IAB Europe (IAB) a élaboré un cadre de transparence et de consentement (le Transparency & Consent Framework ou « TCF ») composé de règles destinées à ses acteurs. Le TCF a été présenté comme une solution susceptible de rendre conforme au RGPD, le « RTB », un système de ventes aux enchères qui permet un échange massif de données à caractère personnel relatives aux profils d’utilisateurs (localisation de l’utilisateur, son âge, l’historique de ses recherches et de ses achats récents). Il est prévu que le consentement préalable de l’utilisateur est recueilli, une plateforme de gestion du consentement (Consent Management Platform ou CMP) récupère les préférences des utilisateurs qui sont ensuite codées et stockées dans une chaîne de lettres et caractères nommée TC String. Cette TC String, au cœur de la présente affaire, est partagée avec des entreprises afin qu’elles sachent ce à quoi l’utilisateur a consenti ou non. La CMP place également un cookie sur l’appareil de l’utilisateur qui, lorsqu’il est combiné avec la TC String, peut être lié son adresse IP.

C’est dans ce contexte technique qu’une demande a été présentée dans le cadre d’un litige opposant IAB à l’Autorité de protection des données belge (APD), au sujet d’une décision de l’APD adoptée contre IAB concernant la violation alléguée de plusieurs dispositions du RGPD.

Le 2 février 2022, l’APD a jugé qu’IAB agissait en tant que responsable du traitement des données à caractère personnel en ce qui concerne l’enregistrement du consentement, des objections et des préférences des utilisateurs individuels au moyen d’une TC String, qui, selon l’APD, est associée à un utilisateur identifiable. En outre, elle a ordonné à IAB de mettre en conformité le traitement des données personnelles effectué dans le cadre du TCF et a imposé des mesures correctrices et une amende administrative.

La Cour d’appel de Bruxelles saisie par IAB, a des doutes quant au fait de savoir si une TC String, combinée ou non à une adresse IP, constitue une donnée à caractère personnel, et si tel est le cas, IAB doit être qualifiée de responsable du traitement des données personnelles dans le cadre du TCF, au regard du traitement de la TC String. Elle a donc décidé de surseoir à statuer et posé deux séries de questions préjudicielles à la CJUE.

La TC String qualifiée de données à caractère personnel

La première question préjudicielle porte sur la notion de données à caractère personnel telle que définie à l’article 4§1 du RGPD. Il s’agit essentiellement de savoir si, selon l'article 4,§ 1, du RGPD, une série de lettres et de caractères comme la TC String, qui contient les préférences de consentement d'un utilisateur pour le traitement de ses données personnelles par des sites internet, des courtiers en données et des plateformes publicitaires, est considérée comme une donnée personnelle. La cour s'interroge aussi sur l'importance, pour cette classification, du fait que cette chaîne puisse être liée à un identifiant tel que l'adresse IP, qui permettrait d'identifier l'utilisateur, et si le fait que l'organisation qui établit les règles d'utilisation de cette chaîne ait le droit d'accéder directement à ces données personnelles affecte la réponse.

Conforme à sa jurisprudence visant à donner une interprétation large à la notion de données personnelles, la CJUE a jugé qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, constitue une donnée à caractère personnel dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant (CJUE 5 déc. 2023, aff. C‑683/21, Nacionalinis visuomenės sveikatos centras), tel que l’adresse IP de l’appareil de l’utilisateur, elle permet d’identifier la personne concernée (CJUE, 10 juill. 2018, aff. C‑25/1, Jehovan todistajat).

La Cour ajoute que dans de telles conditions, le fait que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres, ni combiner ladite chaîne avec d’autres éléments, ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.

En jugeant que des éléments tels que la TC String peuvent être considérés comme des données personnelles lorsqu'ils sont associables à un identifiant spécifique comme une adresse IP, la Cour adopte une interprétation large de la notion de données personnelles. Cette approche est alignée avec les objectifs du RGPD de renforcer la protection des données personnelles dans l'UE, affirmant que même des données qui ne sont pas directement des informations personnelles doivent être soumises au RGPD si elles peuvent être reliées à un individu.

IAB Europe : responsable conjoint du traitement

La deuxième question vise à déterminer si, conformément à l'article 4, § 7, du RGPD, une organisation sectorielle qui fournit à ses membres un ensemble de règles concernant le consentement pour le traitement des données personnelles doit être considérée comme un responsable du traitement. Cette question interroge aussi sur l'importance de l’accès direct aux données traitées par l'organisation. Par ailleurs, il est demandé à la CJUE de préciser si la responsabilité de l'organisation peut s'étendre automatiquement aux activités de traitement ultérieures réalisées par des tiers, comme les fournisseurs de sites Internet, concernant les préférences des utilisateurs.

Pour la CJUE, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de responsable conjoint du traitement  si  elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement (CJUE, 29 juill. 2019, aff. C‑40/17, Fashion ID).

La Cour ajoute que la circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement. Ce qui importe est la capacité à influer sur le traitement. En l’espèce, les instructions de IAB sont telles, que pour la Cour, l’influence sur le traitement est avérée.

La Cour a déjà eu plusieurs occasions de se prononcer sur la notion de responsable conjoint, qu’elle affine au fur et à mesure de ses décisions, (voir notamment CJUE, 11 janv. 2024, aff. C-231/22, État belge (Données traitées par un Journal officiel), dans le contexte d’une chaîne de traitements successifs).

Toutefois, pour la CJUE, la responsabilité conjointe d’IAB ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.

En résumé, la CJUE confirme la décision de l’APD selon laquelle une chaîne de caractères structurés traduisant les préférences des internautes comme la TC string d’IAB peut être considérée comme une donnée personnelle, et qu’IAB peut être qualifiée de responsable conjointe du traitement des préférences des utilisateurs pour la publicité en ligne.