Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 7 mars 2024, Affaire C‑604/​22 

I. Contexte 

IAB Europe (ci-après : IAB) est une asso­cia­tion sans but lucra­tif établie en Belgique qui repré­sente les entre­prises actives dans le secteur de la publi­cité et du marke­ting numé­riques au niveau euro­péen. Elle a déve­loppé un cadre de règles dénommé « Transparency and Consent Framework » (ci-après : TCF) visant à permettre aux four­nis­seurs de sites Internet ou d’applications, aux cour­tiers en données et aux plate­formes publi­ci­taires (ci-après : les Opérateurs) de se confor­mer au RGPD lorsqu’ils recourent à l’un des proto­coles (OpenRTB) de vente aux enchères en ligne instan­ta­née et auto­ma­ti­sée d’espaces publi­ci­taires sur Internet, afin d’y affi­cher des publi­ci­tés adap­tées au profil de l’utilisateur (Real Time Bidding ; ci-après : RTB). Pour ce faire, le consen­te­ment préa­lable de l’utilisateur doit être recueilli en vue de la collecte et du trai­te­ment de ses données person­nelles, notam­ment à des fins de publi­cité et de marke­ting. Le TCF faci­lite l’enregistrement du signal de consen­te­ment, des objec­tions et des préfé­rences des utili­sa­teurs qui sont ensuite codées et stockées dans une chaîne compo­sée d’une combi­nai­son de lettres et de carac­tères nommée « Transparency and Consent String » (ci-après : TC String). La TC String est ensuite parta­gée avec les Opérateurs, permet­tant à ces derniers de prendre connais­sance de ce à quoi l’utilisateur a consenti ou s’est opposé. En sus, un cookie est placé sur l’appareil de l’utilisateur et lorsque ce cookie est combiné avec la TC String ils peuvent être liés à l’adresse IP de l’utilisateur concerné.  

Saisie de plaintes portant sur la confor­mité du TCF au RGPD, l’Autorité belge de protec­tion des données (APD) procède à son examen en qualité de chef de file (art. 56 RGPD). Par  déci­sion du 2 février 2022, l’APD juge que le TC String consti­tue une donnée à carac­tère person­nel au sens du RGPD et que IAB avait agi en tant que respon­sable du trai­te­ment sans assu­rer le plein respect du RGPD.  

Contre cette déci­sion, IAB intro­duit recours par devant la Cour d’appel de Bruxelles, arguant que, d’une part, la TC String n’est pas une donnée person­nelle et que, d’autre part, elle n’est pas respon­sable du trai­te­ment. Cette auto­rité saisit la Cour de justice de deux ques­tions préju­di­cielles qui portent respec­ti­ve­ment sur le fait qu’une chaîne de carac­tères numé­riques tradui­sant les préfé­rences des utili­sa­teurs pouvait être consi­dé­rée comme une donnée person­nelle et sur le statut de respon­sable du trai­te­ment d’une orga­ni­sa­tion secto­rielle de stan­dar­di­sa­tion comme IAB. 

II. Notion de données à carac­tère personnel

La TC String consti­tue-t-elle une donnée à carac­tère person­nel lorsqu’elle est géné­rée, stockée et diffu­sée sur la base des stan­dards établis par IAB ? C’est donc à cette ques­tion que la CJUE répond dans un premier temps.

Le recours à l’expression « toute infor­ma­tion » à l’art. 4 para. 1 RGPD reflète le carac­tère large de la notion de « donnée à carac­tère person­nel ». En outre, une personne est répu­tée iden­ti­fiable si elle peut être iden­ti­fiée non seule­ment direc­te­ment, mais aussi indi­rec­te­ment, de sorte que les données person­nelles qui pour­raient être attri­buées à une personne physique par le recours à des infor­ma­tions supplé­men­taires doivent être consi­dé­rées comme des infor­ma­tions concer­nant une personne physique iden­ti­fiable (cf. swiss​pri​vacy​.law/​240). En d’autres termes, il n’est pas néces­saire que l’information permette, à elle seule, d’identifier la personne concer­née.  

À son consi­dé­rant 26, le RGPD précise que pour qu’une personne soit iden­ti­fiable, il convient de prendre en consi­dé­ra­tion l’ensemble des moyens raison­na­ble­ment suscep­tibles d’être utili­sés par le respon­sable du trai­te­ment ou par toute autre personne pour iden­ti­fier la personne physique direc­te­ment ou indi­rec­te­ment tels que le ciblage. Ce libellé implique que la quali­fi­ca­tion d’une donnée en tant que donnée à carac­tère person­nel ne néces­site pas que l’ensemble des infor­ma­tions permet­tant d’identifier la personne concer­née soient déte­nues par une seule personne (voir en ce sens l’affaire C‑579/​21 ). 

En l’espèce, la Cour relève que le TC String contient les préfé­rences d’un utili­sa­teur rela­tives à son consen­te­ment ou à son oppo­si­tion au trai­te­ment des données person­nelles le concer­nant par un tiers. Quand bien même elle ne contient pas d’éléments permet­tant l’identification directe de l’utilisateur, elle contient des infor­ma­tions se rappor­tant à une personne physique. À cela s’ajoute le fait que l’association du TC String avec un iden­ti­fiant, tel que l’adresse IP de l’utilisateur, peut permettre la créa­tion d’un profil de l’utilisateur en ques­tion et ainsi de l’identifier.

