Par un arrêt du 7 mars 2024, la CJUE a apporté des précisions sur l’interprétation des dispositions prévues par le RGPD concernant les ventes aux enchères de données à caractère personnel à des fins publicitaires.
Le secteur de la publicité en ligne (programmatique) repose sur la commercialisation d’espaces publicitaires sur les sites Internet et applications mobiles.
Ces espaces publicitaires sont mis en vente sur des plateformes d’enchères en temps réel (« Real Time Bidding » ou « RTB ») où se rencontrent éditeurs et annonceurs, l’objectif étant pour l’éditeur de vendre son espace au prix le plus élevé et pour l’annonceur d’afficher une publicité à une personne susceptible d’être intéressée par les produits proposés.
Ce système d’enchères en temps réel repose en grande partie sur la collecte des données personnelles des personnes concernées pour déterminer notamment leurs centres d’intérêt. La collecte, le traitement et le partage de ces données à des fins de publicité ciblée supposent cependant de collecter le consentement préalable des personnes concernées.
L’IAB Europe (« IAB Europe ») est une association représentant les acteurs de l’industrie et du marketing numérique. Dans le cadre de son activité, l’IAB Europe a élaboré un standard permettant aux acteurs de la programmatique, et notamment aux systèmes de vente aux enchères, de collecter, traiter et partager des données en conformité avec la réglementation (le Transparency and Consent Framework ou « TCF »).
Dans ce cadre, l’IAB a développé un standard permettant de stocker le consentement des utilisateurs dans une chaîne de lettres et caractères désigné sous le nom de Transparency and Consent String (« TC String »).
La TC String est ensuite partagée aux autres acteurs de la programmatique afin qu’ils identifient si l’utilisateur a consenti ou non à recevoir de la publicité ciblée. Un cookie est également installé sur le terminal de l’utilisateur et, lorsqu’il est combiné avec la TC String, peut être relié à son adresse IP.
Depuis de nombreuses années, la conformité au RGPD du TCF interrogeait les autorités. C’est de ce contexte que l’autorité de protection des données belge, saisie de plusieurs plaintes de personnes concernées, a sanctionné l’IAB Europe pour non-respect des dispositions du RGPD, en considérant notamment que :
- La TC String devait être qualifiée de donnée personnelle ; et
- L’IAB Europe devait être considérée comme responsable de traitement conjoint au sens de l’article 26 du RGPD[1].
Saisi d’un recours contre cette décision[2], la Cour d’appel belge a saisi la CJUE de deux questions préjudicielles.
Une chaîne composée de lettres et de caractères est une donnée à caractère personnel si elle peut être associée à un identifiant permettant l’identification de l’utilisateur
La CJUE était interrogée sur le fait de savoir si une chaîne de caractères numériques traduisant les préférences des utilisateurs, telle que la TC String, peut être considérée comme une donnée personnelle, telle que définie à l’article 4.1 du RGPD[3].
Dans sa décision, la CJUE a confirmé qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, pouvait constituer une donnée à caractère personnel au sens du RGPD.
En effet, la Cour a estimé que l’association de la TC String avec d’autres données à caractère personnel, notamment celles concernant une personne physique identifiable comme l’adresse IP, permettait de considérer la TC String comme une donnée personnelle.
La Cour a enfin précisé que le fait pour l’IAB Europe de ne pouvoir accéder aux données traitées par ses membres, ou de ne pas combiner ladite chaîne avec d’autres éléments, ne fait pas obstacle à ce que cette chaîne constitue une donnée à caractère personnel.
Une organisation sectorielle qui établit des règles contraignantes pour un système de vente aux enchères est un responsable conjoint du traitement
La CJUE était ensuite interrogée sur le rôle joué par l’IAB Europe dans le cadre du TCF au regard des dispositions de l’article 4.7 du RGPD.
La CJUE a considéré que l’IAB Europe avait influencé l’élaboration d’un cadre de règles techniques contraignantes relatives au consentement en matière de traitement de données personnelles. La Cour a également relevé qu’IAB Europe avait imposé des règles précisant de façon détaillée les modalités de stockage et de diffusion des données relatives à ce consentement.
Partant, la Cour a considéré qu’IAB Europe devait être qualifiée de responsable conjoint du traitement.
La Cour a également précisé que le fait pour IAB Europe de ne pas avoir directement accès aux données traitées par les autres acteurs de la programmatique en application des règles érigées par elle était sans incidence sur sa qualification de responsable conjoint.
Toutefois, la CJUE a considéré que l’IAB Europe ne pouvait être considérée comme responsable conjoint pour les traitements ultérieurs réalisés par des tiers, tels que les éditeurs, plateformes de RTB ou encore les annonceurs.
Cette décision aura très certainement un impact sur le positionnement et le rôle joué par ces derniers au titre du RGPD.
Lire l’arrêt de la CJUE du 7 mars 2024, C-604-22
[2] Décision 2 février 2022, Autorité de protection des données Gegevensbeschermingsautoriteit