L’Interactive Advertising Bureau (IAB) continue de faire pression pour l’approbation d’un code de conduite sur son cadre de transparence et de consentement (TCF), malgré un récent rapport de l’autorité de régulation belge, qui affirme que cela porterait atteinte au GDPR.
Qu’est-ce que le TCF et quels sont les développements qui ont été faits ?
Townsend Feehan, directeur général de l’IAB Europe, a révélé que des progrès ont été réalisés pour que le TCF soit approuvé en tant que code de conduite par une autorité de protection des données. Le TCF est couramment utilisé pour gérer le consentement des utilisateurs à la publicité ciblée et reçoit le soutien d’acteurs influents du secteur tels que Google. Bien que l’IAB ne se soit pas encore formellement rapproché d’une autorité de protection des données, il a rédigé un « document de présentation sophistiqué » qui en est actuellement à un stade plus avancé.
Étant donné que l’IAB est réglementé par l’autorité belge de protection des données, il sera très probablement le régulateur de choix de l’IAB.
Si le TCF est approuvé en tant que code de conduite, les règles et les lignes directrices du cadre seraient approuvées à l’avance par l’autorité et pourraient éventuellement fournir une solution pour des transferts internationaux de données beaucoup plus faciles.
Pourquoi l’autorité belge de protection des données a-t-elle créé un rapport pour l’IAB ?
Les projets de l’IAB ont toutefois été récemment remis en question par un rapport de l’autorité belge de régulation. Ce rapport est la conséquence d’une série de plaintes déposées auprès de diverses autorités de protection des données en Europe par des militants de la vie privée.
Johnny Ryan, senior fellow du Conseil irlandais pour les libertés civiles et l’une des personnes ayant déposé des plaintes, a déclaré que le régulateur belge a créé un rapport préliminaire qui conclut que le contenu du TCF est gravement contraire à la GDPR. Il cite le rapport en indiquant que l’approche adoptée par IAB Europe « néglige les risques qui auraient un impact sur les droits et libertés des personnes concernées » et qu’il y a un manque de « règles adéquates pour le traitement de catégories spéciales de données personnelles ».
Il poursuit en précisant que le rapport indique que la division du régulateur belge qui a produit ledit rapport, est d’avis qu’IAB Europe tente d’éviter toute responsabilité au titre de la GDPR, ce qui constituerait une « circonstance aggravante ».
Le 20 octobre, un porte-parole du régulateur belge a confirmé que le rapport resterait confidentiel et qu’il serait transmis à la Chambre du contentieux pour évaluer le cas de l’IAB sur le fond.
Comment l’IAB prévoit-il d’aller de l’avant ?
Malgré le rapport, le porte-parole de l’IAB Europe a indiqué que le groupe continuera à travailler à l’approbation d’un code de conduite, précisant que, le rapport provenant d’une seule autorité, l’IAB doit maintenir un engagement étroit avec les régulateurs afin que le cadre soit pleinement compris.
IAB Europe a également fourni une déclaration séparée contestant l’interprétation de la loi par le régulateur, qui considère IAB Europe comme un contrôleur de données dans le contexte de la mise en œuvre du TCF. L’IAB fait valoir que si l’interprétation est confirmée, elle entraverait le développement de « normes de conformité open-source » qui aideraient les acteurs du secteur et assureraient la protection des consommateurs.
De plus, l’IAB Europe a nommé Thomas Adhumeau, avocat général de S4M (une société de technologie publicitaire), comme président du groupe de travail de l’IAB chargé de fournir des informations sur le TCF lors des réunions avec les régulateurs européens. S4M a déclaré que l’approbation du code de conduite pour le TCF « reste l’objectif ».
Comme le montrent les documents obtenus en octobre dernier, l’IAB a eu plusieurs réunions avec le bureau du commissaire à l’information britannique (ICO) concernant le TCF, qui n’ont finalement pas abouti, car aucun accord n’a été conclu sur la base légale du traitement des données des cookies.
Le cadre a été publié, en dépit des préoccupations de l’ICO. L’IAB a alors justifié sa décision par le fait qu’il représente de nombreuses organisations à travers l’UE et qu’il avait rencontré d’autres autorités européennes de protection des données.