De la légalité des bannières de consentement IAB

À l'origine de cet article

Début février, les CNILs Européennes, emmenées par l'APD (la CNIL Belge), ont jugé que les bannières de consentement estampillées IAB étaient illégales. Pour rappel, l'IAB (International Advertising Bureau) est le lobby de l'adtech, et 80% des sites web Européens utilisent le protocole proposé par l'IAB Europe (le "Transparency & Consent Framework" ou TCF) pour faire fonctionner ces fameuses bannières de consentement.

J'avais déjà pu écrire sur ces bannières de consentement et leurs simulacres de légalité :

• "Le recueil du consentement sur internet : un mensonge généralisé".
• "Le Figaro, emblème du tracking publicitaire invasif des sites médias français".
• "La grande braderie de vos données personnelles sur Le Bon Coin".
• "Comment les éditeurs se moquent de la CNIL".

Même la directrice de la CNIL anglaise ne semble plus les supporter :

“I often hear people say they are tired of having to engage with so many cookie pop-ups. That fatigue is leading to people giving more personal data than they would like.

“The cookie mechanism is also far from ideal for businesses and other organisations running websites, as it is costly and it can lead to poor user experience. While I expect businesses to comply with current laws, my office is encouraging international collaboration to bring practical solutions in this area.

Pourtant, ces "bannières cookies" sont bien la création d'un lobbying intense de l'adtech, afin d'éviter la création un mécanisme de contrôle "Opt-In" au niveau du navigateur. La fatigue au consentement était prévue et voulue par l'adtech. Et la CNIL anglaise est complice de ce fiasco, comme le raconte Alexander Hanff dans l'article "The truth behind cookie banners".

Avec la décision de l'APD, est-ce la fin des bannières honnies ? Pas forcément, l'IAB Europe, ayant fait appel de la décision de l'APD. Pour rappel, voici un schéma représentant les différentes fuites de données personnelles :

Via Johnny Ryan, du temps où il travaillait chez Brave. Rendre le RTB (et le TCF de l'IAB) compatible avec le RGPD, mission impossible ?

Aussi depuis l'été dernier, j'ai une longue correspondance par e-mail avec Benoit Oberlé, CEO et cofondateur de Sirdata, trésorier de l'IAB France et Vice-Président du comité de pilotage du "Transparency & Consent Framework". Sirdata est une société intéressante à plusieurs titres : elle propose une CMP (Consent Management Platform) aux éditeurs, en version gratuite ou payante. C'est aussi un fournisseur de données contextuelles et comportementales.

Les éditeurs qui acceptent de partager la donnée personnelle des internautes ne paient d'ailleurs pas la CMP Sirdata :

Une CMP pouvant être "financée par la donnée".

Si nous avons des désaccords, Benoit a toujours pris le temps de répondre à mes questions et d'expliciter les choix de Sirdata, et à ce titre, je le remercie vivement. De nos échanges, je souhaitais écrire un article pour illustrer les choix d'une CMP utilisant le protocole de l'IAB, et la CMP Sirdata était le parfait exemple.

Sirdata sur Psychologies.com

Pour étudier la CMP Sirdata, allons sur le site Psychologies.com avec le navigateur Chrome. Nous sommes accueillis par une bannière de consentement en apparence assez classique :

À votre avis, sur quel bouton l'internaute pressé va-t-il cliquer ?

Vous noterez la mise en valeur de l'option "Tout accepter et continuer", à la différence des options "Paramétrer vos choix" et surtout "continuer sans accepter". Il s'agit d'un "Dark Pattern" adopté par de nombreux sites web français, ayant reçu la bénédiction de la CNIL.

Si vous ne prenez pas le temps de lire le texte de la bannière de consentement, vous pourriez néanmoins rater 2 informations cruciales :

• Certaines sociétés de l'adtech ne se basent pas sur votre consentement mais sur l'intérêt légitime pour traiter vos données personnelles.
• Vos choix ne s'appliquent pas seulement sur Psychologies.com mais également sur quelques 4000 autres sites web.

L'intérêt légitime comme base légale de traitements

Voici un extrait de la bannière de consentement proposé par Sirdata :

Vous pouvez [...] faire un choix plus granulaire ou vous opposer aux traitements basés sur des intérêts légitimes via l'écran de paramétrage.

Traduction : Si vous cliquez simplement sur "Continuer sans accepter", certaines sociétés adtech continueront de se baser sur l'intérêt légitime pour traiter vos données personnelles. Pour vous opposer à ces traitements basés sur des intérêts légitimes, vous devrez aller sur l'écran de paramétrage (option "Paramétrer vos choix").

Revenez donc sur la bannière de consentement pour vérifier vos choix après avoir cliqué sur "Continuer sans accepter". Pour cela, il vous faut scroller jusqu'au pied de page du site Psychologies.com, ne pas cliquer sur "Données personnelles & Cookies" mais sur "Consentement" (le lien ne paraît pas cliquable, pourtant il l'est) :

Le lien caché, pourtant "il doit être aussi simple de retirer son consentement que de le donner".

Notez l'apparition du bouton "Tout refuser et continuer" :

Puis, afin de vérifier l'effet de votre choix précédent ("Continuer sans accepter"), cliquez sur "Paramétrez vos choix". Vous verrez que les différents traitements publicitaires ne sont pas décochés, comme si vous n'aviez pas déjà choisi :

"Continuer sans accepter" ne veut donc pas dire "refuser", pourquoi ?

Suivez ensuite ces étapes :

• Développez l'option "Publicité personnalisée".
• Développez l'option "Créer un profil personnalisé de publicités".
• Notez que l'option "Pour cette activité, les partenaires suivants se reposent sur leur intérêt légitime", est pré-cochée. Développez l'option.

Vous verrez apparaître le partenaire "Sirdata Cookieless" :

"Sirdata Cookieless" apparait comme "non refusé". Vous devez donc vous opposer à l'intérêt légitime pour refuser ce traitement.

Cette option accessible via la CMP Sirdata permet au fournisseur de données comportementales Sirdata de constituer des profils publicitaires même si l'internaute n'a pas donné son consentement.

D'ailleurs, si vous décidiez de développer l'option "Pour cette activité, les partenaires suivants demandent votre consentement", vous verriez apparaitre le partenaire "Sirdata" avec la mention "non accepté" :

"Sirdata" apparait comme "non accepté". Sirdata ne peut pas se baser sur votre consentement pour créer un profil personnalisé de publicité.

Sirdata joue ainsi sur 2 tableaux pour ses traitements publicitaires (dont la création de profil personnalisé de publicité) :

• Le partenaire "Sirdata" se base sur votre consentement si vous cliquez sur "Tout accepter et continuer".
• Le partenaire "Sirdata Cookieless" se base sur son intérêt légitime si vous cliquez sur "Continuer sans accepter".

Avec consentement, Sirdata utilise des cookies et peut partager des identifiants et des segments d'audience avec les partenaires publicitaires. Sans consentement et sur la base d'un intérêt légitime, Sirdata se place en amont de la plateforme de vente (adserveur ou SSP) pour qu'elle puisse vendre des campagnes publicitaires ciblées avec de la donnée Sirdata lorsque l'utilisateur appartient au(x) bon(s) segment(s) d'audience.

Avec son offre "Cookieless", Sirdata continue de vous profiler et d'exploiter votre profil pour de la publicité personnalisée, mais le partage d'informations avec des tiers est plus limité. L'offre Sirdata est résumée ici :

Si vous cliquez sur "tout refuser", Sirdata propose de la publicité contextuelle. Au global, Sirdata juge son offre "respectueuse de la vie privée".

Afin de refuser la constitution d'un profil personnalisé de publicité Sirdata (et plus généralement, les différents traitements publicitaires des sociétés de l'adtech), il vous faudra donc lors de votre premier surf :

• Cliquez sur "Paramétrer vos choix" sur la bannière de consentement.
• Puis cliquez sur "tout refuser".

Notez qu'une option "Tout refuser et continuer" est disponible en premier niveau, mais seulement lorsque vous désirez revenir sur vos choix (si vous trouvez la fameuse option "Confidentialité" en pied de page de Psychologies.com) :

Une option que l'on aurait bien aimé voir sur la bannière de consentement initiale.

Ne refuser que la "Publicité personnalisée" n'est pas évident, un simple clic sur l'option vaudra consentement à la "Publicité personnalisée", mais aussi à la "Publicité standard" :

Un joli "Dark Pattern" repéré par @fourmeux, il vous faudra maintenant décocher les 2 options.

La publicité ciblée sans consentement basée sur l'adresse IP, une manière d'éviter la directive ePrivacy ?

Sirdata, le fournisseur de données comportementales, s'estime conforme aux réglementations européennes, ePrivacy (directive cookies) et RGPD. Quel argumentaire déploie-t-il ?

Tout d'abord, Sirdata estime que la directive ePrivacy ne s'applique pas à son offre "Cookieless" (ou "Consentless"). Son raisonnement : ePrivacy s'applique au stockage d'informations sur le terminal de l'utilisateur ou à l'accès à des informations déjà stockées sur celui-ci. Mais pour identifier les utilisateurs sans consentement, Sirdata se base uniquement sur l'adresse IP, et celle-ci n'est pas stockée sur le terminal de l'utilisateur.

Sirdata est peu explicite sur le fait que son offre "Cookieless" se sert de l'adresse IP de l'utilisateur. Mais il détaille les traitements supplémentaires effectués sur l'adresse IP sur sa page "Politique de protection des données personnelles et de la vie privée" rubrique "Lexique".

Sirdata considère qu'il applique un fingerprinting "passif" et non "actif". Le fingerprinting "passif" serait uniquement constitué de l'adresse IP, il n'implique pas d'accès au terminal. Le fingerprinting "actif" serait constitué des caractéristiques du terminal telles que le user-agent, les polices installées ou la taille écran.

Le ciblage via l'adresse IP, le dernier outil des publicitaires pour vous cibler sans consentement ?

Cette distinction entre fingerprinting "passif" (pour lequel ePrivacy ne s'appliquerait pas) et "actif" (pour lequel ePrivacy s'appliquerait) est discutable. Dans l'article 7.2 de l'Avis 9/2014 sur l’application de la directive 2002/58/CE à la capture d’empreintes numériques, du groupe de travail «Article 29» sur la protection des données, la nécessité du consentement pour de la publicité ciblée est clairement énoncée :

La capture d’empreintes numériques à des fins de publicité ciblée exige donc le consentement de l’utilisateur.

Sirdata maintient sa position : pas d'accès au terminal donc ePrivacy ne s'applique pas. Son offre ne rentre pas dans la définition de l'Avis 9/2014, qui n'est d'ailleurs pas une obligation légale.

Concernant le RGPD maintenant, comme Sirdata traite l'adresse IP de l'utilisateur, et que celle-ci est une donnée personnelle, il se doit d'avoir une base légale pour chacun de ses traitements publicitaires. Lorsque l'utilisateur n'a pas donné son consentement, il se base ainsi sur l'intérêt légitime.

À noter que Sirdata a confiance dans cet argumentaire, il le réutilise ainsi dans ses vidéos promotionnelles, exemple avec "le reciblage sans consentement" :

Sans consentement, la fête est plus folle pour l'adtech !

