Vente aux enchères de données personnelles à des fins publicitaires et respect du RGPD
Arrêt de la Cour de justice de l’Union européenne (CJUE) du 7 mars 2024, Affaire C‑604/22
I. Contexte
IAB Europe (ci-après : IAB) est une association sans but lucratif établie en Belgique qui représente les entreprises actives dans le secteur de la publicité et du marketing numériques au niveau européen. Elle a développé un cadre de règles dénommé « Transparency and Consent Framework » (ci-après : TCF) visant à permettre aux fournisseurs de sites Internet ou d’applications, aux courtiers en données et aux plateformes publicitaires (ci-après : les Opérateurs) de se conformer au RGPD lorsqu’ils recourent à l’un des protocoles (OpenRTB) de vente aux enchères en ligne instantanée et automatisée d’espaces publicitaires sur Internet, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding ; ci-après : RTB). Pour ce faire, le consentement préalable de l’utilisateur doit être recueilli en vue de la collecte et du traitement de ses données personnelles, notamment à des fins de publicité et de marketing. Le TCF facilite l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs qui sont ensuite codées et stockées dans une chaîne composée d’une combinaison de lettres et de caractères nommée « Transparency and Consent String » (ci-après : TC String). La TC String est ensuite partagée avec les Opérateurs, permettant à ces derniers de prendre connaissance de ce à quoi l’utilisateur a consenti ou s’est opposé. En sus, un cookie est placé sur l’appareil de l’utilisateur et lorsque ce cookie est combiné avec la TC String ils peuvent être liés à l’adresse IP de l’utilisateur concerné.
Saisie de plaintes portant sur la conformité du TCF au RGPD, l’Autorité belge de protection des données (APD) procède à son examen en qualité de chef de file (art. 56 RGPD). Par décision du 2 février 2022, l’APD juge que le TC String constitue une donnée à caractère personnel au sens du RGPD et que IAB avait agi en tant que responsable du traitement sans assurer le plein respect du RGPD.
Contre cette décision, IAB introduit recours par devant la Cour d’appel de Bruxelles, arguant que, d’une part, la TC String n’est pas une donnée personnelle et que, d’autre part, elle n’est pas responsable du traitement. Cette autorité saisit la Cour de justice de deux questions préjudicielles qui portent respectivement sur le fait qu’une chaîne de caractères numériques traduisant les préférences des utilisateurs pouvait être considérée comme une donnée personnelle et sur le statut de responsable du traitement d’une organisation sectorielle de standardisation comme IAB.
II. Notion de données à caractère personnel
La TC String constitue-t-elle une donnée à caractère personnel lorsqu’elle est générée, stockée et diffusée sur la base des standards établis par IAB ? C’est donc à cette question que la CJUE répond dans un premier temps.
Le recours à l’expression « toute information » à l’art. 4 para. 1 RGPD reflète le caractère large de la notion de « donnée à caractère personnel ». En outre, une personne est réputée identifiable si elle peut être identifiée non seulement directement, mais aussi indirectement, de sorte que les données personnelles qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable (cf. swissprivacy.law/240). En d’autres termes, il n’est pas nécessaire que l’information permette, à elle seule, d’identifier la personne concernée.
À son considérant 26, le RGPD précise que pour qu’une personne soit identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement tels que le ciblage. Ce libellé implique que la qualification d’une donnée en tant que donnée à caractère personnel ne nécessite pas que l’ensemble des informations permettant d’identifier la personne concernée soient détenues par une seule personne (voir en ce sens l’affaire C‑579/21 ).
En l’espèce, la Cour relève que le TC String contient les préférences d’un utilisateur relatives à son consentement ou à son opposition au traitement des données personnelles le concernant par un tiers. Quand bien même elle ne contient pas d’éléments permettant l’identification directe de l’utilisateur, elle contient des informations se rapportant à une personne physique. À cela s’ajoute le fait que l’association du TC String avec un identifiant, tel que l’adresse IP de l’utilisateur, peut permettre la création d’un profil de l’utilisateur en question et ainsi de l’identifier.
Le fait que IAB ne puisse, sans contribution extérieure, accéder aux données qui sont traitées par ses membres ou combiner la TC String avec d’autres identifiants tels que l’adresse IP n’est pas relevant selon la CJUE. Il s’ensuit que la TC String doit être considérée comme une donnée à caractère personnel.
