Affaire C‑604/22
IAB Europe
contre
Gegevensbeschermingsautoriteit
(demande de décision préjudicielle, introduite par le hof van beroep te Brussel)
Arrêt de la Cour (quatrième chambre) du 7 mars 2024
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Article 4, point 1 – Notion de “données à caractère personnel” – Chaîne de lettres et caractères captant, de manière structurée et lisible par une machine, les préférences d’un utilisateur d’Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles – Article 4, point 7 – Notion de “responsable du traitement” – Article 26, paragraphe 1 – Notion de “responsables conjoints du traitement” – Organisation n’ayant pas, elle-même, accès aux données personnelles traitées par ses membres – Responsabilité de l’organisation s’étendant aux traitements ultérieurs de données effectués par des tiers »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de données à caractère personnel – Chaîne de lettres et de caractères détenant les préférences d’un utilisateur d’Internet relatives à son consentement au traitement de ses données personnelles – Inclusion – Condition – Chaîne permettant d’identifier la personne concernée – Impossibilité pour une organisation sectorielle détenant cette chaîne d’accéder aux données traitées par ses membres ou de combiner ladite chaîne avec d’autres éléments – Absence d’incidence
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 1)
(voir points 41-51, disp. 1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsables conjoints du traitement – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Inclusion – Condition – Influence de cette organisation sur le traitement de données à caractère personnel concerné ainsi que détermination par celle-ci, conjointement avec ses membres, des finalités et des moyens d’un tel traitement – Organisation n’ayant pas accès directement aux données personnelles traitées par ses membres – Absence d’incidence
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7, et 26, § 1)
(voir points 57-68, 77, disp. 2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Responsabilité conjointe du traitement – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Responsabilité conjointe de cette organisation s’étendant automatiquement aux traitements ultérieurs de données effectués par des tiers – Absence
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7, et 26, § 1)
(voir points 74-77, disp. 2)
Résumé
Saisie à titre préjudiciel, la Cour précise, d’une part, la notion de « données à caractère personnel » (1) et, d’autre part, les conditions dans lesquelles une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles relatif au consentement du traitement de données à caractère personnel, doit être qualifiée de « responsable conjoint du traitement » (2). La Cour fixe également les limites de la responsabilité conjointe d’une telle organisation.
IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen.
IAB Europe a élaboré le Transparency & Consent Framework (cadre de transparence et de consentement, ci-après le « TCF »), un cadre de règles visant à assurer la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site Internet ou d’une application effectué par certains opérateurs. Le TCF favorise le respect du RGPD lorsque ces opérateurs ont recours au protocole OpenRTB, utilisé pour le Real Time Bidding, un système de vente aux enchères en ligne instantanée et automatisée de profils d’utilisateurs aux fins de la vente et de l’achat d’espaces publicitaires sur Internet.
Dans ce contexte, le TCF facilite l’enregistrement des préférences des utilisateurs qui sont ensuite codées et stockées dans une chaîne composée d’une combinaison de lettres et de caractères désignée par IAB Europe sous le nom Transparency and Consent String (ci-après la « TC String »). Cette dernière est partagée avec des courtiers en données à caractère personnel et des plateformes publicitaires participant au protocole OpenRTB, afin que ceux-ci sachent ce à quoi l’utilisateur a consenti ou non. Un cookie est également placé sur l’appareil de l’utilisateur qui, combiné à la TC String, peut être lié à l’adresse IP de cet utilisateur.
Suite à plusieurs plaintes dirigées contre IAB Europe, la chambre contentieuse du Gegevensbeschermingsautoriteit (Autorité de protection des données, Belgique), par sa décision du 2 février 2022, a ordonné à IAB Europe, responsable du traitement des données, de mettre en conformité le traitement des données effectué dans le cadre du TCF avec les dispositions du RGPD.
IAB Europe a introduit un recours contre cette décision devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique). Nourrissant des doutes sur la question de savoir si une TC String, combinée ou non à une adresse IP, constitue une donnée à caractère personnel et, le cas échéant, si IAB Europe doit être qualifiée de responsable du traitement des données dans le cadre du TCF, en particulier au regard du traitement de la TC String, la cour d’appel de Bruxelles a saisi la Cour à titre préjudiciel.
Appréciation de la Cour
En premier lieu, la Cour relève qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contient les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement par des tiers de données à caractère personnel le concernant ou relatives à son opposition éventuelle à un traitement de telles données fondé sur un intérêt légitime allégué (3).
