De GBA valt het IAB Europe TCF aan: een bom onder online marketing in Europa?

Eerder deze week raakte een (nochtans intern en vertrouwelijk) document publiek, waarin de Belgische Gegevensbeschermingsautoriteit in het kader van een onderzoek na een klacht het Transparency and Consent Framework van IAB Europe toch wel bijzonder kritisch doorlicht.

De GBA is daarbij van oordeel dat het TCF, dat nochtans dé standaard is in de online marketingwereld voor het verzamelen en delen van online profielgegevens met het oog op het aanbieden van gepersonaliseerde online advertenties,  op verschillende punten fundamenteel in strijd zou zijn met GDPR. 

Het gaat om een eerste verslag, niet om een finale beslissing, maar dit zou wel eens bijzonder verstrekkende gevolgen hebben voor de hele online marketingwereld en de manier waarop gepersonaliseerde advertenties worden getoond aan websitebezoekers.  

Een potentiële bom onder de online marketingwereld met andere woorden…

Wat is het IAB TCF?

Het zogenaamde Transparency & Consent Framework van IAB Europe, kortweg TCF, is een standaard die binnen de online advertentiesector wordt gebruikt om toestemming te bekomen voor het plaatsen van cookies en andere trackers die het voor adverteerders mogelijk maken om websitebezoekers gerichte, gepersonaliseerde advertenties te tonen over verschillende websites heen op basis van hun surfgedrag,  online voorkeuren of profielinformatie. 

TCF is ook de motor achter Real Time Bidding of RTB, waarmee adverteerders in “real time”, via geautomatiseerde veilingplatformen en in een fractie van enkele milliseconden kunnen bieden op een bepaalde advertentieruimte, op een bepaalde website die net op dat ogenblik bezocht wordt door iemand die binnen de doelgroep van de adverteerder valt.    

Waarom is dit een probleem?

Op zich is gepersonaliseerde reclame een goede zaak.  Relevantie is immers erg belangrijk in online marketing.  Je wil als adverteerder de juiste boodschap op het juiste ogenblik aan de juiste persoon kunnen afleveren.  Alleen dan weet je immers zeker dat je boodschap aankomt.  Mensen worden overspoeld met reclameboodschappen en enkel dat wat hen écht persoonlijk aanbelangt, nemen ze op.  Dat is beter voor de adverteerder, die minder geld over de balk gooit met overbodige advertenties, én voor de websitebezoeker, die niet gestoord wordt met irrelevante content.

Alleen zit er een serieuze juridische angel aan die relevantie.  Relevantie creëren vereist immers kennis van je audience en die kennis bouw je op met zo gedetailleerd mogelijke profielinformatie.  

Die profielinformatie valt niet uit de lucht, natuurlijk.  Daar komt enerzijds GDPR en anderzijds cookieregelgeving (ePrivacy) in beeld.  Beiden vereisen absolute transparantie én een gepaste rechtsgrond die je toelaat om data te verzamelen en met derden te delen.  In het geval van cookies is die rechtsgrond altijd de voorafgaande toestemming.  In het geval van GDPR kan dat theoretisch gezien ook zonder toestemming, op basis van het gerechtvaardigd belang.  De Belgische Gegevensbeschermingsautoriteit was echter begin dit jaar zeer streng in haar analyse van het gerechtvaardigd belang in het kader van direct marketing (waar naar haar analyse online marketing ook onder valt).  Het gevolg daarvan is dat ook onder GDPR de facto een vrije, voorafgaande en geïnformeerde toestemming vereist is om persoonsgegevens te verzamelen met het oog op online marketingdoeleinden zoals RTB…

Het probleem voor een hele reeks van privacyactivisten (maar liefst 22 organisaties uit 16 landen legden klacht neer bij de GBA) zit hem in de vaststelling (menen zij) dat die toestemming binnen het TCF framework absoluut niet correct bekomen wordt.   Zij hebben daarom collectief een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit.  De reden om de klacht in België neer te leggen terwijl het om een Europees platform gaat, is eenvoudig: IAB Europe heeft haar kantoren in Brussel.

Wat zegt de GBA?

De GBA volgt in een eerste -weliswaar tussentijds- rapport de klagers.  Zij bevestigt dat ook volgens haar de huidige manier van gegevensverwerking binnen het TCF framework niet in overeenstemming is met GDPR.

Het grootste bezwaar van de GBA is wellicht dat IAB volgens haar zelf verantwoordelijk is voor de verwerking van gegevens die via haar TCF framework verzameld en verwerkt worden door reclameregies en adverteerders.  IAB Europe bepaalt immers volgens de GBA (mee) het doel en de middelen voor de verwerking en dat maakt van haar onder GDPR een verantwoordelijke.  Dat betekent meteen ook dat IAB Europe een hele reeks verplichtingen heeft inzake transparantie, het bekomen van toestemming, privacy by design, etc.. die GDPR oplegt aan verantwoordelijken voor de verwerking.

Persoonlijk hebben we toch vragen bij deze insteek vanwege de GBA.  IAB stelt immers slechts een tool ter beschikking.  Zij bepaalt niet zelf welke data er verzameld wordt en al evenmin bepaalt zij zelf voor welke doeleinden die data verwerkt worden door de betrokken ontvangers.  Een en ander lijkt toch minstens voor kritiek vatbaar…

Moeilijker te weerleggen is de vaststelling dat bij het verzamelen van profielgegevens van websitebezoekers via het TCF framework potentieel ook “gevoelige gegevens” (of “bijzonder beschermde gegevens”, zoals de GDPR ze eigenlijk noemt) te verzamelen.  Het gaat dan bijvoorbeeld over medische gegevens, gegevens over seksuele voorkeur, politieke voorkeur, etc… Die gegevens mogen onder GDPR alleen verwerkt worden als je daarvoor de afzonderlijke expliciete toestemming hebt gekregen van de betrokkene, wat bij online verzameling via cookies of trackers meestal niet het geval is.  Een en ander is, als de eerste conclusies van de GBA niet weerlegd kunnen worden door IAB Europe, een fundamentele breuklijn tussen TCF en GDPR, eentje die zeer moeilijk te lijmen valt ook, rekening houdende met de ontelbare regies en adverteerders die inmiddels zulke gevoelige gegevens in handen hebben gekregen via TCF en die ze ook dagelijks inzetten in RTB campagnes. 

