Gerichte reclame & Profilering voor de rechter

In the age of digital marketing, targeted advertising and user profiling have become key tools for platforms, publishers, and advertisers. However, these data-driven techniques are under intense legal scrutiny, especially under the General Data Protection Regulation (GDPR) and the ePrivacy Directive. European courts and data protection authorities (DPAs) are increasingly examining the legality, transparency, and consent mechanisms behind behavioral advertising, with rulings that carry significant implications for the ad tech ecosystem.

This article explores high-profile case studies and enforcement actions across the EU, focusing on how profiling for advertising purposes has been challenged under privacy laws—and what lessons platforms and marketers should take away.

1. CNIL v Google (France, 2020): Cookie Consent and Tracking

In 2020, the French Data Protection Authority (CNIL) fined Google €100 million for placing advertising cookies without prior user consent on its French domains. The cookies enabled tracking for personalized ads but were activated before users made any meaningful choice.

Key Issues:

• Lack of valid consent under the ePrivacy Directive.
• Users were not sufficiently informed about the purpose of cookies or how to reject them.
• The cookie banner provided only an “Accept” option, without an equivalent “Refuse.”

Legal Grounds:

• ePrivacy Directive (2002/58/EC) as implemented in French law.
• Article 5(3) of the ePrivacy Directive requires prior consent before storing or accessing information on a user’s device.

Outcome:
Google was fined and subsequently updated its consent banners to provide granular choices and symmetric options for acceptance and refusal.

Lesson:
Consent for profiling and targeted advertising must be freely given, specific, informed, and unambiguous—and implemented before any tracking begins.

2. Bundeskartellamt v Meta (Germany, ongoing): Combining Data Across Services

The German Competition Authority (Bundeskartellamt) initiated proceedings against Meta (formerly Facebook) for combining user data from Facebook, Instagram, WhatsApp, and third-party websites without proper consent.

Key Legal Twist:
Although the case originated under competition law, the authority relied heavily on GDPR violations—arguing that Meta’s failure to obtain valid consent gave it an unfair advantage in the advertising market.

Court Developments:

• The German Federal Court of Justice upheld the regulator’s decision to restrict data processing practices.
• The CJEU was asked for a preliminary ruling to clarify the intersection of data protection and competition law (Case C-252/21, pending as of 2025).

Legal Questions:

• Whether the combination of data across services without consent violates Articles 6 and 9 GDPR.
• Whether the user is offered a real choice or is coerced into acceptance via bundled services.

Lesson:
Profiling based on cross-platform data must be backed by a valid legal basis, usually opt-in consent, and must not be a condition for using the core service.

3. NOYB Complaints Against IAB Europe’s TCF (EU-wide): Real-Time Bidding Scrutiny

The nonprofit NOYB (None of Your Business) filed multiple complaints against the IAB Europe’s Transparency and Consent Framework (TCF), which is widely used in real-time bidding (RTB) for targeted ads.

Main Allegations:

• The TCF failed to provide genuine, informed consent.
• Profiling under RTB shared user data with hundreds of vendors in real time, often without user awareness.
• The framework was deemed non-compliant with GDPR’s principles of data minimization, purpose limitation, and lawful basis.

Belgian DPA Ruling (2022):

• Found IAB Europe responsible as a joint controller for data processing in the TCF.
• Ordered significant changes to the consent mechanism and data sharing practices.

Outcome:
IAB Europe was required to herontwerp het TCF, introduceer sterkere waarborgen en beheer het stroomafwaarts gebruik van gegevens door leveranciers beter.

Lesson:
Consent-frameworks die worden gebruikt voor programmatic advertising moeten niet alleen voldoen aan AVG-normen, maar zorg er ook voor afdwingbaar bestuur in de hele ad-techketen.

4. Zaak Planet49 (HvJEU, C-673/17): Vooraf aangevinkte vakjes en de geldigheid van toestemming

De Planet49 zaak voor de Hof van Justitie van de EU (HvJEU) onderzocht of vooraf aangevinkte vakjes een geldige toestemming vormen voor cookies die worden gebruikt in promotionele spellen en gedragsgerichte advertenties.

Uitspraak Hof van Justitie:

• Toestemming moet zijn actief, wat betekent dat vooraf aangevinkte vakjes niet voldoende zijn.
• De duur en toegang door derden van cookies moet ook vooraf aan de gebruiker worden bekendgemaakt.

Juridische implicaties:

• Bevestigd dat beide AVG en ePrivacy require positieve discriminatie en duidelijke openbaarmaking voor rechtmatige profilering.

Lesson:
Platformen moeten toestemmingsinterfaces ontwerpen die ervoor zorgen duidelijke gebruikersbetrokkenheid, geen passieve of impliciete overeenstemming.

Belangrijkste punten voor platforms en ad tech-operators

Toestemming is essentieel—en moet gedetailleerd, geïnformeerd en herroepbaar zijn.
Profilering voor gerichte advertenties vereist een geldige rechtsgrond, meestal artikel 6, lid 1, onder a), AVG.
Transparantie moet allesomvattend zijn: wie de gegevens verwerkt, voor welke doeleinden en hoe lang.
Gezamenlijke verantwoordelijkheid kan van toepassing zijn: platforms en advertentiepartners kunnen de verantwoordelijkheid delen voor GDPR-naleving.
Toestemmingskaders (bijv. CMP's, TCF's) moeten controleerbaar en afdwingbaar zijn voor alle ontvangers van gebruikersgegevens.

Vooruitblikkend: De rol van de ePrivacy Verordening en DSA

Naarmate de handhaving onder de GDPR intensiever wordt, zal de toekomst van de regelgeving inzake profilering ook worden bepaald door:

• De lang uitgestelde ePrivacy Verordening, die mogelijk toestemmingsregels in de hele EU zal standaardiseren.
• De Digital Services Act (DSA), die verplichtingen oplegt met betrekking tot de transparantie van online advertenties en aanbevelingssystemen—vooral voor Very Large Online Platforms (VLOP's).

Samen zullen deze raamwerken een aanzienlijke invloed hebben op gerichte advertentiemodellen, met name die welke afhankelijk zijn van real-time bieden, datahandel of ondoorzichtige personalisatie.

Conclusie

Profilering en gerichte reclame zijn niet langer grijze gebieden in de privacywetgeving van de EU. De rechtbanken en toezichthouders stellen duidelijke grenzen aan hoe gebruikersgegevens kunnen worden gebruikt, gedeeld en te gelde gemaakt, vooral als het gaat om gedragsgerichte targeting. Platformen en ad-tech providers die zich niet aanpassen aan de GDPR- en ePrivacy-normen lopen een groeiend juridisch, financieel en reputatierisico.