Le fait que IAB ne puisse, sans contri­bu­tion exté­rieure, accé­der aux données qui sont trai­tées par ses membres ou combi­ner la TC String avec d’autres iden­ti­fiants tels que l’adresse IP n’est pas rele­vant selon la CJUE. Il s’ensuit que la TC String doit être consi­dé­rée comme une donnée à carac­tère personnel.

III. Notion de respon­sable du traitement 

Pour déter­mi­ner ensuite si IAB peut être consi­déré comme un respon­sable du trai­te­ment, la Cour reprend l’art. 4 para. 7 RGPD qui défini le respon­sable du trai­te­ment comme l’organisme qui, « seul ou conjoin­te­ment », déter­mine les fina­li­tés et les moyens du trai­te­ment. Par ce biais le RGPD insti­tue une notion de respon­sable du trai­te­ment ne renvoyant pas néces­sai­re­ment à un orga­nisme unique et peut dès lors concer­ner plusieurs acteurs parti­ci­pant au trai­te­ment. Est donc consi­déré comme respon­sable du trai­te­ment celui qui, à des fins qui lui sont propres, influe sur le trai­te­ment et parti­cipe à la déter­mi­na­tion des fina­li­tés et des moyens du trai­te­ment concerné.  

La Cour met en exergue le fait que, dans le cadre de la déter­mi­na­tion de l’existence de respon­sables conjoints du trai­te­ment, l’existence d’un accord formel entre les acteurs du trai­te­ment quant aux fina­li­tés et aux moyens dudit trai­te­ment ne saurait être requis. En effet, la parti­ci­pa­tion à la déter­mi­na­tion des fina­li­tés et des moyens du trai­te­ment peut être protéi­forme. En l’absence de déci­sion commune, seul est perti­nent le fait de déter­mi­ner si les déci­sions prises par les acteurs dudit trai­te­ment se complètent de façon que chacune d’entre elle ait un effet concret sur la déter­mi­na­tion des fina­li­tés et des moyens du traitement.

S’agissant des fina­li­tés, la CJUE relève que IAB a établi le TCF, lequel tend à favo­ri­ser et à permettre l’achat-vente d’espaces publi­ci­taires sur Internet par les Opérateurs parti­ci­pant à la vente aux enchères de tels espaces. De ce fait, IAB influe, à des fins qui lui sont propres, sur les opéra­tions de trai­te­ment et déter­mine de manière conjointe avec ses membres les fina­li­tés desdites opérations.

Quant aux moyens utili­sés aux fins du trai­te­ment des données, les membres d’IAB doivent accep­ter le TCF pour adhé­rer à l’association et sont suscep­tibles de s’en voir exclus en cas de viola­tion des règles du TCF. En outre, IAB établit la façon dont les préfé­rences utili­sa­teurs doivent être recueillies, la manière dont elles doivent être trai­tées afin de géné­rer une TC String, mais égale­ment le stockage et la diffu­sion de cette dernière.

Au vu de ces éléments, la CJUE retient, sous réserve des véri­fi­ca­tions auxquelles doit procé­der la Cour d’appel, que IAB influe sur les moyens du trai­te­ment en cause et doit, partant, être quali­fiée de respon­sable conjoint du trai­te­ment au sens des art. 7 para. 7 et 26 RGPD.  

Cela étant dit, la Cour précise que des respon­sables conjoints du trai­te­ment n’assument pas néces­sai­re­ment une respon­sa­bi­lité équi­va­lente, dès lors qu’ils peuvent être impli­qués à des stades diffé­rents du trai­te­ment en ques­tion et selon des degrés diffé­rents. Leur respon­sa­bi­lité doit donc être appré­ciée in concreto, l’accès de chaque acteur aux données à carac­tère person­nel ne consti­tuant pas une condi­tion à la recon­nais­sance d’une respon­sa­bi­lité conjointe.

Il ressort de la notion figu­rant à l’art. 4 para. 2 RGPD qu’un trai­te­ment de données person­nelles peut impli­quer plusieurs opéra­tions, chacune étant asso­ciée à une phase distincte du trai­te­ment. De ce fait, à défaut de déter­mi­ner les fina­li­tés et les moyens des opéra­tions anté­rieures ou posté­rieures de la chaîne de trai­te­ment, la personne physique ou morale ne saurait être consi­dé­rée comme étant respon­sable. 

In casu, le trai­te­ment ulté­rieur par lequel les Opérateurs et les tiers trans­mettent les préfé­rences en matière de consen­te­ment des utili­sa­teurs concer­nés et/​ou offrent à ces derniers de la publi­cité person­na­li­sée, ne paraît pas, selon la Cour, impli­quer IAB. Il s’ensuit que la respon­sa­bi­lité conjointe de IAB ne s’étend pas de façon systé­ma­tique aux trai­te­ments ulté­rieurs effec­tués par des tiers.

IV. Conclusion

Cet arrêt est porteur de clari­fi­ca­tions bien­ve­nues sur l’application du RGPD dans le contexte de la vente aux enchères de données person­nelles à des fins publi­ci­taires. La CJUE clari­fie des concepts-clés du RGPD en préci­sant la notion de respon­sable du trai­te­ment et en quali­fiant de donnée à carac­tère person­nel une chaîne de carac­tères struc­tu­rés qui contient les préfé­rences des utili­sa­teurs. Du fait de la notion forte­ment englo­bante de donnée à carac­tère person­nelle et étant donné la large inter­pré­ta­tion de la déter­mi­na­tion de la fina­lité du trai­te­ment, de nombreuses orga­ni­sa­tions secto­rielles et orga­nismes de norma­li­sa­tion pour­raient être impac­tés dans leur capa­cité à élabo­rer des normes.