Shutterstock
En coulisse
4130

Consentement sans contrôle : pourquoi les bannières de cookies échouent-elles ?

Florian Bodoky
21/5/2025
Traduction: Aglaë Goubi

Après plusieurs années de litiges devant les tribunaux, il est désormais clair que le Cadre de Transparence et de Consentement enfreint le règlement général sur la protection des données de l’UE. Il ne suffit pas de cliquer sur « OK » dans une bannière de cookies pour que les données soient traitées comme le font de nombreuses entreprises.

Le débat sur ce que l’on appelle le Cadre de Transparence et de Consentement (en anglais « Transparency and Consent Framework » ou TCF) a tenu en haleine les différents militantes et militants, entreprises et autorités de la protection des données en Europe pendant des années. Dès 2022, le Conseil irlandais pour les libertés civiles (ICCL) (en anglais) a déposé une plainte auprès de l’autorité belge chargée de la protection des données. Selon lui, le TCF permet des violations systématiques du règlement général sur la protection des données (RGPD).

Johnny Ryan était le principal instigateur de la plainte.
Johnny Ryan était le principal instigateur de la plainte.
Source : iccl.ie

Une décision qui fait désormais jurisprudence (en anglais) a été rendue à Bruxelles : la Cour d’appel belge a donné raison aux défenseuses et défenseurs de la protection des données sur des points essentiels qui ont surtout confirmé que la chaîne TC stockait des « données à caractère personnel au sens du règlement général sur la protection des données (RGPD) ». Le tribunal suit ainsi l’avis de la Cour de justice de l’Union européenne (CJUE), qui s’était déjà prononcée sur cette question en 2024. Il est peu probable que les bannières de cookies disparaissent de sitôt. Néanmoins, ce jugement pourrait bouleverser le système de la publicité numérique en Europe.

Qu’est-ce que le TCF ?

Le Cadre de Transparence et de Consentement a été lancé par l’association publicitaire IAB Europe. Il permet aux annonceurs de recueillir les consentements des utilisatrices et utilisateurs pour le traitement des données et de les transmettre en temps réel à d’autres annonceurs. La chaîne TC joue ici un rôle clé. Il s’agit d’une chaîne de caractères qui enregistre tous les consentements qu’un utilisateur ou une utilisatrice a donnés (ou refusés). Elle est générée par des plateformes de gestion du consentement et enregistrée avec les cookies dans le navigateur de l’internaute. La chaîne est ensuite réutilisée au sein du réseau publicitaire par d’autres entreprises de technologie publicitaire.

Celles-ci fonctionnent à leur tour avec un système d’enchères en temps réel. Il s’agit d’un processus au cours duquel, en l’espace de quelques millisecondes, des espaces publicitaires sont mis aux enchères sur des sites Internet. Celui qui s’impose est généralement celui dont la publicité correspond le mieux au profil de l’utilisatrice ou de l’utilisateur qui se trouve sur le site Internet. C’est pourquoi vous pouvez voir une publicité différente de la mienne même si nous consultons les mêmes sites. Le profil d’un internaute se compose des informations contenues dans cette même chaîne TC. Plus il y a d’infos dedans, plus l’espace publicitaire a de la valeur pour les annonceurs.

De tels espaces publicitaires sont attribués en quelques millisecondes.
De tels espaces publicitaires sont attribués en quelques millisecondes.
Source : Florian Bodoky

Quel est le problème ?

Les défenseurs de la vie privée critiquent depuis longtemps plusieurs aspects. D’une part, le manque de transparence du système. Les consommateurs et consommatrices ordinaires ne peuvent généralement pas comprendre quelles données les concernant sont traitées et dans quel but. Un contrôle efficace des consentements n’est pas possible parce que vous ne pouvez pas vraiment comprendre à quoi vous consentez lorsque vous cliquez sur « Tout accepter » dans la bannière de cookies.

Dans un écosystème où les données sont transmises en une fraction de seconde à des centaines d’acteurs, le principe du « consentement éclairé » semble plus une fiction qu’une réalité. La question cruciale était de savoir si les données stockées dans une chaîne de caractères TC étaient des données à caractère personnel. Le tribunal répond par l’affirmative à cette question.

Il en résulte que le TCF enfreint certains articles du RGPD :

Article 5, paragraphe 1, points a et b

  • La collecte et l’utilisation des chaînes de caractères TC ne sont souvent pas compréhensibles pour les utilisatrices et utilisateurs.
  • Souvent, vous ne pouvez pas savoir quelles données sont transmises à qui, ce qui viole le principe de transparence.
  • Les finalités du traitement des données sont souvent formulées de manière trop générale ou peu claire.
  • Les internautes ne peuvent pas donner leur consentement de manière différenciée, par exemple c’est possible pour la publicité, mais pas pour le tracking à des fins d’étude de marché.

