Alicja Slowik , 18 mars 2024

Dans l’arrêt rendu le 7 mars 2024, IAB Europe c /Gegevensbeschermingsautoriteit (C‑604/22), la Cour de justice de l’Union européenne a apporté des clarifications sur la notion de « donnée à caractère personnel » et sur les circonstances dans lesquelles une organisation sectorielle qui propose à ses membres un  cadre de règles concernant le consentement au traitement de données à caractère personnel peut être qualifiée de « responsable conjoint du traitement » au sens des dispositions du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).

IAB Europe est une association non-lucrative établie en Belgique qui représente les entreprises dans le secteur de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré le « Transparency and Consent Framework » (le « TCF ») : un cadre de règles qui vise à garantir la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site Internet effectué par certains opérateurs.  Le TCF promeut le respect du RGPD lorsque ces opérateurs enchérissent en temps réel, en coulisse, pour obtenir un espace publicitaire sur Internet afin d’y afficher les publicités adaptées au profil de l’utilisateur (Real Time Bidding). Le TCF facilite l’enregistrement des préférences des utilisateurs qui sont ensuite codées et stockées dans une chaîne composée d’une combinaison de lettres et de caractères désignée par IAB Europe sous le nom « Transparency and Consent String » (la « TC String »). La TC String est partagée avec des courtiers en données à caractère personnel et des plates-formes publicitaires, pour que ceux-ci sachent ce à quoi l’utilisateur a consenti ou s’est opposé. La combinaison de la TC String et d’un cookie placé sur l’appareil de l’utilisateur permet de les lier à l’adresse IP de cet utilisateur et rend possible son identification.

Ayant considéré que la TC String constitue une donnée à caractère personnel et que IAB Europe n’a pas assuré le plein respect du RGPD, l’Autorité de protection des données belge a imposé à cette association plusieurs mesures correctrices ainsi qu’une amende administrative. IAB Europe a introduit un recours contre cette décision devant la Cour d’appel de Bruxelles. Cette dernière n’était pas sûre si une TC String, combinée ou non à une adresse IP, constitue une « donnée à caractère personnel » définie à l’article 4, point 1, du RGPD, comme « toute information se rapportant à une personne physique identifiée ou identifiable ». En outre, la juridiction belge avait un doute sur la question de savoir si IAB Europe devrait être qualifiée comme « responsable du traitement » au sens de l’article 4, point 7, du RGPD. En vertu de cette disposition, le « responsable du traitement » désigne « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». L’article 26, paragraphe 1, du RGPD, précise que « [l]orsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. » Dans ces circonstances, la Cour d’appel de Bruxelles a décidé de poser deux questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’interprétation de la notion de « donnée à caractère personnel » et sur les conditions dans lesquelles une organisation sectorielle, telle que IAB Europe, peut être considérée comme un responsable conjoint du traitement.

Dans un premier temps, la Cour de justice a rappelé que l’expression « toute information » figurant à l’article 4, point 1, reflète l’objectif du législateur de l’Union d’attribuer un sens large à la notion de « donnée à caractère personnel ». La Cour a relevé qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenait les préférences d’un utilisateur relatives à son consentement ou à son opposition au traitement des données à caractère personnel le concernant. Puisque le fait d’associer de la TC String à l’adresse IP de l’appareil d’un utilisateur permet d’identifier cet utilisateur, la TC String devrait être considérée comme une « donnée à caractère personnel. » La circonstance que IAB Europe n’est pas en mesure de combiner elle-même la TC String avec l’adresse IP de l’appareil d’un utilisateur et ne pourrait pas ainsi accéder aux données traitées par ses membres ne fait pas obstacle à ce que la TC String soit considérée comme une « donnée à caractère personnel ». En outre, la Cour a souligné que les membres de IAP Europe étaient tenus de communiquer à celle-ci, à sa demande, les informations lui permettant d’identifier les utilisateurs dont les données font l’objet d’une TC String. IAB Europe disposait par conséquent des moyens pour identifier une personne physique déterminée sur la base des informations que ses membres sont obligés de lui fournir.  La Cour a conclu que la TC String constituait une « donnée à caractère personnel » au sens de l’article 4, point 1, du RGPD.

Dans un second temps, la Cour de justice a analysé la question de savoir si IAB Europe pouvait être considéré comme « responsable conjoint de traitement » au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD. La Cour a observé que la notion de « responsable du traitement » est définie d’une manière large dans le règlement. Pour apprécier si une organisation structurelle peut être considérée comme « responsable conjoint de traitement », il convient de vérifier si celle-ci influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et détermine les finalités et les moyens d’un tel traitement. En ce qui concerne les finalités d’un tel traitement, la Cour de justice a relevé que le TFC établi par IAB Europe visait à favoriser la vente et l’achat d’espaces publicitaires sur Internet par certains opérateurs participant à la vente aux enchères en ligne d’espaces publicitaires. La Cour a estimé que IAB Europe influe, à des fins qui lui sont propres, sur les opérations des traitements des données à caractère personnel et détermine, conjointement avec ses membres, les finalités des opérations en cause. S’agissant des moyens utilisés aux fins du traitement des données, l’acceptation du TCF par les opérateurs concernés constitue une condition obligatoire pour l’adhésion à IAB Europe. Par le biais du TCF, IAB Europe prescrit ainsi la manière standardisée dont les acteurs impliqués peuvent consulter les préférences, les objections et les consentements des utilisateurs contenus dans les TC Strings. La Cour a considéré que IAB Europe influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et détermine, de ce fait, conjointement avec ses membres, les moyens d’un tel traitement. La Cour a jugé ainsi que IAB Europe devrait être considérée comme « responsable conjoint du traitement » au sens de l’article 4, point 7, et l’article 26, du RGPD.

L’arrêt IAB Europe apporte des clarifications importantes sur l’application du RGPD dans le contexte de la vente aux enchères de données à caractère personnel à des fins publicitaires. L’interprétation large des notions de « donnée à caractère personnel » et « responsable du traitement » contribue au renforcement du droit à la protection des données personnelles garanti par le RGPD.

Reproduction autorisée avec la référence suivante : Alicja Słowik, Le RGPD et la vente aux enchères des données à caractère personnel à des fins publicitaires, actualité n° 10/2024, publiée le 18 mars 2024, par le Centre d’études juridiques européennes, disponible sur www.ceje.ch