Sirdata propose également un produit pour rendre conforme les transferts vers Google Analytics aux USA, l'"Analytics Helper". Pour rappel, la CNIL Autrichienne et Française ont jugé les transferts de données vers Google Analytics aux USA illégaux.

Sirdata prend des précautions pour empêcher les services de renseignements US d'identifier un utilisateur via une demande à Google (anonymisation de l'IP avant envoi à Google, pseudonymisation du Client ID au niveau du proxy Sirdata). Intéressant dans le cadre de cet article, le "modèle légal de tracking" pour cet "Analytics Helper" est similaire au modèle de la CMP Sirdata :

• Si consentement, tracking habituel Google Analytics via cookies.
• Si absence de consentement, tracking Google Analytics via un fingerprint généré par Sirdata et "uniquement" basé sur votre adresse IP, avec pour base légale l'intérêt légitime.
• Si absence de consentement et opposition à l'intérêt légitime, pas de tracking Google Analytics.

Le Sirdata Helper est un produit ingénieux, mais sera-t-il suffisant pour rendre les transferts de données vers Google Analytics aux USA conformes ? La question reste ouverte comme je le détaille sur ce thread.

L'intérêt légitime pour de la publicité ciblée

Il paraît compliqué pour Sirdata fournisseur de données comportementales de se baser sur l'intérêt légitime pour de la publicité ciblée. Et notamment concernant le critère de mise en balance : la question est de savoir si les intérêts poursuivis par les fournisseurs adtech l'emportent sur les libertés et droits fondamentaux des personnes concernées.

L'APD mentionne notamment l'avis 03/2013 du Groupe de travail Article 29, l'ancien nom de l'EDPB (« European Data Protection Board »), pré-RGPD :

En outre, l'EDPB indique que l'intérêt légitime ne constitue pas une base juridique suffisante dans le contexte du marketing direct mettant en œuvre de la publicité comportementale [...] (460)

Groupe de travail Article 29 - Avis 03/2013 sur la limitation de la finalité (WP 203), 2 avril 2013 : « le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi ».

Pour plus de détails, vous pourrez également lire la plainte de La Quadrature du Net contre Amazon pour violation du RGPD, à savoir pour l'absence de base légale concernant la publicité ciblée.

Après le consentement et le contrat, La Quadrature du Net étudie de manière impitoyable l'intérêt légitime comme base légale potentielle (points 36 à 50). Pour l'association de défense et de promotion des droits et libertés sur Internet, cette base légale ne peut fonctionner pour de la publicité ciblée (62). La CNIL Luxembourgeoise a validé son analyse, avec une amende record de 746 millions € contre Amazon.

La Quadrature du Net contre les GAFAM, malheureusement la CNIL est aux abonnés absents.

Quelques extraits de la plainte de La Quadrature :

C’est la voie que prend le G29 dans l’annexe II de son avis 03/2013, sur le Big Data et l’Open Data : « un consentement préalable libre, spécifique, informé et indubitable devrait presque toujours être requis » dès lors qu’une « organisation souhaite spécifiquement analyser ou prédire les préférences personnelles, le comportement et les attitudes de clients individuels, qui serviront ensuite à guider des “mesures ou décisions” prises à l’égard de ces clients ». (47)

Il donne comme exemple de telles « mesures et décisions » la diffusion « de réductions personnalisées, d’offres spéciales et de publicités ciblées à partir du profil du client ». (49)

Le G29 conclut clairement que le « consentement devrait surtout être requis, par exemple, pour le traçage et le profilage à des fins de prospection directe, de publicité comportementale, de courtage en informations, de publicités fondées sur la localisation ou d’étude de marché numérique fondée sur le traçage ». (50)

Avec Benoit, nous avons donc posé la question de l'intérêt légitime pour de la publicité ciblée à la CNIL l'été dernier (2021), sans réponse.

Vos choix s'appliquent sur une coopérative de 4000 sites

Voici un autre extrait de la bannière de consentement proposé par Sirdata (sur Chrome à minima, car sur Safari, du fait du blocage des cookies tiers, la coopérative de sites est désactivée) :

Vos choix s'appliqueront sur ces sites et dans leurs emails pendant 6 mois, et nous ne vous solliciterons plus avant demain.

Lorsque vous cliquez sur "sites", vous atterrissez sur une nouvelle page d'information, directement sur le site Sirdata. Il vous faut encore cliquer sur "Cliquez ici" en bas de page pour découvrir les sites de la coopérative Sirdata :

Vous retrouverez alors l'ensemble des sites de la coopérative Sirdata, 130 pages paginées, sans option d'export :

Ces sites ont fait le choix de participer à la coopérative de consentement Sirdata (qu'ils utilisent la CMP Sirdata en version gratuite ou payante d'ailleurs).

Alors, est-ce légal ? Selon Sirdata, oui car l'internaute reçoit de l'information en premier niveau. Libre à lui de creuser, et d'aller consulter la liste complète des sites web. Sirdata s'appuie aussi sur cette FAQ de la CNIL :

Il est néanmoins probable que la CNIL n'avait pas prévu ce cas-là, la question 21 faisant probablement référence aux responsables de traitement du site web consulté par l'utilisateur (les partenaires publicitaires), et non à d'autres sites web que l'utilisateur ne consulte pas. Sirdata argumente que ce choix est bénéfique à l'utilisateur en ce sens qu'il réduit la fatigue des bannières de consentement. Encore faut-il que ce choix soit éclairé.

Avec Benoit, nous avons également posé la question de la légalité de ce "choix groupé" à la CNIL l'été dernier (2021), sans réponse.

La coopérative Sirdata, une CMP sous contraintes

La participation d'un site web à la coopérative Sirdata impose certaines contraintes aux bannières de consentement :

• Pour les utilisateurs situés sur le territoire français, Sirdata impose le fameux "Dark Pattern" validé par la CNIL.
• Lorsque l'utilisateur revient sur ses choix, un bouton "Tout refuser et continuer" est disponible.
• L'option "Tout refuser" n'est par contre pas disponible sur la bannière de consentement initiale.
• Le nombre de partenaires publicitaires ne peut dépasser 200 (il y a plus de 1000 sociétés publicitaires dans le TCF, sans compter les partenaires publicitaires qui ne font pas partie de TCF et que Google décide d'intégrer via son "Mode Consentement supplémentaire").

S'il n'est pas sur Safari, les choix de l'utilisateur sont donc appliqués à l'ensemble des sites de la coopérative Sirdata. À noter qu'à la différence de certains de ses concurrents, afficher un mécanisme de "refus" au premier niveau ("Continuer sans accepter" ou "Tout refuser") est systématique si l'utilisateur est basé en France. Ceci est valable pour tous les clients Sirdata, payant ou non et adhérant ou non à la coopérative.

Sirdata évite ainsi les interfaces "non conformes", sans bouton "Refuser" ou "Continuer sans accepter".

Sirdata et l'illégalité du TCF

Dans sa communication, Sirdata indique que les éditeurs faisant partie de sa coopérative ne sont pas concernés par la décision de l'APD. Pour les éditeurs qui payent la CMP de Sirdata, il suffirait de ne pas activer l'ensemble des partenaires publicitaires pour ne pas être concerné par la décision. Voici le message de Sirdata à ses clients :

De manière générale, les éditeurs ayant suivi nos conseils ne sont pas en situation de risque en raison de ce jugement et n’ont pas de données à supprimer, pas plus que leurs partenaires, ni l’obligation de “poper” à nouveau pour recueillir un nouveau consentement.

Reprenons quelques éléments de la décision de l'APD. Tout d'abord, l'APD considère que la chaîne de caractères permettant le stockage et la transmission des préférences de l'utilisateur (TC String) est une donnée personnelle. Elle est en effet associée à l'adresse IP de l'utilisateur (à laquelle les CMP ont accès), cette chaîne de caractères détermine également les futurs traitements publicitaires de multiples sociétés adtech. Sirdata l'explique très bien :

L’APD confirme donc que le choix — la TC String — en lui-même ne permet pas d'identifier directement des personnes ou des dispositifs mais que, dès lors que le choix est stocké sur le dispositif de l'utilisateur, une CMP a la possibilité d’attribuer un identifiant unique à cette TC String, c'est-à-dire l'adresse IP du dispositif sur lequel il est stocké. La possibilité de combiner la TC String et l'adresse IP implique selon elle qu'il s'agit d'informations concernant un utilisateur identifiable.

L'APD distingue ainsi 2 types de traitements :

• La capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (via la chaîne de caractères TC String).
• La capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

En ce qui concerne la licéité et la loyauté du traitement, la Chambre Contentieuse distingue deux activités de traitement : d'une part, la saisie proprement dite du signal de consentement, des objections et des préférences des utilisateurs dans la TC String par les CMP (a), et, d'autre part, la collecte et la diffusion des données à caractère personnel des utilisateurs par les organisations participantes (b). (403)

Autre point important, l'APD considère que les CMP sont bien co-responsables de traitements, pour ces 2 types de traitements :

Cela amène la Chambre Contentieuse à conclure que la défenderesse ainsi que les CMP, les publishers et les fournisseurs adtech participants doivent être considérés comme des responsables conjoints du traitement pour ce qui concerne la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, ainsi que pour le traitement ultérieur de leurs données à caractère personnel. (402)

Sur la CMP Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Démarrons par une clarification de Benoit :

Quand Sirdata agit en tant que CMP, elle capture la TC String et l'envoie vers sa base de données de stockage de la preuve du consentement et de sa validité. Elle ne l'envoie à personne d'autre, et seuls ces traitements s'appuient sur l'obligation légale. La CMP ne transmet pas la string à des Vendors Tiers : les Vendors peuvent y accéder de manière active via une API exposée sur la page mais la CMP de la "dissémine" pas.

S'il n'y a pas "dissémination" de la TC String par la CMP Sirdata, le fait d'exposer la chaîne de caractères via une API permet effectivement sa dissémination ultérieure.

Pour le premier type de traitement (capture et exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs), Sirdata en tant que CMP n'a pas indiqué sur quelle base légale il souhaitait s'appuyer. En effet, avant la décision de l'APD, l'IAB Europe considérait que la TC String n'était pas une donnée personnelle. Hors, nous avons vu que la TC String était bien une donnée personnelle, mais aussi que les CMP étaient co-responsables de traitement.

Ainsi les CMP doivent déclarer une base légale pour ce traitement de données personnelles. Si l'on étudie Sirdata :

• Le consentement n'est actuellement pas une base légale valable. Sirdata stocke la chaîne de consentement TC String dans le local storage dès l'affichage de la bannière de consentement, et ne demande donc pas son avis à l'utilisateur. Après refus de consentement, la TC String est stockée dans le cookie euconsent-v2.
• L'intérêt légitime n'est actuellement pas valable non plus selon l'APD, car l'utilisateur n'a aucun moyen de s'opposer au stockage de cette donnée personnelle : "À cet égard, la Chambre Contentieuse trouve remarquable qu'aucune option ne soit offerte aux utilisateurs pour s'opposer complètement au traitement de leurs préférences dans le cadre du TCF. Quel que soit leur choix, la CMP générera une TC String avant de la lier au User ID unique de l'utilisateur, par le biais d'un cookie euconsent-v2 placé sur l'appareil de la personne concernée." (421). L'APD note que ce traitement ne passerait pas le test de "mise en balance" au vu du nombre considérable de sociétés adtech récupérant cette donnée, et du peu de contrôle donné à l'utilisateur (423).

