L’Autorité de Protection des Données (APD) en Belgique sanctionne les pratiques standardisées concernant la publicité ciblée en ligne
Communiqué de l’APD, 02 février 2022
APD, ch.contentieuse, Décision sur le fond 21/2022 du 2 février 2022
Après les sanctions par la CNIL de Google à hauteur de 150 millions d’euros et de Facebook à hauteur de 60 millions d’euros en décembre 2021, l’Autorité de Protection des Données (APD), autorité de contrôle en Belgique, se prononce sur la conformité des pratiques standardisées relatives aux cookies et le traitement des données qui y est associé au regard des règles de protection des données.
Prise en concertation avec ses homologues européens, dans cette décision aux fortes implications sur les pratiques de publicité ciblée en ligne, la Chambre contentieuse a sanctionné l’association IAB Europe, à l’origine du Transparency and Consent Framework (TCF), que l’on peut traduire par Cadre de transparence et de consentement. Ce standard en matière de cookies et autres traceurs irrigue les pratiques de la publicité dite « programmatique ».
L’APD vient notamment constater le défaut de bases légales des finalités définies par l’IAB Europe ainsi que le manque de transparence des informations en ce qui concerne l’enregistrement, la collecte et la transmission des données de préférences des utilisateurs sur les traitements qui les concernent quand ils se connectent à un site internet, ou utilisent une application mobile impliquant des traceurs.
Quelles sont les conséquences pour les éditeurs de site internet et la monétisation de leurs sites ?
Cette décision semble s’inscrire pleinement dans la lignée des décisions de la Cour de Justice (Wirtschaftsakademie, 5 juin 2018, C-210/16 ; Fashion ID, 29 juill 2019, aff. C-40/17), et dans une moindre mesure celles du Conseil d’Etat (Editions Croque Futur, 6 juin 2018, n°412589) et de la CNIL (27 juill. 2021, Délibération SAN-2021-013) en France. Dans la mesure où l’enregistrement, la collecte et la transmission des données impliquent une responsabilité de traitement conjointe de la part des différents acteurs intervenant dans le cadre du TCF, cette décision pointe vers une responsabilité des sites internet.
Comme l’avait précisé la CNIL, dans la mesure où un publisher « ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs », il lui revient de « décider si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre. ».
Quoiqu’il en soit, la mécanique des CMP affichées depuis leur site ou applications n’est pas fondamentalement remise en cause dans l’écosystème de la publicité en ligne. Toutefois, elles nécessiteront la divulgation d’informations complémentaires et la présentation de nouvelles bases légales pour légitimer les traitements de données personnelles qui en résultent.
Quel est le montant de l’amende et quelles sont les mesures correctives ?
L’APD a infligé une amende de 250.000€, ce qui représente environ 10% du chiffre d’affaires annuel de l’association (2 471 467€ en 2020).
Une astreinte de 5.000€ par jour de retard sera également due si l’IAB :
Ne présente pas un plan d’actions correctives dans les deux mois suivant la décision. Ce plan d’actions devra faire l’objet d’une validation par l’APD ;
Ne met pas en œuvre les mesures correctives dans les six mois après la validation du plan d’actions par l’APD.
Le Board de l’IAB Europe a annoncé le 11 février dernier interjeter appel de la décision de l’APD devant la Cour des Marchés belge. L’IAB France a également déclaré soutenir cette démarche tout en souhaitant reprendre ses discussions avec la CNIL en vue de l’approbation du TCF, vraisemblablement dans une version corrigée, en tant que code de conduite transnational.
Il convient de souligner que la décision rendue par l’APD a été examinée dans le cadre du mécanisme de guichet unique prévu par le RGPD pour les traitements transfrontaliers. Le projet de décision a été soumis, et sa version finale approuvée par toutes les autorités locales de protection concernées représentant la plupart des 30 pays de l’Espace Economique Européen.
