L'APD belge a infligé une amende de 250 000 euros à IAB Europe. La DPA avait reçu plusieurs plaintes contre IAB Europe depuis 2019. Dans le cadre de cette plainte, la conformité du 'Transparency & Consent Framework (TCF)' avec le RGPD était principalement remise en cause. Le TCF a été développé par l'IAB pour promouvoir la conformité au RGPD par les organisations utilisant le protocole OpenRTB. Le protocole OpenRTB est un protocole d'"enchère en temps réel", qui est la vente aux enchères en ligne automatisée de profils d'utilisateurs pour la vente et l'achat d'espaces publicitaires sur Internet. Lorsque les utilisateurs visitent un site Web qui contient un espace publicitaire, les entreprises technologiques, par le biais d'un système d'enchères automatisé, peuvent enchérir en temps réel pour cet espace publicitaire afin d'afficher une publicité personnalisée. Lorsque l'utilisateur visite un site Internet pour la première fois, une interface apparaît à travers laquelle il peut consentir à la collecte et au partage de ses informations personnelles ou s'opposer à différents types de traitement. Dans le cadre du TCF, un outil de gestion du consentement apparaît lors de ce processus. L'outil permet à l'utilisateur de s'opposer à certains types de traitement de données. Le TCF enregistre les préférences de l'utilisateur via l'outil en générant une chaîne TC et l'envoie à tous les partenaires participant au système OpenRTB. Sur la base de cette chaîne TC, des profils d'utilisateurs sont compilés, qui sont ensuite transmis aux annonceurs. Cela leur permet de voir quel type de traitement de données les utilisateurs ont accepté. Dans le cadre de son enquête contre l'IAB, la DPA a identifié un certain nombre de violations du RGPD. Il a conclu que les chaînes TC constituaient déjà des données personnelles et que, par conséquent, l'IAB devait disposer d'une base légale pour traiter ces données. Or, IAB n'a pas été en mesure de démontrer une telle base juridique. De plus, l'IAB n'a pas correctement informé les utilisateurs sur le fonctionnement du TCF. Par exemple, les informations fournies aux utilisateurs étaient trop génériques et vagues pour comprendre la portée du traitement des données. En outre, l'IAB n'avait pas tenu de registre de ses activités de traitement, n'avait pas nommé de délégué à la protection des données et n'avait pas réalisé d'analyse d'impact sur la protection des données.