Avant toute interaction avec la bannière de consentement Sirdata, la chaîne TC String est stockée avec la clé sddan:cmp sur le local storage de mon navigateur.

D'après la décision de l'APD, la CMP Sirdata ne semble pas avoir de base légale pour la capture et l'exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs. Mais après discussions avec Benoit, je comprends que Sirdata s'appuie en fait sur une autre base légale pour la capture et l'exposition du signal TC String, l'obligation légale.

L'obligation légale comme base légale de traitement ?

L'information comme quoi la CMP Sirdata s'appuie sur l'obligation légale comme base de traitement pour la capture et l'exposition du signal TC String est absente de la bannière de consentement de Sirdata et elle n'est pas mentionnée dans l'article de Sirdata qui revient sur la décision de l'APD. Cependant, elle est indiqué dans les CGU de la CMP Sirdata :

9.5. The TC string and strictly necessary data, such as the date of the last prompt used to limit subsequent prompts, will be stored on the user's device, in local storage, in a cookie named euconsent-v2 which can be used as a first party cookie or a third party cookie linked to the domain name consentframework.com. The Parties agree that, in accordance with CNIL Deliberation n°2020-092 of September 17, 2020 adopting a recommendation proposing practical modalities of compliance in the event of recourse to "cookies and other tracers" the storage of or access to this data in the terminal is not subject to prior consent, and if the TC String and the necessary data are considered personal data, the processing will be carried out by Sirdata as a data processor acting on behalf of You, data controller on the basis of the legal obligation under GDPR.

D'après l'APD, Sirdata n'est pas un simple sous-traitant mais bien co-responsable de traitement. Ceci-dit, cela n'impacte pas la base légale invoquée par Sirdata, l'obligation légale. L'argumentaire de Sirdata pour se baser sur l'obligation légale est le suivant : l’éditeur et ses partenaires doivent légalement faire la preuve d'un consentement, se souvenir d'un refus/retrait de consentement et mémoriser l'opposition pour ne pas "harceler" l'utilisateur.

Il est dommage que l'IAB Europe et l'APD n'ait pas discuté de cette base légale de traitement, il nous manque une décision juridique pour savoir si cette base légale tient vraiment.

Sirdata invoque la délibération n°2020-092 du 17 septembre 2020 de la CNIL (modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs"), mais celle-ci propose seulement un nommage du traceur permettant de stocker le choix des utilisateurs :

54. Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs eu-consent, en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

La délibération n° 2020-091 du 17 septembre 2020 (lignes directrices "cookies et autres traceurs") porte sur l'exemption de consentement concernant le choix exprimé par les utilisateurs sur le dépôt des traceurs :

49. En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés :
    • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
    • [...]

Mais la CNIL ne parle pas de base légale de traitement pour le RGPD, encore moins d'une quelconque obligation légale comme base légale. Une lecture attentive du texte de la CNIL sur l'obligation légale pose d'autres questions :

• L'obligation légale doit être prévue dans le cadre juridique national ou européen. Sur quel texte légal Sirdata peut-il alors s'appuyer ?
• Le responsable du traitement souhaitant se fonder sur cette base légale ne doit pas avoir le choix de se conformer ou non à l’obligation (nécessité).
• En particulier, l'organisme doit s'assurer qu'il n'existe pas de moyen moins intrusif d'atteindre cet objectif.

Hors, Sirdata pourrait très bien ajouter un paramètre opt-in aux appels vers sa CMP. Si appel à https://sirdata...?opt-in=0, alors pas de création de la TC String, et donc pas d'appel aux partenaires adtech. L'obligation légale ne semble donc pas nécessaire.

La CMP Sirdata pourrait s'appuyer sur l'intérêt légitime comme base légale de traitement de la TC String (via le paramètre opt-in, l'utilisateur pourrait s'opposer au stockage de la TC String). Encore faudrait-il passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Ici, Sirdata argumentera qu'en limitant le nombre de partenaires dans sa coopérative à 200 maximum, le jugement de l'APD ne s'applique pas.

Pour le partenaire publicitaire Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Rappelez-vous, Sirdata opère en tant que CMP, mais il opère aussi en tant que fournisseur de données contextuelles et comportementales. Dans ce rôle, Sirdata capture et dissémine la TC String. Reprenons les explications de Benoit :

Quand Sirdata agit en tant que Vendor s'appuyant sur le consentement (Vendor "Sirdata"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base du consentement et nous vérifions si l'entité à qui nous nous apprêtons à l'envoyer a le droit de la recevoir. Quand Sirdata agit en tant que Vendor s'appuyant sur l'intérêt légitime (Vendor "Sirdata cookieless"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base d'un intérêt légitime et nous ne transmettons pas cette donnée.

Pour le futur, et précisément à cause de l'APD, nous allons changer la base légale du traitement de la TC String en tant que Vendor, afin de pouvoir transmettre un retrait de consentement : nous nous appuierons bientôt uniquement sur l'intérêt légitime (mais uniquement pour la TC String utilisée dans ce cadre).

Le même commentaire semble ici s'appliquer : il faudra passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Sirdata pourra probablement argumenter que lorsqu'il agit en tant que partenaire publicitaire ("Vendor"), il transmet la TC String à un nombre limité de partenaires.

Nous avons précédemment étudié les potentielles bases légales pour le premier type de traitements indiqué par l'APD : la capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (côté Sirdata CMP, mais aussi côté Sirdata "Vendor"). Passons maintenant au deuxième type de traitements : la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

L'intérêt légitime comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Pour rappel, ici nous ne parlons plus de capture ou de dissémination de la TC String mais bien des différents traitements publicitaires effectués avec vos données personnelles :

Les finalités telles que définies dans la v2 du TCF, notez l'exception de la finalité "Stocker et/ou accéder aux informations d'un appareil", ne pouvant s'appuyer que sur votre consentement.

