Non, le Transparency and Consent Framework (TCF), un standard élaboré par l’Interactive Advertising Bureau (IAB) Europe, n’a pas été déclaré illégal par la Cour des marchés contrairement à ce que certains avancent. Le verdict, rendu par la juridiction d’appel belge le 14 mai 2025, doit être beaucoup plus nuancée.
ADP versus l’IAB Europe
La Cour des marchés était chargée de trancher un litige opposant l’Autorité de protection (ADP), l’équivalent belge de la Commission nationale de l’informatique et des libertés (Cnil), à l’IAB Europe, l’association représentant le secteur de la publicité numérique. La première avait condamné la deuxième à une amende de 250 000 euros, en février 2022, jugeant que le TCF était contraire au Règlement général sur la protection des données (RGPD) et que l’IAB Europe était responsable du traitement. L’ADP lui avait donné deux mois pour présenter un plan visant à mettre ses activités en conformité.
La décision de la Cnil belge bousculait largement le secteur de la publicité numérique. En effet, le TCF est un standard de recueil du consentement sur lequel sont basées ce que l’on appelle les fenêtres contextuelles, ou “pop-up”, qu’utilisent un très grand nombre de sites web. Développé par l’IAB Europe, une organisation de lobbying regroupant la majorité des acteurs de la publicité sur Internet, il vise à favoriser le respect du RGPD par les acteurs utilisant le protocole OpenRTB.
OpenRTB est l’un des protocoles les plus utilisés pour le “Real-Time Bidding”, c’est-à-dire les enchères en ligne automatisées et instantanées des profils utilisateurs pour la vente et l’achat d’espaces publicitaires sur Internet. En pratique, lorsque des utilisateurs accèdent à un site Internet ou à une application qui contient un espace publicitaire, les entreprises technologiques, qui représentent des milliers d’annonceurs, peuvent enchérir instantanément “en coulisse” pour cet espace publicitaire via ce système automatisé d’enchères afin d’afficher des publicités ciblées spécifiquement adaptées au profil de ces personnes.
Lorsque des internautes visitent un site web ou utilisent une application pour la première fois, une plateforme de gestion du consentement (Consent Management platform ou CMP) fait apparaître une fenêtre leur permettant de consentir à la collecte et au partage de leurs données ou de s’opposer à différents types de traitements. C’est là qu’intervient le TCF : il facilite l’enregistrement des préférences des utilisateurs via la CMP. Ces dernières sont “codées” et stockées dans une “TC string” qui sera partagée avec les acteurs participant au système OpenRTB.
Est-ce que la TC String est une donnée personnelle ?
Face à la complexité du sujet, la Cour des marchés avait saisi la Cour de justice de l’Union européenne pour lui demander son interprétation de plusieurs dispositions du RGPD. La juridiction européenne a rendu sa décision le 7 mars 2024 : elle confirmait que la “TC String” constituait bien une donnée personnelle, et que l’IAB Europe pouvait être qualifiée de responsable du traitement dans le cadre de son TCF.
La Cour des marchés, appliquant l’interprétation de la CJUE, a confirmé l’amende de 250 000 euros infligée à l’IAB Europe. En effet, elle estime que le TC String est une donnée personnelle au sens du RGPD et que l’IAB Europe agit en tant que responsable du traitement concernant les préférences des utilisateurs dans le cadre du TCF. En revanche, pour des raisons procédurales, la décision initiale de la Cnil belge est annulée.
La responsabilité d’IAB Europe limitée
Plus précisément, la Cour d’appel a rejeté les conclusions de l’APD selon lesquelles l’IAB Europe agit en tant que responsable du traitement (conjoint) pour les traitements effectués entièrement dans le cadre du protocole OpenRTB. Sa responsabilité est limitée à la création et l’utilisation des TC Strings par les éditeurs et les vendors. Elle n’est pas étendue aux traitements ultérieurs opérés par des tiers.
“Cette décision ouvre désormais la voie à l’adoption du Transparency & Consent Framework (TCF) en tant que code de conduite transnational, au bénéfice des consommateurs, des entreprises et des autorités de régulation. Nous sommes confiants que cette démarche sera accueillie favorablement par les autorités de protection des données et invitons la Cnil à y prendre part activement“, a réagi l’Alliance Digitale, l’organisation professionnelle française qui représente les acteurs du marketing digital, née en 2022 de la fusion entre l’IAB France et la Mobile Marketing Association France.
Sélectionné pour vous
