L’APD va-t-elle sonner le glas du tracking publicitaire en ligne ?

La légalité du RTB est actuellement remise en cause devant l’Autorité de protection des données belge. Afin de savoir si le RTB est compatible avec le RGPD, il faut d’abord savoir comment il fonctionne.

De quoi s’agit-il exactement et quelles sont les questions juridiques qui se posent ?

Qu’est-ce que le RTB ?

Les termes « enchères en temps réel » ou « Real time bidding » (« RTB ») en anglais, désignent un processus de marketing en ligne fort répandu. C’est ce système qui définit quelles publicités seront affichées lorsqu’un internaute visite une page internet.

Ce mécanisme est pourtant très peu connu du grand public.

Qui sont les différents acteurs du RTB ?

Le RTB permet à un annonceur d’enchérir afin d’obtenir, s’il est le plus offrant, un emplacement pour son annonce sur un site internet, en fonction du visiteur du site.

L’enchère en temps réel nécessite l’intervention de quatre catégories différentes d’acteurs :

1)         Les internautes qui se connectent sur une page internet et qui sont des potentiels clients pour l’annonceur.

2)         Les éditeurs de site internet qui disposent, sur leur site, d’espaces publicitaires et veulent les mettre à disposition d’annonceurs, à titre payant, pour en tirer des revenus.

3)         Les annonceurs qui veulent publier leur message publicitaire sur des sites internet pour promouvoir leurs biens et services.

4)         Les intermédiaires (Supply-side-plateform, Ad exchanges, DSP et DMPs) qui rendent techniquement possible le RTB ou qui facilitent ce processus. En effet, ils vont mettre en relation les différents acteurs et mettre en place tout le système de RTB qui débouchera sur l’affichage de publicités sur les sites internet. Ces intermédiaires agissent en quelque sorte comme les fournisseurs d’une place de marché en ligne.

Comment se déroule le RTB ?

Le RTB se déploie en plusieurs étapes successives qui se déroulent en un temps très court.

• Pour commencer, les internautes consultent une page internet. Lors de cette consultation, des données sont recueillies (typiquement par l’action des cookies).
• Ces données sont ensuite envoyées aux intermédiaires qui font l’appel d’offre. Cela consiste en une présentation du profil de l’internaute sur la base des informations recueillies sur lui.
• En fonction de ce profil, les annonceurs vont évaluer la valeur qu’ils attribuent à cette personne. Les annonceurs évaluent, au regard de leur public cible, s’il est intéressant d’atteindre cet internaute. En fonction de cette analyse, ils vont plus ou moins enchérir pour attirer l’attention de l’utilisateur.
• L’annonceur qui aura proposé le prix le plus élevé remporte l’appel d’offre. C’est alors sa publicité qui sera affichée sur le site web et vue par l’internaute.

Tout ce processus prend moins d’une seconde à se réaliser. Il se déroule dans le temps nécessaire pour que la page internet pour laquelle l’internaute a introduit une requête dans son navigateur s’affiche. Ceci n’est pas sans conséquence pour savoir si le RTB est compatible avec le RGPD.

Quelle est la légalité du RTB au regard du RGPD ?

Le RTB nécessite le traitement des données à caractère personnel de l’internaute. Le RGPD est donc pleinement applicable en l’espèce, mais le RTB est-il compatible avec le RGPD ?

Sa légalité dépend notamment de l’existence d’une base juridique valide pour le traitement, et de l’éventuel profilage.

• Base juridique du traitement et conformité du real time bidding

Seules deux des bases légales énumérées à l’article 6 du RGPD peuvent trouver à s’appliquer :

• l’intérêt légitime du responsable de traitement,
• le consentement de la personne concernée.

Récemment, une plainte a été introduite devant l’autorité de protection des données (« APD ») belge, pour contester la légalité du RTB opéré via Google ainsi que le « Transparency and Consent Framework » de IAB Europe.

L’autorité belge de protection des données s’est déclarée compétente pour examiner la plainte contre IAB Europe uniquement.

Sur base du rapport rendu par le service d’inspection et après avoir entendu les parties, l’APD a condamné IAB Europe pour violation du RGPD. Pour plus de détail concernant la décision de l’APD, nous vous renvoyons à notre news à ce sujet.

La critique principale concernant la légalité du RTB est justement l’absence de base juridique justifiant le traitement.

D’après l’avis du Service d’inspection de l’APD qui sera ensuite suivi par la Chambre contentieuse, le traitement ne peut pas être fondé sur l’intérêt légitime des responsables de traitement. Et ce, en raison de la masse de données traitées et de l’absence de mesures de sécurité suffisantes. Il faut donc que la personne concernée donne son consentement.

Cependant, le consentement de la personne ne peut pas, selon le Service d’inspection de l’APD, être considéré comme un consentement éclairé lorsqu’il est recueilli par la bannière de cookies mis en place selon les règles du TCF de IAB Europe. Dès lors que le consentement recueilli de cette manière n’est pas valide, le RTB qui repose sur ce consentement comme base de légitimité n’est pas légal non plus.

• Profilage : est-ce que le RTB est compatible avec les dispositions du RGPD propres au profilage ?

Par ailleurs, puisque les annonceurs définissent leur audience cible (clients de produits similaires, public de prédilection, …), il faut vérifier s’il est question de “profilage” au sens du RGPD.

Si c’est le cas, deux conséquences devront notamment en être tirées :

• le consentement de l’internaute devra en plus être explicite.
• dans son projet de lignes directrices sur le profilage des utilisateurs de réseaux sociaux, l’EDPB estime que lorsqu’il est question d’un profilage, l’annonceur et l’éditeur du site internet sont conjointement responsables du traitement consistant en la publicité ciblée. Ils doivent chacun traiter les données en application d’une base juridique de l’article 6 du RGPD et doivent conclure entre eux un accord de co-responsabilité (conformément à l’article 26 du RGPD).