Étudions la décision de l'APD concernant l'intérêt légitime pour des traitements publicitaires dans le cadre du TCF. Ces traitements incluent donc la publicité ciblée, mais pas seulement. Le recours à l'intérêt légitime comme base légale de traitement est soumis à 3 conditions :

• Il doit être "légitime" : l'APD n'a pas d'opinion sur la question de savoir si l'intérêt économique d'un acteur de l'adtech à effectuer des traitements publicitaires est légitime. Mais cette condition n'est déjà pas remplie car l'APD considère que les traitements publicitaires ne sont pas assez spécifiquement décrits dans le cadre du TCF (452).
• Il doit satisfaire à la condition de "nécessité" : l'APD considère que cette condition n'est pas remplie car dans le cadre du RTB (Real-Time Bidding, enchères publicitaires en temps-réel), il n'y a aucune protection contre la dissémination d'informations personnelles (456).
• Il ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées : selon l'APD, le nombre important d'acteurs publicitaires est problématique, ainsi que les nombreuses informations transmises dans le cadre d'une enchère publicitaire. L'APD cite également l'EDBP (le Comité européen de la protection des données) et l'ICO (la CNIL anglaise), jugeant tout deux que l'intérêt légitime n'est pas une base légale valide de traitement pour la publicité ciblée, notamment dans le cadre du RTB (460).

Lisons par exemple l'avis de l'EDBP :

Le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi.

Et voici la décision de l'APD :

À la lumière des considérations susmentionnées, la Chambre Contentieuse estime que l'intérêt légitime des organisations participantes ne peut être considéré comme une base juridique adéquate pour les activités de traitement effectuées selon le protocole OpenRTB, conformément aux préférences et aux choix des utilisateurs saisis dans le cadre du TCF.

L'analyse de Sirdata maintenant : ce jugement ne s'applique pas au TCF dans sa globalité, mais seulement aux traitements liés au RTB. Par exemple, cela ne concerne pas le profilage effectué par Sirdata via son offre "Cookieless", qui a lieu en amont des échanges RTB, et n'entraîne pas de partage d'identifiants et de segments d'audience avec des partenaires publicitaires. Et donc la CMP Sirdata peut continuer à proposer à ses partenaires l'intérêt légitime comme base légale d'un traitement.

On pourra ici noter que sans même parler du RTB, l'intérêt légitime ne passe déjà pas le test de légitimité. Pour approfondir, vous pouvez lire le papier de Célestin Matte, Cristiana Santos et Nataliia Bielova, "Purposes in IAB Europe's TCF: which legal basis and how are they used by advertisers?". Celui-ci étudie chaque finalité, indépendamment des éventuels traitements liés au RTB, mais la conclusion reste la même pour l'intérêt légitime, cette base légale ne tient pas :

La nouvelle version du TCF détaille mieux les finalités, mais l'intérêt légitime ne serait toujours pas valide.

Même si ce papier est très solide, Sirdata pourra argumenter qu'il manque une décision légale sur la validité de l'intérêt légitime via le TCF, hors protocole OpenRTB. Le TCF est certes lié au protocole OpenRTB comme l'indique l'APD :

La Chambre Contentieuse constate que l'argument de la défenderesse ne peut être suivi, étant donné que la défenderesse indique à plusieurs reprises dans ses conclusions que la raison d'être du TCF est précisément de mettre les traitements de données à caractère personnel fondés sur le protocole OpenRTB, entre autres, en conformité avec la réglementation applicable, en ce compris le RGPD et la directive ePrivacy. Bien que la Chambre Contentieuse comprenne que le TCF puisse également être utilisé par les publishers pour d'autres applications, en collaboration ou non avec les CMP, il est également certain que le TCF n'a jamais été conçu pour être un écosystème autonome et indépendant. (368)

Mais le TCF est également utilisé hors OpenRTB, argument que pourra ressortir Sirdata pour maintenir la base légale "intérêt légitime" dans sa CMP. Avec donc son propre exemple : en l'absence de consentement, l'utilisation de l'intérêt légitime pour de la publicité ciblée basée sur l'adresse IP, techniquement hors RTB (en amont de celui-ci).

Le consentement comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Nous avons vu précédemment que l'intérêt légitime n'était pas une base légale valide pour les traitements de données personnelles dans l'OpenRTB telles que facilitées par le TCF, à fortiori pour les traitements relatifs à la publicité ciblée. L'APD détaille également pourquoi le consentement n'est pas une base légale valide pour les traitements de données personnelles.

L'argumentaire de Sirdata pour échapper à cette décision est alors le suivant (que ce soit pour l'intérêt légitime ou pour le consentement). Dans le cadre de sa coopérative, la CMP Sirdata va plus loin que le TCF lorsqu'il est implémenté à minima, avec notamment une meilleure hiérarchisation des données, une meilleure information et surtout une limitation du nombre de partenaires.

Sirdata est toutefois parfaitement consciente que le TCF n’a jamais eu vocation à garantir à lui tout seul une conformité au RGPD. Sirdata CMP implémente donc ce standard comme d’autres, et apporte en complément des mesures additionnelles et règles spécifiques permettant un respect des réglementations locales et régionales bien au-delà de ce que requiert le TCF.

Nous pourrions souligner que l'absence de base légale de traitement est loin d'être la seule violation du RGPD pointée par l'APD, et qu'il ne suffit pas de mieux adresser un des problèmes pour être conforme.

