CJUE – IAB Europe – C-604/22

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-604/22

Nom:

IAB Europe

Date:

7 mars 2024

Pays:

Pays-Bas

Lien:

Cliquer ici

Contexte

IAB Europe est une association sans but lucratif établie en Belgique, qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré le Transparency & Consent Framework (cadre de transparence et de consentement, ci-après le « TCF »), qui est un cadre de règles composé de directives, d’instructions, de spécifications techniques, de protocoles et d’obligations contractuelles qui permettent tant au fournisseur d’un site Internet ou d’une application qu’à des courtiers en données ou encore à des plateformes publicitaires de traiter légalement les données à caractère personnel d’un utilisateur d’un site Internet ou d’une application.

Dans ce contexte, le TCF fournit un cadre pour un traitement de données à caractère personnel à grande échelle et facilite l’enregistrement des préférences des utilisateurs au moyen de la « Consent Management Platform » (ci-après la « CMP »). Ces préférences sont par la suite codées et stockées dans une chaîne composée d’une combinaison de lettres et de caractères désignée par IAB Europe sous le nom Transparency and Consent String (ci-après la « TC String »), qui est partagée avec des courtiers en données à caractère personnel et des plateformes publicitaires participant au protocole OpenRTB.

Depuis l’année 2019, l’APD a reçu plusieurs plaintes dirigées contre IAB Europe, en provenance tant de la Belgique que de pays tiers, et portant sur la conformité du TCF au RGPD. La chambre contentieuse de l’APD a, par sa décision du 2 février 2022 (ci-après la « décision du 2 février 2022 »), jugé que IAB Europe agissait en tant que responsable du traitement et l'a condamné à une amende. IAB Europe a introduit un recours contre ladite décision devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), qui est la juridiction de renvoi.

Apport(s)
Donnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission Extrait(s) pertinent(s)51. Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Pankki S – C-579/21 > CJUE – Nacionalinis visuomenės sveikatos centras – C-683/21 > CJUE – Breyer – C-582/14 > CJUE – Österreichische Datenschutzbehörde et CRIF – C-487/21 > CJUE – M.I.C.M. – C-597/19 Autres informations
Responsabilité conjointe - Organisation sectorielle établissant un cadre de traitement contraignant avec ses membres - Admission - Extension automatique de cette qualité aux traitements ultérieurs - Absence Extrait(s) pertinent(s)77. Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la seconde question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que : – d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ; – d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne. Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22 > CJUE – Nacionalinis visuomenės sveikatos centras – C-683/21 > CJUE – Fashion ID – C-40/17 > CJUE – Jehovan todistajat – C-25/17 > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 Autres informations

Apport(s)

Donnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission

Extrait(s) pertinent(s)51. Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée.
Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
Article(s) du RGPD Article 4 – Définitions
Fait référence à > CJUE – Pankki S – C-579/21
> CJUE – Nacionalinis visuomenės sveikatos centras – C-683/21
> CJUE – Breyer – C-582/14
> CJUE – Österreichische Datenschutzbehörde et CRIF – C-487/21
> CJUE – M.I.C.M. – C-597/19
Autres informations

Responsabilité conjointe - Organisation sectorielle établissant un cadre de traitement contraignant avec ses membres - Admission - Extension automatique de cette qualité aux traitements ultérieurs - Absence

Extrait(s) pertinent(s)77. Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la seconde question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que :
– d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;

– d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.
Article(s) du RGPD Article 4 – Définitions
Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22
> CJUE – Nacionalinis visuomenės sveikatos centras – C-683/21
> CJUE – Fashion ID – C-40/17
> CJUE – Jehovan todistajat – C-25/17
> CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16
Autres informations