Article 6, paragraphe 1, point a

  • Le traitement des données à caractère personnel n’est autorisé qu’avec un consentement valable.
  • Les chaînes TC peuvent aussi avoir été forcées par des bannières de cookies non transparentes ou des plateformes malveillantes.

Article 7 paragraphe 1

  • Le simple stockage d’une chaîne de caractères TC ne suffit pas à prouver un consentement valable.
  • Il manque souvent des informations sur la date, la manière et les personnes qui ont donné leur consentement.

Qui est coupable et quelles sont les conséquences pour les coupables ?

À l’origine, l’IAB Europe, créateur du TCF, était considéré comme responsable de cette débâcle en matière de protection des données. Ce n’est pas tout à fait vrai, comme le constate désormais la Cour d’appel belge : certes, la cour considère que l’auteur joue le rôle de « responsable conjoint », mais uniquement pour la collecte et la gestion des consentements au sein du système. Les plateformes de gestion du consentement et les annonceurs respectifs seraient également responsables du traitement ultérieur des données, jusqu’à la diffusion de la publicité.

Selon le RGPD (article 26), le terme « responsabilité conjointe » signifie que plusieurs parties sont conjointement responsables de certaines étapes du processus de traitement. Ils décident ensemble des finalités et des moyens à mettre en œuvre pour le traitement des données. Il faut définir clairement qui remplit quelles tâches, car les utilisateurs doivent avoir un interlocuteur concret pour pouvoir faire valoir leurs droits.

Townsend Feehan, PDG d’IAB Europe, n’est pas mécontente de ce jugement.
Townsend Feehan, PDG d’IAB Europe, n’est pas mécontente de ce jugement.
Source : iebeurope.com

La sanction actuellement prononcée se concentre sur une amende de 250 000 euros infligée à IAB Europe. Cette amende a toutefois été suspendue, car IAB Europe a déjà développé une version révisée du TCF. Cette version 2.2 (en anglais) doit corriger les points critiqués. L’« intérêt légitime », qui était jusqu’à présent avancé comme base juridique pour la publicité personnelle, disparaît. Il s’agit en outre d’accroître la transparence et d’améliorer la compréhension. L’autorité de protection des données a accepté ce principe.

Toutefois, ce jugement pourrait avoir d’autres conséquences. Après tout, une grande partie des sites Internet européens utilisent le TCF. Cela signifie qu’un très grand nombre d’internautes sont concernés par un traitement illicite des données, la question d’éventuelles demandes d’indemnisation se pose en conséquence. Celles-ci devraient toutefois revenir aux annonceurs qui ont travaillé avec ces données sans base légale.

Et maintenant ?

Cette décision constitue un tournant. La question se pose maintenant de savoir comment procéder, le défi étant de créer des solutions techniques répondant aux exigences du RGPD. La protection des données « by design » et « by default », c’est-à-dire la protection des données dès la conception, doit être assurée pour être conforme au RGPD. La nouvelle version du TCF est une étape clé de l’IAB Europe.

Il est probable que les bannières de cookies ne disparaissent pas de sitôt.
Il est probable que les bannières de cookies ne disparaissent pas de sitôt.
Source : DSGVO-Team.de

Qu’est-ce que cela signifie pour la Suisse ?

La décision du tribunal belge n’a pas d’effet juridique direct. La Suisse est soumise à sa propre loi sur la protection des données, qui s’applique indépendamment du RGPD. Toutefois, les entreprises suisses, par exemple, doivent rendre leurs sites Internet conformes au RGPD si elles s’adressent à des utilisatrices et utilisateurs dans l’UE, si elles font de la publicité sur des sites Internet de l’UE ou si elles traitent des données de citoyennes et citoyens de l’UE. Dans le cas contraire, les autorités européennes risquent d’appliquer des sanctions. Et bien sûr, les autorités de protection des données peuvent s’inspirer de ce jugement lorsqu’il s’agit de vérifier la conformité du TCF avec leur propre loi sur la protection des données.

Photo d’en-tête : Shutterstock

Cet article plaît à 41 personne(s)

User Avatar
User Avatar
Florian Bodoky
Editor
Florian.Bodoky@digitecgalaxus.ch

Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu. 

Sécurité
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

  • En coulisse

    Révision de l’OSCPT : le Conseil fédéral veut faire passer la surveillance par voie d’ordonnance

    par Florian Bodoky

  • En coulisse

    Contre les fake news et autres : qu'est-ce que le Digital Services Act ?

    par Florian Bodoky

  • En coulisse

    Microtransactions dans les jeux : nous vous expliquons les nouvelles directives de l’UE

    par Florian Bodoky

30 commentaires

Avatar
later