Le TCF déclaré illégal ? - Ce que ça change vraiment pour les bandeaux cookies et la pub en ligne

Je sais qu’en bons shadocks, on kiffe toutes et tous les bandeaux cookies qui se trouvent sur la plupart des sites web. Je le sais car ça nous permet de faire des clics-clics-clics inutiles toute la journée afin de combler le vide de sens de nos misérables existences. D’ailleurs, au niveau collectif, ça représente quand même 575 millions d’heures de vie perdues par an ! Chapeau les artistes !

Certains rebelles qui ne veulent pas moutonner avec nous, pour éviter ça, installent même des plugins sur leurs navigateurs pour les masquer ou accepter les cookies en toutes circonstances.

Et bien vous ne le savez peut-être pas mais derrière la plupart de ces bannières de consentement, il y a un protocole que 80% des sites web européens utilisent et qui s’appelle le TCF pour Transparency & Consent Framework. L’idée de ce truc, c’est de standardiser la façon dont les sites web collectent, stockent et partagent votre consentement au tracking publicitaire.

Concrètement, quand vous voyez une de ces bannières de consentement et que vous faites un choix, le TCF transforme ce choix en un “TC String” (une chaîne de caractères qui encode vos préférences), puis le partage avec des centaines d’entreprises publicitaires. Ce système permet aux sites web de continuer à utiliser le modèle économique basé sur la publicité ciblée tout en prétendant respecter le RGPD. Je dis “en prétendant” parce que jusqu’à présent, c’est toléré par la CNIL afin de maintenir un équilibre précaire qui permet aux sites web financés par la pub de survivre tout en vous donnant l’illusion du choix.

Et bien, patatra, le TCF dans sa forme actuelle a été jugé non conforme au RGPD par la Cour d’Appel belge.

Cette décision qualifiée d’historique remet ainsi en question l’ensemble du système publicitaire RTB (Real-Time Bidding - Enchères en temps réel) qui alimente massivement l’économie du web. Attention, cela ne signifie pas que les bandeaux de consentement vont disparaître du jour au lendemain car la loi continue d’exiger que les sites obtiennent votre consentement. Et ça ne signifie pas non plus que le concept même du TCF est voué à disparaître… mais c’est plutôt sa mise en œuvre actuelle qui a été jugée non conforme, ce qui ouvre bien sûr la voie à une version corrigée du framework.

Pour bien comprendre pourquoi c’est un tremblement de terre dans l’écosystème du web européen, il faut bien saisir comment fonctionne ce fameux RTB. C’est un système d’enchères automatisées qui s’effectue en moins de quelques millisecondes et à chaque fois qu’une page web charge une publicité, votre profil est mis aux enchères auprès de centaines d’entreprises qui se battent pour vous afficher une pub personnalisée et tout ça des milliers de fois par jour. Trop cool non ?

Et bien ce document de justice nous apprend donc que la Cour belge a mis le doigt précisément là où ça fait mal, en identifiant plusieurs problèmes majeurs liés au TCF. Tout d’abord, le consentement obtenu via le TCF n’est pas valide selon le RGPD car il n’est pas suffisamment “spécifique, informé et granulaire”. En gros, vous ne pouvez pas réellement comprendre à quoi vous consentez quand vous utilisez ces interfaces.

Ensuite, le système manque cruellement de sécurité et d’intégrité car rien n’empêche techniquement les entreprises de falsifier votre consentement. C’est drôle ça non ?

Enfin, l’IAB Europe, qui est basé en Belgique et qui a développé ce framework, a été déclarée co-responsable de la création et l’utilisation des TC Strings. Cette société va donc devoir payer une amende de 250 000 € et a 6 mois pour corriger le tir, sous peine d’une astreinte de 5 000 € par jour. Ouch ! Notez que cette pratique même si elle est jugée illégale en Belgique l’est forcément dans les autres pays de l’Union Européenne car ça concerne un règlement européen (le RGPD).

Donc ça concerne tout le monde.

Maintenant, les conséquences pourraient être assez lourdes car si ça n’évolue pas, les sites web qui utilisent le TCF vont devoir trouver un nouveau système pour gérer le consentement de leurs utilisateurs. Et il va falloir qu’il soit réellement conforme au RGPD, et non plus une simple façade comme le TCF actuel. Bien sûr, les bandeaux cookies eux-mêmes resteront, car ils sont super magnifiques et surtout obligatoires s’il y a des cookies. Mais leur fonctionnement interne devra changer. Pour ma part, comme je me repose sur des prestataires qui suivent les préconisations de l’IAB, je suivrai naturellement le mouvement de ce qui sera mis en place et on verra dans 6 mois comment ça se passe. D’ailleurs, l’IAB Europe a déjà commencé à implémenter certaines modifications, comme la suppression de “l’intérêt légitime” comme base juridique pour la publicité personnalisée.

Perso, je voulais prendre ma retraite, alors ça tombe bien ^^, mais je pense aux autres sites web qui vivent uniquement de la pub et qui risquent de mettre la clé sous la porte si le RTB n’est plus possible en Europe. Malheureusement, les autres modèles de financement (abonnements, dons, publicité statique ou contextuelle…etc) sont moins intéressants financièrement et qui dit moins de pognon, dit moins de pigistes, moins de journalistes, du coup moins de contenu et donc encore moins de revenus…etc. Un cercle vicieux qui entrainera une mort lente et assurée pour pas mal de médias web. Les rageux diront que ce n’est pas une grande perte et retourneront se désinformer sur les réseaux sociaux. Mais moi perso, ça me chagrine.

Bref, comme d’habitude, on verra bien ce que ça donnera surtout qu’on ne sait pas encore comment va réagir la CNIL à ce sujet. Mais si vous êtes “webmaster”, je vous invite à suivre de près l’évolution de cette affaire et peut-être à explorer des alternatives aux enchères publicitaires ou à envisager une reconversion professionnelle ^^.

Source (et un grand merci à Johnny pour le partage)