À cet égard, la Cour considère que, dans la mesure où le fait d’associer la TC String à l’adresse IP de l’appareil d’un utilisateur ou à d’autres identifiants permet d’identifier cet utilisateur, la TC String contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel (4). En outre, la circonstance que IAB Europe ne pourrait combiner elle-même la TC String avec l’adresse IP de l’appareil d’un utilisateur et ne disposerait pas de la possibilité d’accéder directement aux données traitées par ses membres dans le cadre du TCF ne fait pas obstacle à ce qu’une TC String soit qualifiée de « donnée à caractère personnel » (5).
Du reste, les membres de IAB Europe sont tenus de communiquer à celle-ci, à sa demande, toutes les informations lui permettant d’identifier les utilisateurs dont les données font l’objet d’une TC String. Il apparaît donc, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, que IAB Europe dispose de moyens raisonnables lui permettant d’identifier une personne physique déterminée à partir d’une TC String, grâce aux informations que ses membres et d’autres organisations qui participent au TCF sont tenus de lui fournir (6).
Ainsi, la Cour conclut qu’une TC String constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD. Il importe peu que, sans une contribution extérieure qu’elle est en droit d’exiger, une telle organisation sectorielle ne puisse ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner la TC String avec d’autres identifiants, tels que l’adresse IP de l’appareil d’un utilisateur.
En second lieu, la Cour examine si IAB Europe peut être considérée comme étant un responsable conjoint du traitement (7). Pour ce faire, il convient d’apprécier si elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel, telles que la TC String, et détermine, conjointement avec d’autres, les finalités et les moyens d’un tel traitement.
S’agissant, tout d’abord, des finalités d’un tel traitement de données, la Cour note que le TCF établi par IAB Europe vise, en substance, à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par certains opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires. Dès lors, sous réserve des vérifications incombant à la juridiction de renvoi, IAB Europe influe, à des fins qui lui sont propres, sur les opérations de traitement de données à caractère personnel et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations.
Ensuite, quant aux moyens utilisés aux fins de ce même traitement, la Cour constate, sous réserve des vérifications effectuées par la juridiction de renvoi, que le TCF constitue un cadre de règles que les membres d’IAB Europe sont censés accepter pour adhérer à cette association. En particulier, si l’un de ses membres ne se conforme pas à ces règles, IAB Europe peut adopter une décision de non-conformité et de suspension qui peut aboutir à l’exclusion dudit membre du TCF et l’empêcher de se prévaloir de la garantie de conformité au RGPD fournie par le TCF pour le traitement de données effectué au moyen des TC Strings. En outre, le TCF établi par IAB Europe contient des spécifications techniques relatives au traitement de la TC String ainsi que des règles précises sur le contenu de la TC String, son stockage et son partage. De plus, la Cour souligne que IAB Europe prescrit, dans le cadre de ces règles, la manière standardisée dont les différentes parties impliquées dans le TCF peuvent consulter les préférences, les objections et les consentements des utilisateurs contenus dans les TC Strings.
Dans ces conditions, et sous réserve desdites vérifications, la Cour conclut qu’une organisation sectorielle telle que IAB Europe influe, à des fins qui lui sont propres, sur les opérations de traitement de données à caractère personnel et détermine, de ce fait, conjointement avec ses membres, les moyens à l’origine de telles opérations. Elle doit donc être considérée comme « responsable conjoint du traitement » (8).
Enfin, la Cour précise qu’une distinction s’opère entre, d’une part, le traitement de données à caractère personnel effectué par les membres de IAB Europe, tels que les fournisseurs de sites Internet ou d’applications, les courtiers en données ou encore les plateformes publicitaires, lors de l’enregistrement dans une TC String des préférences en matière de consentement des utilisateurs concernés selon les règles établies dans le TCF et, d’autre part, le traitement ultérieur de ces données effectué par ces opérateurs ainsi que par des tiers sur la base de ces préférences, tel que la transmission des données à des tiers ou l’offre de publicité personnalisée à ces utilisateurs.
Dès lors, une organisation sectorielle, telle que IAB Europe, ne saurait être considérée comme étant responsable de tels traitements ultérieurs que lorsqu’il est établi que celle-ci a exercé une influence sur la détermination des finalités et des modalités de ces derniers, ce qu’il incombe à la juridiction de renvoi de vérifier.