Le 7 mars 2024, la Cour de justice de l’Union européenne (« CJUE ») a rendu son arrêt dans l’affaire IAB Europe (Affaire C‑604/22). Dans cet arrêt, la CJUE a évalué le rôle de l’Interactive Advertising Bureau Europe (« IAB Europe ») dans les opérations de traitement associées à son cadre de transparence et de consentement (« TCF ») et a développé la jurisprudence de la CJUE sur la notion de données personnelles sous le règlement général de l’UE sur la protection des données (« RGPD »).
Arrière-plan
Comme décrit dans notre précédent blog, l’affaire découle d’une amende de 2022 infligée par la DPA belge à l’encontre d’IAB Europe suite à une enquête sur le TCF.
Le TCF est une solution de consentement RGPD devenue un mécanisme largement utilisé pour obtenir et gérer le consentement pour l’utilisation de cookies publicitaires ciblés dans l’UE. Le TCF a été conçu pour permettre l’utilisation de cookies en relation avec le protocole OpenRTB, qui est un protocole commun utilisé par les entreprises pour les « Real-Time Bidding » dans la publicité programmatique. Le protocole OpenRTB permet aux annonceurs d’enchérir en temps réel sur l’inventaire publicitaire contenu sur la propriété d’un éditeur (par exemple, site Web ou application), afin de diffuser des publicités ciblées adaptées au profil de l’utilisateur du site Web ou de l’application. Dans le cadre du TCF, un outil de gestion du consentement est présenté à un utilisateur lors de sa première visite sur un site Internet ou une application afin d’obtenir son consentement à la collecte et au partage de ses données à des fins de publicité ciblée. L’outil de gestion du consentement permet également à l’utilisateur de s’opposer à certaines activités de traitement basées sur les intérêts légitimes des fournisseurs de technologie publicitaire. Le TCF enregistre les préférences de l’utilisateur via l’outil de gestion du consentement en créant un signal numérique composé d’une combinaison de lettres et de caractères (la « Chaîne TCF »).
Suite à un appel devant la Cour belge des marchés, la Cour belge a demandé à la CJUE de clarifier : (1) si la chaîne TCF doit être considérée comme une donnée personnelle ; et (2) le rôle d’IAB Europe dans le traitement associé au TCF.
La décision de la CJUE
Quant à la question de savoir si la chaîne TCF doit être considérée comme une donnée à caractère personnel, la CJUE a réaffirmé sa jurisprudence Breyer précédente et a soutenu que « tous les moyens raisonnablement susceptibles d’être utilisés, tels que la singularisation, soit par le responsable du traitement, soit par une autre personne pour identifier la chaîne TCF String doivent être considérés comme des données personnelles. personne physique directement ou indirectement » doit être prise en compte pour déterminer si une personne est « identifiable ». En l’espèce, la CJUE a considéré que, sous réserve de vérifications complémentaires à effectuer par la Cour des Marchés belge, IAB Europe apparaissait disposer de moyens raisonnables lui permettant d’identifier une personne physique particulière au travers d’une TCF String. La CJUE a notamment souligné le fait que les membres de l’IAB Europe sont tenus de fournir à l’IAB Europe, à sa demande, toutes les informations permettant à l’IAB Europe d’identifier les utilisateurs dont les données font l’objet d’un TCF String.
Sur le rôle d’IAB Europe dans le traitement des données personnelles, la CJUE a considéré que, sous réserve de vérifications complémentaires à effectuer par le Tribunal des Marchés belge, IAB Europe exerce une influence sur les traitements de données personnelles liés au TCF et définit, conjointement avec ses membres, les finalités de ces traitements.
La CJUE a également considéré que, sous réserve de vérifications complémentaires à effectuer par la Cour des Marchés belge, IAB Europe a défini les modalités des traitements, du fait qu’elle imposait un certain ensemble de règles et de standards techniques précis à ses membres et pourrait les suspendre ou les exclure en cas de non-respect.
Cependant, la CJUE a rejeté qu’IAB Europe doive être considérée comme un responsable conjoint du traitement des traitements ultérieurs de données personnelles effectués par d’autres entités, telles que des courtiers en données et des plateformes publicitaires, sur la base des préférences qui leur sont communiquées via le TCF String.
Prochaines étapes
L’affaire va maintenant revenir devant le Tribunal belge des marchés pour une décision finale basée sur les conseils de la CJUE.
Il est important de noter qu’en 2023, l’APD belge a approuvé un plan d’action présenté par IAB Europe visant à mettre en conformité les traitements de données personnelles dans le cadre du TCF avec le RGPD. La mise en œuvre de ce plan d’action est suspendue dans l’attente de la décision du Tribunal belge des marchés.
Lisez la décision de la CJUE.