Clarifications de la CJUE sur le TCF : ce qu’il faut retenir
Publié le 06.06.2025
Zoom sur l'arrêt rendu par la Cour de justice de l’Union Européenne sur le Transparency Consent Framework.
Le 7 mars 2024, la Cour de justice de l’Union Européenne (CJUE) a rendu un arrêt attendu concernant le Transparency Consent Framework (TCF), le système de gestion du consentement développé par l’IAB (Interactive Advertising Bureau) Europe. En réponse à la question préjudicielle introduite par la Cour d’appel de Bruxelles, la CJUE a jugé que la « TC-String », l’un des composants du TCF qui encode les choix de consentement d’un utilisateur, peut constituer une donnée personnelle si elle est liée à un identifiant comme une adresse IP.
Qu’est-ce qu’une TC-String ?
Lorsqu’un utilisateur visite un site ou une application pour la première fois, une interface appelée CMP (plateforme de gestion du consentement, ou consent management platform) s’affiche. Elle lui permet d’accepter ou de refuser la collecte de ses données personnelles, selon les finalités proposées par les acteurs publicitaires.
Le TCF (Transparency and Consent Framework) intervient pour organiser et transmettre ces choix. Développé par l’IAB Europe, le TCF est un cadre technique permettant aux éditeurs de sites web et à leurs partenaires de recueillir et de gérer le consentement des utilisateurs pour le traitement de leurs données personnelles, notamment dans le cadre de la publicité ciblée. Il encode les préférences de l’utilisateur dans une « TC-String », qui est ensuite partagée avec les entreprises participant au système publicitaire OpenRTB, système d’enchères en temps réel d’espaces publicitaires. Cela leur indique clairement ce que l’utilisateur accepte ou refuse.
La CMP, selon les consentements ou refus des utilisateurs, déclenche les différents codes de suivi contenus dans le tag manager (plateforme de gestion de tag comme GTM) et peut donc placer aussi un cookie sur l’appareil de l’utilisateur. Ensemble, ce cookie et la TC string peuvent être associés à l’adresse IP, ce qui rend l’utilisateur potentiellement identifiable.
En résumé, le TCF occupe une place centrale dans le fonctionnement du système OpenRTB, car il traduit les choix des utilisateurs concernant les fournisseurs publicitaires et les différentes utilisations de leurs données, notamment pour afficher des publicités personnalisées.
Contexte
En février 2022, l’Autorité de protection des données belge (APD) avait sanctionné l’IAB Europe, estimant que le TCF ne respectait pas le RGPD, en particulier en ce qui concerne la gestion des préférences des utilisateurs via la TC-String. L’APD belge estimait également que le TCF ne garantissait pas un consentement valable au regard du RGPD et que l’IAB Europe devait être considéré comme responsable conjoint du traitement des données personnelles dans le cadre du TCF, au regard des utilisations ultérieures des données faites par les entreprises tierces. Cette décision avait été contestée par l’IAB Europe, aboutissant à la saisine de la CJUE.
Dans son arrêt de mars 2024, la CJUE a confirmé que l’IAB Europe peut être considéré comme responsable conjointe du traitement des données lié à la TC-String, tout en limitant cette responsabilité aux opérations dans lesquelles l’organisation joue effectivement un rôle décisionnel. Les traitements ultérieurs opérés par d’autres acteurs restent sous leur propre responsabilité.
Ce que cela signifie pour les OSBL
Comme rappelé par l’Alliance Digitale, la décision de la CJUE clarifie le rôle d’IAB Europe dans le cadre du TCF et confirme la possibilité pour les organisations, y compris les OSBL, de continuer à utiliser ce cadre pour la gestion du consentement de leurs utilisateurs. Elles peuvent également continuer à faire appel à des prestataires qui utilisent ce cadre. Il est toutefois essentiel de s’assurer que l’implémentation du TCF est conforme aux exigences légales en vigueur et de rester attentif aux évolutions réglementaires dans ce domaine.
Les OSBL devront en effet toujours veiller à fournir des informations claires et accessibles aux utilisateurs concernant la collecte et l’utilisation de leurs données personnelles, conformément aux principes du RGPD.
Pour aller plus loin, consulter la page du groupe de travail de France générosités dédié aux questions de tracking, webmarketing et RGPD.
