Par une récente décision en date du 02 février 2022, l’Autorité de protection des données belge a sanctionné le standard pour la publicité en ligne « Transparency and Consent Framework » (TCF) pour plusieurs manquements au Règlement Général sur la Protection des Données (RGPD) [1].
Cette décision risque de provoquer d’importantes conséquences dans le domaine de la protection des données personnelles et de la publicité en ligne dans la mesure où une grande partie des sites internet utilise le TCF.
Quel organisme sanctionné ?
Le TCF est le standard de recueil du consentement proposé par l’IAB Europe (Internet Advertising Bureau), organisation de lobbying sanctionnée par l’Autorité de protection des données belge. Ce standard définit les modalités du recueil du consentement et apporte des solutions dans le but de délivrer à tous les acteurs de la chaîne publicitaire la transparence et l’information quant au statut du consentement. Il permet en outre de faciliter l’enregistrement des préférences des internautes d’un site internet [2]. L’IAB Europe est en l’espèce l’acteur qualifié de responsable de traitement par l’autorité belge.
Quels manquements au RGPD constatés ?
L’Autorité de protection des données belge a relevé plusieurs manquements au RGPD justifiant une sanction adressée à l’IAB Europe. D’une part, elle a constaté que l’information relative à la protection des données manquait de précisions, ce qui empêchait les internautes de comprendre aisément la nature et la portée du traitement. D’autre part, elle a relevé qu’aucune base légale ne justifiait de manière suffisante la mise en œuvre de celui-ci. De plus, l’autorité belge a considéré que le contrôle de la validité et de l’intégrité des choix des internautes ainsi que l’effectivité de l’exercice de leurs droits n’étaient pas garantis par des mesures techniques et organisationnelles adéquates. Enfin, d’autres manquements ont été constatés : registre des activités de traitement non tenu, analyse d’impact relative à la protection des données non réalisée, DPO non désigné.
Quelles sanctions prononcées ?
Alors que l’IAB Europe s’était défendu et avait tenté de rassurer, l’Autorité de protection des données belge a infligé une amende de 250 000 euros et laissé deux mois au responsable de traitement pour proposer des actions destinées à mettre ses pratiques en conformité avec le RGPD. Cette affaire est donc à suivre puisque l’organisation de lobbying peut parfaitement faire appel de cette décision.
Pour en savoir plus :
[1]https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-21-2022.pdf
[2]https://www.cnil.fr/fr/definition/transparency-and-consent-framework-tcf
