Breaking News - Le cadre IAB / TCF est-il illégal ?
Cette décision a tout pour plaire - un vrai - dur - coup de massue pour l'industrie AdTech et pour tous les clients qui utilisent le framework TCF. L'ADP (Autorité de protection des données) belge - qui est l'autorité de protection des données compétente pour l'IAB - a déclaré, dans une décision attendue depuis longtemps, que toute l'infrastructure de l'IAB / TFC Framework et toutes les données collectées jusqu'à présent étaient en infraction avec le RGPD. L'IAB encaisse à cette occasion une amende de 250.000 euros et tous les partenaires doivent supprimer toutes les données collectées jusqu'à présent.
Remarque : ce problème ne concerne que les clients qui utilisent le framework TCF !
Comment puis-je savoir si TCF est actif chez nous ?
C'est très simple - il suffit d'aller dans l'administration du CCM19 - là, dans votre domaine et ensuite sur le point "Framework IAB (TCFv2)" comme vous pouvez le voir sur la capture d'écran. Ce n'est que si la coche encadrée en rouge est verte que vous utilisez TCF.
Et ici encore, une remarque explicite : le CCM19 n'est pas basé sur TCF - TCF est un module supplémentaire activable au sein du système CCM19. Vous POUVEZ activer TCF, mais ce n'est pas obligatoire, et le CCM19 fonctionne parfaitement SANS TCF.
Décision avec effet immédiat
Cette décision est applicable immédiatement et dans toute l'UE ! La décision a été prise conformément au principe du "guichet unique" du RGPD et s'applique donc immédiatement et partout dans l'UE.
"Le traitement des données à caractère personnel (par exemple, la collecte des préférences des utilisateurs) dans le cadre de la version actuelle du TCF n'est pas compatible avec le RGPD, car il est contraire aux principes d'équité et de légalité", citation de Hielke Hijmans, président de la chambre de recours de l'Autorité.
La décision dans la presse
Voici quelques liens vers les commentaires de la presse sur cette décision.
- Article chez heise.de "... La norme centrale pour les bannières de cookies est illégale"
- Netzpolitik.org "Un élément important pour les bannières de cookies est illégal"
- Techcrunch - en anglais
Contexte - qu'est-ce que le framework TCF ?
En principe, le système de publicité ciblée dans le cadre du TCF Framework fonctionne de la manière suivante : Chaque visite d'un visiteur sur un site Web participant au cadre TCF entraîne une vente aux enchères entre les fournisseurs de publicités.
En l'espace de quelques millisecondes, il est décidé, sur la base d'un profil détaillé des visiteurs, quelle publicité ils verront. C'est ce qu'on appelle le Real-Time-Bidding (RTB) - enchérir en temps réel. Pour que cela fonctionne bien, les fournisseurs doivent en savoir le plus possible sur les visiteurs : L'âge, le sexe, les sites web visités, les intérêts, le lieu de résidence, le pouvoir d'achat supposé, etc. ne sont que quelques-uns des critères. Toutes ces informations constituent le profil d'un visiteur, qui peut être aussi détaillé que souhaité.
Le cadre de transparence et de consentement de l'IAB Europe est utilisé pour communiquer ces profils. Lorsque les visiteurs cliquent sur le bouton "Accepter les cookies" ou ne s'y opposent tout simplement pas, le cadre TCF génère ce que l'on appelle la chaîne TC. La chaîne TC sert de base à la création des profils individuels susmentionnés et aux enchères auxquelles participent des milliers de partenaires internationaux.
Ces violations ont été constatées.
Les violations suivantes du RGPD ont été documentées et dénoncées.
- Articles 5.1.a et 6 (licéité du traitement ; équité et transparence)
- Articles 12, 13 et 14 (transparence)
- Articles 24, 25, 5.1.f et 32 (sécurité du traitement ; intégrité des données à caractère personnel ; protection des données par la technologie et les paramètres par défaut respectueux de la vie privée)
- Article 30 (registre des activités de traitement) ;
- Article 35 (analyse d'impact sur les données) ;
- Article 37 (désignation d'un délégué à la protection des données).
Et encore beaucoup d'autres détails divers. En conclusion, ces problèmes ne peuvent pas être résolus avec la structure actuelle du cadre TCF
Que fait l'IAB ?
Elle a réagi "avec détermination" en publiant d'abord un communiqué de presse dans lequel elle écrit qu'elle envisage des options juridiques et qu'elle se réjouit de travailler avec l'ADP à l'élaboration d'une version conforme du cadre TCF dans les six prochains mois.
