IAB

Jean Delaunay

Politique de l’UE. Le modèle d’enchères publicitaires d’IAB Europe utilise des données personnelles, selon un tribunal de l’UE

Après clarification du Luxembourg, la Cour d’appel de Belgique va désormais statuer sur l’affaire.

Le modèle de publicité en ligne d’IAB Europe utilise des données personnelles et est donc soumis au Règlement général sur la protection des données (RGPD), a précisé aujourd’hui (7 mars) la plus haute juridiction de l’UE au Luxembourg.

L’arrêt de la Cour de justice de l’Union européenne (CJCE) intervient après qu’IAB Europe a contesté une décision de l’Autorité belge de protection des données en 2022, qui a déclaré que son modèle d’enchères publicitaires en temps réel n’était pas conforme aux règles de confidentialité de l’Union. La Cour d’appel de Belgique a alors demandé des éclaircissements sur la question au Luxembourg.

IAB Europe, une association représentant les sociétés de publicité et de marketing numériques, a créé un système dans lequel les courtiers et les plateformes peuvent soumissionner pour des espaces publicitaires en fonction des profils des utilisateurs de sites Web en temps réel. Il code les préférences des utilisateurs pour que l’enchérisseur sache à quoi l’utilisateur a consenti et place un cookie sur l’appareil de l’utilisateur.

L’organisme belge de protection de la vie privée a toutefois déclaré qu’IAB Europe n’avait pas fourni aux utilisateurs des informations précises sur l’utilisation de leurs données et a ordonné à l’entreprise d’établir une base juridique pour le traitement des données ainsi que de contrôler strictement les organisations qui utilisent son système d’enchères en temps réel afin de pour s’assurer qu’ils répondent aux exigences du RGPD. Elle a également condamné l’entreprise à payer une amende de 250 000 €.

La CJCE a déclaré aujourd’hui que le modèle de l’IAB « contient des informations concernant un utilisateur identifiable et constitue donc des données personnelles au sens du RGPD ».

« Lorsque les informations contenues dans une Chaîne de Transparence et de Consentement sont associées à un identifiant, tel que, entre autres, l’adresse IP de l’appareil de l’utilisateur, ces informations peuvent permettre de créer un profil de cet utilisateur et de l’identifier. », indique le communiqué.

La clarification de la CJUE signifie que l’affaire est renvoyée devant la Cour d’appel de Belgique.

Biscuits

Ce jugement intervient alors que la Commission européenne envisage de présenter un « Cookie Pledge » lors de son sommet des consommateurs en avril. Cet engagement volontaire garantirait que les utilisateurs reçoivent des informations concrètes sur la manière dont leurs données sont traitées, ainsi que sur les conséquences de l’acceptation de différents types de cookies. Les utilisateurs auraient ainsi un plus grand contrôle sur le traitement de leurs données.

La prochaine révision du RGPD, entré en vigueur en 2018, est attendue mi-2024. L’année dernière, la commission a également proposé une nouvelle loi visant à améliorer la coopération transfrontalière entre les autorités de protection des données. De nouvelles règles pour garantir une application plus stricte du RGPD (europa.eu)

L’amende la plus élevée pour non-respect du RGPD à ce jour a été infligée en Irlande ; en 2023, l’autorité irlandaise de protection des données a condamné Meta à payer une amende de 1,2 milliard d’euros pour avoir transféré vers les États-Unis les données collectées auprès des utilisateurs de Facebook dans l’UE. Meta a fait appel.

Laisser un commentaire

1 × 4 =