Le 7 mars 2024, la Cour de Justice de l’Union Européenne (ci-après « CJUE »), s’est prononcée dans l’affaire opposant IAB Europe et l’Autorité Belge de la protection des données (ci-après « APD »), concernant la vente aux enchères massive de données à caractère personnel. Contexte La vente aux enchères de données à caractères personnel en ligne instantanée et automatisée de profils d’utilisateurs, aussi appelée « Real Time Bidding » ou « RTB », est une forme de publicité qui permet la vente et l’achat d’espaces publicitaires. Le système fonctionne de la manière suivante : lorsqu’un utilisateur consulte un site internet qui contient un espace publicitaire, les opérateurs publicitaires (annonceurs) enchérissent en temps réel, pour obtenir cet espace publicitaire, via l’OpenRTB, afin d’afficher des publicités ciblées et adaptées au profil de cet utilisateur. Le consentement de l’utilisateur est préalablement recueilli lors de sa première connexion, via une plateforme de gestion du consentement, le Consent Management Platform (ci-après CMP). En effet, l’utilisateur peut : 1. donner son consentement en vue du traitement de ses données (localisation, âge, historique des recherches et achats récents) à des fins de marketing ou publicité ou en vue du partage de ses données avec certains fournisseurs ; 2. s’opposer à ces différents traitements. IAB Europe, organisme de normalisation, a élaboré le Transparency & Consent Framework ou « TCF », un cadre réglementaire qui permet à tout acteur de l’Internet de traiter les données à caractère personnelle des utilisateurs conformément au Règlement Général sur la Protection des Données (ci-après « RGPD »). Le TFC est censé favoriser le respect de la réglementation européenne lorsque les annonceurs utilisent le protocole OpenRTB, pour faire du Real Time Bidding. Le TFC facilite l’enregistrement des préférences des utilisateurs au moyen de la CMP. Les données sont codées et stockées dans une chaine composée d’une combinaison de lettres ou de caractères appelée Transparency and Consent String (ci-après TC String). Un cookie est placé par le CMP sur l’appareil de l’utilisateur qui, combiné avec le TC String, peut être lié à l’adresse IP de l’utilisateur. Les préférences des utilisateurs sont ensuite communiquées aux courtiers et plateformes publicitaires. La TC String facilite donc la vente de publicités ciblées. Procédure En 2019, plusieurs plaintes ont été dirigées contre IAB Europe portant sur la conformité du TFC au RGPD (qualité du consentement, défaut de mesures de sécurité, absence d’analyse d’impact, etc). Après avoir examiné ces plaintes, l’Autorité Belge de la protection des données a jugé le 2 février 2022, que : – IAB Europe agit qualité de responsable du traitement portant sur l’enregistrement des préférences de l’utilisateur au moyen de TC String, en ce qu’elle détermine les finalités et les moyens du traitement, la manière dont les TC Strings sont générées, modifiées et lues, de quelle façon et où les cookies nécessaires sont stockés, qui reçoit les données personnelles et sur la base de quels critères les délais de conservation des TC Strings peuvent être établies ; – la TC String est une donnée à caractère personnel. L’APD a notamment ordonné à IAB Europe de mettre en conformité le traitement effectué dans le cadre du TCF au RGPD et de payer une amende administrative de 250 000€. Cette dernière a formé un recours contre cette décision devant la Cour d’appel de Bruxelles, en faisant valoir que la TC String n’est pas une donnée à caractère personnel et que seuls les participants au TCF peuvent combiner la TC String avec l’adresse IP. La Cour d’appel de Bruxelles a décidé de surseoir à statuer et a saisi la CJUE de deux questions préjudicielles : – La TC String, combinée avec une adresse IP, constitue-t-elle une donnée à caractère personnel au sens du RGPD ? – IAB Europe est-elle responsable conjoint du traitement au sens du RGPD ?’ Décision Par une décision du 7 mars 2024, la ProcédureCJUE s’est prononcée sur les deux questions préjudicielles. 1. Lorsqu’on peut identifier indirectement une personne par des moyens raisonnables, il s’agit d’une donnée à caractère personnel soumise à la réglementation La Cour rappelle que si la définition de donnée à caractère personnel est large, il faut faire une analyse concrète pour vérifier si un individu est ou non identifiable. Ici elle retient que la TC String est une donnée à caractère personnel dès lors qu’elle contient les préférences individuelles d’un utilisateur spécifique et qu’elle peut être associée, par des moyens raisonnables, à l’adresse IP de l’utilisateur. Ainsi, la TC String permet d’identifier indirectement la personne concernée, même si celui qui effectue le traitement ne détient pas tous les moyens de l’identification. 2. La responsabilité conjointe se déduit du fait qu’un acteur a déterminé ou influé sur la détermination des finalités du traitement La Haute cour rappelle que le TFC vise à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par les opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires. Elle rappelle que pour qu’il y ait responsabilité conjointe, il faut que l’acteur ait déterminé ou influé sur la détermination des finalités. Il n’est pas impératif que les responsables de traitement poursuivent les mêmes finalités, ni qu’ils prennent des décisions communes quant à la détermination des finalités, ni même qu’ils aient accès aux données pour lesquelles ils ont défini ou influé sur les finalités. Elle estime que IAB Europe influe sur les opérations de traitement de données à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations. IAB Europe doit donc être considéré comme responsable conjoint du traitement. Toutefois, elle considère logiquement que IAB Europe n’est pas responsable des traitements ultérieurs effectués par des tiers (fournisseurs de sites ou d’applications), pour ce qui concerne les préférences des utilisateurs aux fins de la publicité en ligne. Désormais, il convient d’attendre que la Cour d’appel se prononce sur le fond et confirme ou non la décision de l’Autorité Belge de la protection des données. Quelles sont les répercussions de cet arrêt sur les différents acteurs ? Cet arrêt a une incidence positive pour les personnes concernées par ce type de traitements, puisque les rôles et obligations incombant à chaque acteur sont précisés. Ainsi, elles voient leurs droits à la protection des données renforcés. Si la Cour d’appel de Bruxelles confirme la décision de la CJUE, IAB Europe, en qualité de responsable de traitement, devra respecter un certain nombre d’obligations, telles que par exemple la conclusion de contrats de responsabilité conjointe avec les opérateurs publicitaires (courtiers et fournisseurs) qui utilisent le TCF. Ces derniers seront donc solidairement responsables vis-à-vis utilisateurs. Les éditeurs de sites Internet et opérateurs publicitaires devront également veiller à respecter le RGPD, pour les traitements de données qui les concernent, être attentifs aux outils et services qu’ils utilisent pour effectuer de la publicité ciblée. Les acteurs de la publicité digitale seront sans doute aidés si la juridiction de renvoi belge caractérise l’influence réciproque des acteurs sur la détermination des finalités et des moyens de traitement sur la TC String. Anne Messas Avocate associée Margaux Maarek Juriste en Propriété industrielle (1) CJUE, 7 mars 2024, IAB Europe contre Gegevensbeschermingsautoritei, aff. C-604/22 ;