données qui avait trouvé que son « Cadre de Transparence et de Consentement » (TCF) enfreignait le RGPD.
« Cette décision pourrait sonner le glas pour les avalanches de demandes de consentement qui assaillent les utilisateurs. »
En effet, depuis que le RGPD est entré en vigueur en mai 2018, les utilisateurs web en Europe ont été bombardés par des pop-ups incessants sollicitant leur consentement pour « partager » leurs données avec une longue liste de « partenaires » publicitaires. Mais ces pop-ups n’ont jamais vraiment semblé conformes au RGPD, plutôt conçus comme des pièges à clics destinés à dissuader les utilisateurs de refuser le suivi publicitaire.
Pire encore : des recherches indépendantes ont montré des preuves que certains fournisseurs adtech connectés au TCF de l’IAB continuent de suivre et de profiler les internautes même lorsqu’ils ont explicitement refusé les publicités basées sur le suivi. Critiques qualifient toute cette approche cynique de théâtre de conformité : une tentative par l’industrie publicitaire d’échapper à la loi sur la protection des données et de continuer à pister et profiler en masse les utilisateurs du web en emballant une non-conformité systématique à l’intérieur d’un cadre standard industriel.
Malgré la position de l’IAB qui continue de contester la décision belge trouvant que le TCF enfreint le RGPD, la décision de CJEU sera prise en compte dans cette procédure. L’association avait tenté de renverser la décision belge en arguant que les chaînes TCF ne sont pas des données personnelles et en contestait la classification en tant que contrôleur conjoint. Sur les deux points, la CJEU a trouvé le contraire. Donc, les jours de l’appel de l’IAB semblent bien sombres.
Dans un communiqué publié aujourd’hui, l’IAB a reconnu la décision de la cour, se réjouissant une « clarté bien nécessaire sur les concepts de données personnelles et de contrôleurs (conjoints), qui permettront une conclusion sereine des procédures légales restantes ». Une façon plutôt originale de voir les choses, après avoir totalement perdu l’argument.
Translation : L’IAB espère gagner quelques mois de sursis avant que la cour belge ne statue sur le sort du TCF.
Tout cela dit, avec la dernière décision de la CJEU, l’industrie de la publicité basée sur la surveillance dans l’UE pourrait avoir à choisir entre une réforme ou une disparition progressive. C’est en effet un jeu de survie : reformer ou mourir. Mais en attendant, cette immense opération de spam de consentement pourrait enfin voir sa fin approcher. Soyons honnêtes, cela nous fera tous gagner un peu d’espace sur nos écrans et un peu de paix dans nos vies virtuelles.
Source : Techcrunch
