Demande de décision préjudicielle présentée par le hof van beroep te Brussel (Belgique) le 19 septembre 2022 – IAB Europe/Gegevensbeschermingsautoriteit

Autres parties : TR e.a.

(Affaire C-604/22)

Langue de procédure : le néerlandais

Juridiction de renvoi

Hof van beroep te Brussel

Parties dans la procédure au principal

Partie requérante : IAB Europe

Partie défenderesse : Gegevensbeschermingsautoriteit

Autres parties : TR, UV, SP, Fundacya Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Questions préjudicielles

a)    L’article 4, point 1, du règlement 2016/679¹ , du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, lu en combinaison avec les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doit-il être interprété en ce sens qu’une chaîne de caractères qui capte de manière structurée et lisible par une machine, en lien avec le traitement de ses données à caractère personnel, les préférences d’un internaute constitue une donnée à caractère personnel au sens de la disposition précitée à l’égard (1) d’une organisation sectorielle qui met à la disposition de ses membres un standard par lequel elle leur prescrit la manière pratique et technique dont cette chaîne de caractères doit être générée, stockée et/ou diffusée (2) des parties qui ont mis en œuvre ce standard sur leurs sites Internet ou dans leurs applications et ont ainsi accès à cette chaîne de caractères ?

b)    Importe-t-il à cet égard que la mise en œuvre du standard implique que cette chaîne de caractères soit disponible avec une adresse IP ?

c)    La réponse aux points a) et b) est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce standard ?

a)    L’article 4, point 7, et l’article 24, paragraphe 1 du règlement 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, lus en combinaison avec les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent-ils être interprétés en ce sens qu’une organisation sectorielle de standardisation doit être qualifiée de responsable du traitement, lorsqu’elle propose à ses membres un standard de gestion du consentement qui contient non seulement un cadre technique contraignant, mais aussi des règles précisant de façon détaillée les modalités de stockage et de diffusion de ces données de consentement, qui constituent des données à caractère personnel ?

b)    La réponse à la question (a) est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce standard ?

c)    Si l’organisation sectorielle de standardisation doit être désignée comme responsable ou responsable conjoint du traitement des préférences des internautes, cette responsabilité (conjointe) de l’organisation sectorielle de standardisation s’étend-elle automatiquement aux traitements ultérieurs par des tiers qui ont recueilli les préférences des internautes, comme la publicité ciblée en ligne par les éditeurs et les fournisseurs ?

____________