Even zorgwekkend voor de toekomst van TCF is het feit dat TCF actief het gebruik aanmoedigt van het gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens in het kader van online profilering en personalisatie. Maar de Belgische Gegevensbeschermingsautoriteit gaf afgelopen januari al aan in haar Direct Marketing Aanbeveling dat het gerechtvaardigd belang slechts in zeer uitzonderlijke gevallen kan dienen als rechtsgrond voor (direct) marketingdoeleinden.  Consequent afzonderlijk toestemming vragen voor elke verzameling en doorgifte van persoonsgegevens is echter quasi onmogelijk.  Het aantal partijen dat tussenkomt in met name het Real Time Bidding proces is zo groot dat zulks moeilijk praktisch haalbaar lijkt. 

Daarbovenop heeft de GBA nog ernstige bedenkingen bij de veiligheid van het ganse TCF systeem, in die zin dat er te weinig garanties ingebouwd zijn in het framework zelf om de rechten van de betrokkene te garanderen.  Ook dit raakt aan één van de hoekstenen van GDPR, wat het tot een ernstige bedreiging voor het TCF maakt.

Breder kader: het einde van third party cookies

Een en ander komt overigens niet uit de lucht gevallen.  Wie onze website, onze publicaties en onze presentaties het afgelopen jaar in de gaten heeft gehouden weet dat er een aardverschuiving aan de gang is in de online marketingwereld en met name in de context van het gebruik van cookies en andere trackers om gegevens van websitebezoekers te verzamelen.  

Die aardverschuiving kreeg vorig jaar brede aandacht toen eerst het Europees Hof van Justitie en daarna ook de Belgische Gegevensbeschermingsautoriteit zwaar uithaalden naar websites die cookies plaatsen op het device van bezoekers zonder voorafgaande vrije en geïnformeerde toestemming van diezelfde websitebezoeker.  Maar onderliggend was er al een hele tijd een en ander aan het borrelen.  Apple had al eerder aangekondigd dat het via zijn ITP 2.1 protocol alle third party cookies (die met name persoonsgegevens verzamelen voor marketingdoeleinden) zou gaan blokkeren.  Mozzila Firefox volgde al snel en ging nog een stapje verder door ook fingerprinting door derde partijen te gaan blokkeren. Toen vervolgens ook Google aankondigde dat in Chrome vanaf 2022 third party cookies geblokkeerd zullen worden, was het duidelijk dat de online marketingwereld voor één van de grootste technische, praktische en juridische uitdagingen uit haar bestaan staat en waarin zij zal moeten leren overleven in een context van cookieless advertising…  

We hebben hierover al meer dan eens gesproken het voorbije jaar, onder meer in Obsessed van Marc Bresseel en Renout Van Hove en in een uitgebreid Cookie Cahier dat eerstdaags verschijnt bij Uitgeverij Politeia.  Deze week is het ook precies het onderwerp van ons legal webinar bij BAM, de Belgian Association for Marketing.

Wat betekent dit concreet?

Op langere termijn zal de ganse sector moeten shiften naar een andere manier van adverteren, naar meer contextuele campagnes, naar het inzetten op meer eigen profieldata (waarbij overigens dezelfde vragen naar GDPR compliance én naar het gebruik van met name analytics cookies telkens opnieuw naar boven zullen blijven komen).

Op kortere termijn verandert er voorlopig niet veel.  Het uitgelekte rapport is slechts een tussentijds rapport.  IAB Europe zal zich nog kunnen verweren (tegen ten laatste 7 december 2020) en er zijn zeker wel een hele reeks bruikbare argumenten denkbaar om het uiteindelijke standpunt van de GBA wat af te zwakken.  De uiteindelijke uitspraak wordt pas in de loop van 2021 verwacht.

Dit is echter een teken aan de wand voor al wie persoonsgegevens verzamelt en verwerkt online, zowel binnen als buiten TCF.  Ruim 80% van de websites in België is nog steeds niet cookie compliant en ruim 66% van de Belgische ondernemingen is nog niet GDPR compliant.  We zien in onze praktijk dagelijks voorbeelden van marketingdepartementen bij grote nationale en internationale bedrijven die de basics van een GDPR compliant marketingbeleid niet in de vingers hebben. De risico’s die dit met zich meebrengt worden uitvergroot door de exponentiële groei aan marketing automation tools, customer data platforms en andere adtech speeltjes die de markt overspoelen met beloftes van eindeloze mogelijkheden, maar die heel vaak niet voldoen aan de basisregels van onze privacywetgeving.

Wees dus voorzichtig.  Laat tijdig een GDPR compliance audit uitvoeren op je marketing activiteiten, denk aan Data Protection Impact Assessments voor je aan de slag gaat met nieuwe tools en software en denk ook op tijd aan een uitgebreide cookie scan op je website(s).

Vragen over GDPR compliance voor marketing departementen?

Neem gerust vrijblijvend contact op met Bart Van den Brande.  Bellen of mailen kan op 0486 901 931 of op bart@siriuslegal.be of je kan ook hier rechtstreeks een vrijblijvend kennismakingsgepsrek via Google Meet inboeken.