Ce à quoi Sirdata répondra qu'il n'est pas nécessairement conforme, mais qu'il faudrait une nouvelle analyse d'une Autorité de protection des données afin de déterminer la validité, qui s'apprécie au cas par cas. Il pourra notamment citer ce passage de la décision de l'APD :

Il convient également de noter que les CMP ont une grande marge d'appréciation en ce qui concerne l'interface qu'elles offrent aux utilisateurs. En effet, les TCF Policies n'imposent que des exigences d’interface minimales aux CMP participantes, avec pour conséquence qu'en pratique, les interfaces et le respect des principes d'équité et de transparence peuvent varier considérablement selon la CMP avec laquelle les publishers de sites web et d'applications collaborent. (381)

Ce passage de l'analyse de l'APD relevait la responsabilité conjointe des CMP concernant les finalités et les moyens du traitement des données personnelles. Étudions plutôt certaines des "mesures additionnelles" et "règles spécifiques" avancées par Sirdata.

Regrouper des finalités afin de ne pas être concerné par la décision de l'APD ?

Pour l'APD, le consentement n'est pas une base légale valide :

Le consentement n'est pas une base valide pour les opérations de traitement dans l'OpenRTB telles que facilitées par le TCF. (428) La Chambre Contentieuse estime que le consentement recueilli par les CMP et les publishers dans la version actuelle du TCF est insuffisamment libre, spécifique, éclairé et dénué d’ambiguïté. (432)

L'APD constate notamment que les finalités de traitement proposées ne sont pas décrites de manière suffisamment claire, et dans certains cas, sont même trompeuses :

À titre d'exemple, la Chambre Contentieuse constate que les finalités 8 (« Measure content performance ») et 9 (« Apply market research to generate audience insights ») fournissent peu ou pas d'indications sur la portée du traitement, la nature des données à caractère personnel traitées, ou encore la durée de conservation des données à caractère personnel collectées tant que l'utilisateur ne retire pas son consentement. (433)

Ce à quoi Sirdata indique avoir déjà répondu, via notamment le regroupement de ces 2 finalités sous le chapeau "Mesure d'audience" :

Sirdata précise sur son blog :

Pour permettre un consentement éclairé, en second niveau les “purposes” du TCF sont regroupées sous des finalités “chapeau” définies par la CNIL dans sa Recommandation Traceurs du 17 septembre 2021, telles que la “publicité ciblée” ou la “mesure d’audience”.

Sauf que ces finalités publicitaires sont en réalité très différentes de la mesure d'audience et de la fréquentation d'un site, telle que peut l'effectuer un outil tel que Google Analytics, AT Internet ou Matomo. En général, il s'agit plutôt de traitements effectués par des outils de panel et d'analyse de marché tels que des Nielsen ou autres Comscore. Ainsi par ce regroupement, Sirdata apporte de la confusion à des finalités déjà existantes.

Différents modes d'accès aux pages de vie privée des partenaires afin de ne pas être concerné par la décision de l'APD ?

Autre point sur lequel Sirdata déclare aller "plus loin que le TCF", et ainsi échapper à la décision de l'APD, l'accès à l'information sur les opérations de traitement spécifiques de chaque fournisseur adtech. Voici un passage de la décision de l'APD :

En outre, les informations que les CMP fournissent aux utilisateurs demeurent trop générales pour refléter les opérations de traitement spécifiques de chaque fournisseur adtech, ce qui empêche la nécessaire granularité du consentement. (436)

Que fait donc Sirdata ? Voici ce qu'il déclare :

L’information obligatoire dans le cadre du TCF est en effet un socle commun brut insuffisant : Sirdata et ses clients vont bien au-delà.

En plus de refléter les mentions obligatoires du TCF, l’UI de Sirdata CMP apporte un éclairage additionnel sur les données traitées et la finalité de ces traitements, et en hiérarchise l’information pour une compréhension et un contrôle utilisateur facilités.

Une partie de l’information est disponible en premier niveau, une autre, comme la liste des destinataires, l’est aisément en second niveau, et l’accès aux informations additionnelles comme les conditions d’exercice des droits est accessible via des liens vers les pages de Vie Privée.

En pratique, lorsque vous zoomez sur une finalité via la bannière de consentement, vous pouvez afficher la liste des partenaires. Si vous cliquez sur un des partenaires, vous aurez alors un lien vers sa page "vie privée" :

Le partenaire "Sirdata Cookieless", qui se base sur l'intérêt légitime pour créer un profil personnalisé de publicités.

On peut noter que ce lien vers la page "vie privée" est déjà imposé par le TCF de l'IAB :

When making use of a so-called layered approach, a secondary layer must be provided that allows the user to: review the list of named Vendors, their Purposes, Special Purposes, Features, Special Features, associated Legal Bases, and a link to each Vendor’s privacy policy.

Mais Sirdata indique aller plus loin que certaines CMP, qui n'imposent pas de pouvoir lister les partenaires à partir d'une finalité donnée. Nous pouvons voir la différence avec le site de L'Express, qui utilise la CMP de Didomi :

Je ne peux pas développer "Intérêt légitime", je ne peux voir que Sirdata s'appuie sur cette base légale pour "Créer un profil personnalisé de publicité".

Mais la vue "Partenaires" permet bien de lister les différents partenaires et de présenter un lien vers la page de vie privée de chaque partenaire :

Pour "Créer un profil personnalisé de publicité" sur L'Express avec la CMP de Didomi, Sirdata s'appuie également sur l'intérêt légitime, via le fameux partenaire "Sirdata Cookieless".

Pour Sirdata, la "meilleure" hiérarchisation des informations de sa CMP ne la rend pas forcément licite, mais suppose une nouvelle décision de l'APD afin de juger de sa licéité.

Limiter le nombre de partenaires afin de ne pas être concerné par la décision de l'APD ?

Principal argument de Sirdata, la décision de l'APD ne s'appliquerait pas à Sirdata, car celui-ci impose un choix de partenaires à ses clients, avec une limite à 200 partenaires pour sa coopérative (hors coopérative, il n'y a pas de limite).

Dans le cadre de la coopérative de choix qu’elle gère, Sirdata va même jusqu’à imposer un plafond de 200 partenaires, très loin des 2000 partenaires potentiels du TCF et du réseau de consentement géré par Google en complément — “AC Mode” —.

De tels garde-fous permettent d’éviter les traitements à grande échelle des préférences des utilisateurs — collectées sous le TCF — dans le cadre du protocole open RTB : selon l’APD les intérêts des personnes concernées ne l’emportent sur l'intérêt légitime des organisations participant au TCF que lorsque ces dernières sont toutes sélectionnées.

Mais dans la décision de l'APD, nulle mention d'un intérêt légitime des organisations qui l'emporterait sur les intérêts des personnes concernées si ces dernières ne sont pas toutes sélectionnées... Sirdata déclare néanmoins s'appuyer sur cet extrait :

Bien que les TCF Policies interdisent aux CMP d'accorder une préférence à certains fournisseurs adtech de la Global Vendors List, et qu'ils sont donc en principe tenus de présenter aux utilisateurs tous les fournisseurs inscrits au TCF, sauf instruction contraire des publishers, quelques auteurs notent qu'un certain nombre de CMP ne respectent pas cette exigence. Soit parce que les CMP imposent aux publishers des fournisseurs présélectionnés, soit parce qu’elles leur refusent la possibilité de déroger à la liste complète des fournisseurs adtech, proposée par défaut. (380)

Ce passage est là pour expliquer pourquoi les CMP doivent être tenus pour co-responsables de traitement, et non pour indiquer une quelconque problématique d'un nombre trop grand de partenaires. Aussi, l'IAB Europe n'impose pas de présenter la liste complète, mais seulement de ne pas discriminer un partenaire en particulier :

In any interaction with the Framework, a CMP may not exclude, discriminate against, or give preferential treatment to a Vendor except pursuant to explicit instructions from the Publisher involved in that interaction and in accordance with the Specifications and the Policies.

Le raisonnement de Sirdata est le suivant :

• Dans le cadre du TCF, nous sommes tenus de présenter tous les fournisseurs par défaut (ce n'est pas une "obligation", comme le montre le document de l'IAB Europe).
• Cette présentation n'est pas valable selon l'APD (Sirdata interprète le "en principe" de l'APD comme une obligation).
• Nous ne respectons pas cette "obligation" du TCF, car nous imposons aux clients de choisir leurs partenaires (200 maximum sous peine de ne pouvoir faire partie de la coopérative, une trentaine par défaut).
• Et donc la décision de l'APD ne nous concerne pas.

Mais Sirdata suit bien les recommandations de l'IAB Europe car il ne discrimine pas de partenaire en particulier. On peut néanmoins retrouver un autre argument lié au nombre de partenaires dans la décision de l'APD :

En particulier, les destinataires pour lesquels le consentement est recueilli sont si nombreux que les utilisateurs auraient besoin d'un temps disproportionné pour lire ces informations, ce qui signifie que leur consentement peut rarement être suffisamment éclairé. (435)

Pour Sirdata, le fait d'imposer le choix des partenaires (avec plafond à 200 partenaires) ne rend pas nécessairement sa CMP licite, mais une autre évaluation d'une Autorité de régulation serait nécessaire.

L'illégalité des bannières de consentement de l'IAB ne concerne pas que la base légale de traitement

Via cet article, nous n'avons pu qu'effleurer les problèmes posées par les bannières de consentement de l'IAB. Sirdata indique que le fait d'aller "plus loin" que l'implémentation "à minima" du TCF permettrait à ses clients de continuer le "business as usual" avec sa CMP. Cependant, l'illégalité du TCF est systémique, continuer de s'appuyer dessus est légalement risqué. Aussi, faire évoluer le TCF pour le rendre licite ne sera pas facile, le mécanisme même du RTB paraissant irréconciliable avec le RGPD, notamment au regard de la sécurité des données personnelles.

Voici un résumé des infractions au RGPD, dans cet article de l'ICCL (Irish Council for Civil Liberties, l'organisme où travaille maintenant Johnny Ryan) sur la décision de l'APD :

Quelques adaptations pourraient rendre le TCF légal ?

Vous pourrez approfondir le sujet via la lecture de ces papiers :

• "An Unending Data Breach Immune to Audit? Can the TCF and RTB Be Reconciled with the GDPR?", de Johnny Ryan et Cristiana Santos.
• "Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?", de Michael Veale, Midas Nouwens et Cristiana Santos.

Et en regardant cette présentation de Robin Berjon, "Consent of the Governed".

Vers un internet sans surveillance imposée, et sans bannière de consentement

Charge aux CNILs Européennes de s'appuyer sur cette importante décision de l'APD pour correctement sanctionner les différents intervenants (CMP, éditeurs, partenaires publicitaires) et interdire la fuite massive de données personnelles via le RTB. Une interdiction de la publicité ciblée serait appréciée, et pas simplement pour les mineurs, comme le propose le DSA. À minima, la CNIL pourrait se prononcer plus clairement sur la publicité ciblée basée sur l'intérêt légitime.

Aussi, ces bannières de consentement ne devraient pas exister, l'utilisateur devrait être en mesure d'accepter ou de refuser le tracking de l'industrie publicitaire directement via les réglages de son navigateur (opt-in), sur le modèle de ce qu'Apple propose déjà via son système ATT. Et à ce titre, des initiatives comme le Global Privacy Control (GPC) ou le Advanced Data Protection Control (ADPC) méritent d'être développées et soutenues par la loi.