Il est également écrit que l'on estime que le framework TCF n'a pas été interdit
C'est certainement vrai sous cette forme, mais l'utilisation sous sa forme actuelle n'est pas conforme au RGPD et constitue donc un très gros problème pour les utilisateurs de ce framework ! L'IAB doit alors accepter la critique de savoir pourquoi elle n'a pas agi au cours des dernières années, lorsque ce processus était en cours. Pour les six prochains mois au moins, tout le monde est donc suspendu en l'air, car il n'existe pas de structure solide et conforme au RGPD.
Officiellement, l'IAB Europe dispose de deux mois après cette décision pour présenter un plan d'action montrant comment elle va se conformer à la décision de l'autorité, et de six mois pour l'exécuter de manière satisfaisante.
Euwens - CEO de CCM19 : "Nous voulons continuer à travailler avec l'IAB, cela s'est toujours très bien passé au niveau technique et de la communication. Mais s'il vous plaît, livrez une construction fiable qui soit viable, que nous puissions également communiquer à nos clients"
Quelles sont les conséquences pour le CCM19 et pour vous en tant qu'utilisateur du framework IAB / TCF ?
En tant que CMP, cette décision nous place également devant un grand défi - comment pouvons-nous mettre à la disposition de nos clients une bannière de contenu TCF conforme au RGPD si la base qui doit être utilisée obligatoirement n'est pas conforme au RGPD ? Cela ne sera pas possible sous cette forme, l'IAB nous laisse clairement sur le carreau, nous et tous les clients qui utilisent le framework TCF.
Rassurant pour tous les clients qui n'utilisent PAS le TCF, mais seulement les bannières standard : cela ne les concerne pas.
Il n'est pas encore possible de prévoir clairement quelles seront les autres conséquences détaillées de cette décision, mais elles seront énormes. Mais à l'heure actuelle, il est définitivement clair que continuer à utiliser le framework TCF sous cette forme est contraire au RGPD. L'IAB n'offre toutefois aucune possibilité de changer cela. Il n'existe aucune forme du cadre TCF qui soit conforme au RGPD à l'heure actuelle. La question de savoir s'il y en aura un à l'avenir reste ouverte. Nous espérons que l'industrie AdTech réfléchira à un concept fonctionnel en collaboration avec l'IAZ
La technique existe, y compris de notre côté. Alors, IAB - get your job done !
Dans notre interface, la prochaine mise à jour d'aujourd'hui comportera une indication de cette situation, comme on peut le voir ici sur la capture d'écran.
Que pouvez-vous faire / Quelles sont les options d'action ?
En principe, il y a deux options pour gérer la situation :
- Vous pouvez bien sûr continuer à faire fonctionner cela, mais vous devez être conscient des risques. Tous les processus qui nécessitent exclusivement la chaîne TC ne peuvent plus être utilisés aujourd'hui, car ils ne sont pas conformes au RGPD. L'ensemble de la construction IAB / TCF en fait donc partie. C'est à vous de décider si vous voulez vous y tenir, nous ne pouvons évidemment pas le recommander.
- Si vous utilisez des processus qui ne requièrent pas obligatoirement un TCF, vous pouvez les utiliser comme des embeddings normaux, il suffit de veiller à ce qu'ils soient correctement décrits. Vous êtes ainsi en sécurité.
Nous sommes bien sûr conscients des énormes ressources économiques liées à cette situation, mais comme nous ne représentons en fin de compte que le masque pour la manipulation du framework TCF qui :
- Est imposé à 100% par l'IAB - aucune dérogation n'est autorisée
- Est donc plus ou moins identique chez tous les fournisseurs de CMP
nous ne pouvons pas vraiment exercer d'influence sur ce point, c'est à l'industrie AdTech d'agir en collaboration avec l'IAB, et ce dans les plus brefs délais.
Nous souhaitons continuer à collaborer avec l'IAB, cela s'est toujours très bien passé sur le plan technique et de la communication. Mais s'il vous plaît, livrez une construction fiable qui soit viable à l'avenir.
Bon exemple de Google Adsense
Google présuppose en fait l'utilisation de la chaîne TC. Si vous ne l'utilisez pas ou pas correctement, les messages d'erreur et les menaces de blocage du compte par Google pleuvent. Les annonces ont tout de même été diffusées et, à notre connaissance, il n'y a pas encore eu de blocage pour cette raison. Il est probable / espéré qu'un changement de position de la part de Google interviendra prochainement. Si vous utilisez actuellement Google Adsense, vous devez donc avoir les nerfs solides.
Quel est votre avis sur la question ? Faites-le nous savoir.