III. Notion de responsable du traitement
Pour déterminer ensuite si IAB peut être considéré comme un responsable du traitement, la Cour reprend l’art. 4 para. 7 RGPD qui défini le responsable du traitement comme l’organisme qui, « seul ou conjointement », détermine les finalités et les moyens du traitement. Par ce biais le RGPD institue une notion de responsable du traitement ne renvoyant pas nécessairement à un organisme unique et peut dès lors concerner plusieurs acteurs participant au traitement. Est donc considéré comme responsable du traitement celui qui, à des fins qui lui sont propres, influe sur le traitement et participe à la détermination des finalités et des moyens du traitement concerné.
La Cour met en exergue le fait que, dans le cadre de la détermination de l’existence de responsables conjoints du traitement, l’existence d’un accord formel entre les acteurs du traitement quant aux finalités et aux moyens dudit traitement ne saurait être requis. En effet, la participation à la détermination des finalités et des moyens du traitement peut être protéiforme. En l’absence de décision commune, seul est pertinent le fait de déterminer si les décisions prises par les acteurs dudit traitement se complètent de façon que chacune d’entre elle ait un effet concret sur la détermination des finalités et des moyens du traitement.
S’agissant des finalités, la CJUE relève que IAB a établi le TCF, lequel tend à favoriser et à permettre l’achat-vente d’espaces publicitaires sur Internet par les Opérateurs participant à la vente aux enchères de tels espaces. De ce fait, IAB influe, à des fins qui lui sont propres, sur les opérations de traitement et détermine de manière conjointe avec ses membres les finalités desdites opérations.
Quant aux moyens utilisés aux fins du traitement des données, les membres d’IAB doivent accepter le TCF pour adhérer à l’association et sont susceptibles de s’en voir exclus en cas de violation des règles du TCF. En outre, IAB établit la façon dont les préférences utilisateurs doivent être recueillies, la manière dont elles doivent être traitées afin de générer une TC String, mais également le stockage et la diffusion de cette dernière.
Au vu de ces éléments, la CJUE retient, sous réserve des vérifications auxquelles doit procéder la Cour d’appel, que IAB influe sur les moyens du traitement en cause et doit, partant, être qualifiée de responsable conjoint du traitement au sens des art. 7 para. 7 et 26 RGPD.
Cela étant dit, la Cour précise que des responsables conjoints du traitement n’assument pas nécessairement une responsabilité équivalente, dès lors qu’ils peuvent être impliqués à des stades différents du traitement en question et selon des degrés différents. Leur responsabilité doit donc être appréciée in concreto, l’accès de chaque acteur aux données à caractère personnel ne constituant pas une condition à la reconnaissance d’une responsabilité conjointe.
Il ressort de la notion figurant à l’art. 4 para. 2 RGPD qu’un traitement de données personnelles peut impliquer plusieurs opérations, chacune étant associée à une phase distincte du traitement. De ce fait, à défaut de déterminer les finalités et les moyens des opérations antérieures ou postérieures de la chaîne de traitement, la personne physique ou morale ne saurait être considérée comme étant responsable.
In casu, le traitement ultérieur par lequel les Opérateurs et les tiers transmettent les préférences en matière de consentement des utilisateurs concernés et/ou offrent à ces derniers de la publicité personnalisée, ne paraît pas, selon la Cour, impliquer IAB. Il s’ensuit que la responsabilité conjointe de IAB ne s’étend pas de façon systématique aux traitements ultérieurs effectués par des tiers.
IV. Conclusion
Cet arrêt est porteur de clarifications bienvenues sur l’application du RGPD dans le contexte de la vente aux enchères de données personnelles à des fins publicitaires. La CJUE clarifie des concepts-clés du RGPD en précisant la notion de responsable du traitement et en qualifiant de donnée à caractère personnel une chaîne de caractères structurés qui contient les préférences des utilisateurs. Du fait de la notion fortement englobante de donnée à caractère personnelle et étant donné la large interprétation de la détermination de la finalité du traitement, de nombreuses organisations sectorielles et organismes de normalisation pourraient être impactés dans leur capacité à élaborer des normes.
Proposition de citation : Nathanaël Pascal, Vente aux enchères de données personnelles à des fins publicitaires et respect du RGPD, 5 juin 2024 in www.swissprivacy.law/303
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.