droitdu.net

Un site utilisant Plateforme OpenUM.ca

CJEU C-604/22 traitement des données et responsabilité : étude de cas sur l’IAB Europe et le RGPD

17 mars 2024
Commentaires
Permalien

(LE PRÉSENT BILLET A ÉTÉ RÉDIGÉ DANS LE CADRE DU COURS DRT6929 (VIE PRIVÉE + NUMÉRIQUE (HIVER 2024)))

IAB Europe, une association sans but lucratif représentant les entreprises de l’industrie de la publicité et du marketing numériques, a développé le Transparency & Consent Framework (TCF). Le TCF est un ensemble de règles qui permettent aux fournisseurs de sites Internet ou d’applications et aux courtiers en données ou plateformes publicitaires de traiter légalement les données personnelles des utilisateurs, conformément au RGPD, lorsqu’ils utilisent le protocole OpenRTB pour le Real Time Bidding (RTB), un système de vente aux enchères en ligne instantanée et automatisée d’espaces publicitaires sur Internet.

Des plaintes ont été déposées auprès de l’Autorité de protection des données (APD) concernant la conformité du TCF avec le RGPD. Après examen, l’APD a jugé que IAB Europe agissait en tant que responsable du traitement des données personnelles concernant l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs individuels au moyen d’une chaîne de transparence et de consentement (Transparency and Consent String, ou TC String). IAB Europe a été ordonné de mettre en conformité le traitement des données avec le RGPD et des mesures correctrices ainsi qu’une amende administrative ont été imposées.

IAB Europe a contesté cette décision devant la Cour d’appel de Bruxelles, arguant que la TC String n’est pas une donnée personnelle (I) et qu’elle n’est pas un responsable du traitement (II). La cour a décidé de surseoir à statuer jusqu’à ce que la Cour de justice de l’Union européenne.

La TC String, en lien avec le traitement des données personnelles des utilisateurs, constitue-t-elle une donnée à caractère personnel au sens du RGPD lorsque générée, stockée et diffusée conformément au standard établi par IAB Europe, et est-ce que cela change si elle est associée à une adresse IP ?

Pour répondre à cette question la Cour rappelle que l’article 4 (1) du RGPD définit une donnée à caractère personnel comme

« toute information se rapportant à une personne physique identifiée ou identifiable ».

L’utilisation de l’expression « toute information » mets en exergue l’intention du législateur de l’Union d’attribuer un sens large à cette notion. La jurisprudence l’avait par ailleurs déjà souligné. Ainsi, une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable. Une personne physique est réputée identifiable si elle peut être identifiée, par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En ce qui concerne le caractère « identifiable » d’une personne, il est important de noter que l’article 4(1), du RGPD prévoit qu’une personne est réputée identifiable si elle peut être identifiée non seulement directement, mais aussi indirectement. De plus depuis l’arrêt Breyer, il n’est donc pas nécessaire que l’information permette, à elle seule, d’identifier la personne concernée.

Dans le cas sous examen, la TC String contient les préférences d’un utilisateur relatives au consentement au traitement de ses données personnelles par des tiers. Même si la TC String ne contient pas d’éléments permettant l’identification directe de la personne concernée, elle contient des informations se rapportant à une personne physique, au sens de l’article 4 (1) du RGPD.

De plus, lorsque les informations contenues dans la TC String sont associées à un identifiant tel que l’adresse IP de l’appareil de l’utilisateur, elles peuvent permettre de créer un profil de l’utilisateur et d’identifier effectivement la personne concernée.

Comme le précise la Cour dans cet arrêt, il résulte depuis l’arrêt Pankki S que

« « données à caractère personnel » ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable »

En conclusion, le fait que l’organisation sectorielle qui a établi le cadre de règles n’a pas accès directement aux données personnelles traitées par ses membres dans ce contexte n’empêche pas la TC String d’être considérée comme une donnée à caractère personnel puisqu’elle contient des informations se rapportant à une personne physique pouvant être lié à l’utilisateur final identifiable.

Doit-on considérer qu’IAB Europe est responsable du traitement des données personnelles lorsqu’elle propose un standard de gestion du consentement contenant des règles détaillées sur le stockage et la diffusion des données de consentement, et cette responsabilité s’étend-elle aux tiers qui recueillent les préférences des utilisateurs pour la publicité ciblée en ligne ?

À cette question la Cour a décidé que IAB Europe, en tant qu’entité sectorielle ayant établi les normes du TCF (sans recevoir directement les données personnelles des utilisateurs du TCF ou s’engager dans la publicité numérique), partage la responsabilité du traitement avec les utilisateurs du TCF en ce qui concerne la création et l’utilisation du TC String. La Cour considère que le TCF est conçu pour promouvoir la publicité numérique et que IAB Europe, en tant qu’organisation sectorielle dans ce domaine, a un intérêt distinct dans le traitement, contribuant ainsi à définir l’objectif du traitement. La Cour poursuit et étoffe son interprétation jurisprudentielle de « responsable de traitement»(article 4(7)).

« L’organisme qui détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’eux étant alors soumis aux dispositions applicables en matière de protection des données »

Cette interprétation large de la détermination de la finalité du traitement pourrait avoir des implications pour de nombreuses organisations sectorielles et organismes de normalisation, en affectant leur capacité à élaborer des normes.

De plus, en établissant une norme technique, IAB Europe aurait également influencé les « moyens » du traitement. Ainsi, l’article 26 du RGPD et la jurisprudence de la Cour caractérisent IAB Europe comme responsable conjoint de traitement. Nonobstant, être responsable de traitement n’induit pas nécessairement une responsabilité équivalente. En effet, une implication à un traitement ne présuppose pas un accès aux données personnelles. La Cour a décidé que IAB Europe ne partageait pas la responsabilité du traitement pour le traitement ultérieur de données à caractère personnel effectué par ces opérateurs ainsi que par des tiers sur la base de ces préférences.

« IAB Europe, ne saurait être considérée comme étant responsable de tels traitements ultérieurs que lorsqu’il est établi que celle-ci a exercé une influence sur la détermination des finalités et des modalités de ces derniers, ce qu’il incombe à la juridiction de renvoi de vérifier au regard de l’ensemble des circonstances pertinentes de l’affaire au principal. »

Contenu des dispositions de la Cour nous pouvons conclure qu’une organisation établissant des règles relatives au traitement de données à caractère personnel, influe, à des fins qui lui sont propres, sur le traitement desdites données doit être qualifié de responsable conjoint du traitement. Cependant, la responsabilité conjointe de cette organisation sur les traitements ultérieur des données personnel effectués par des tiers n’est pas automatique. Il convient à cet égard de déterminer, à nouveau, la présence d’influence de la part de cette organisation.

 

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets