Vente aux enchères de données personnelles : éclaircissement des notions de données personnelles et de responsable de traitement

La Cour de Justice de l’Union Européenne a rendu un jugement le 7 mars 2024 (C-604/22 | IAB Europe) qui apporte des éclaircissements sur les notions de données personnelles et de responsable de traitement dans le cadre de l’utilisation d’un Transparency and Consent Framework (TCF) par l’industrie de la publicité en ligne.

Le développement des technologies de profilage des utilisateurs dans le secteur de la publicité en ligne soulève des questions en matière de données à caractère personnel. L’une de ces pratiques, le Real Time Bidding (RTB) permet aux entreprises d'enchérir en temps réel pour obtenir des espaces publicitaires personnalisés en fonction des profils des utilisateurs. Ces enchères se basent sur le recueil des données personnelles des utilisateurs telles que la localisation, l’âge, l’historique des recherches et des achats récents, afin de diffuser des publicités ciblées correspondant à leurs intérêts. Cependant, cette pratique nécessite le consentement préalable des utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD).

Au cas d’espèce, IAB Europe, qui représente les intérêts d’entreprises de publicitaires belges au niveau européen avait développé un TCF à destination des entreprises du secteur publicitaire dans le but d’assurer la conformité au RGPD des systèmes de RTB mis en place par ces entreprises. Cette solution impliquait l’utilisation d’une chaine de consentement, appelée Transparency and Consent String (TC String), qui stocke les préférences des utilisateurs de manière codée. Une fois le consentement ou le refus de l’utilisateur recueilli, cette chaîne est partagée avec les courtiers et les plateformes publicitaires participant au RTB. Dans le même temps, un cookie est placé sur l'appareil de l'utilisateur, permettant de relier la TC String à son adresse IP.

En 2022, l’Autorité de Protection des Données belge avait condamné l’association IAB l’absence de conformité du TCF développé au RGPD, engendrant un traitement illicite des données à caractère personnel. L’association a fait appel de cette décision et à cette occasion la Cour d’Appel de Belgique a posé deux questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE). Il était d’une part demandé à la Cour de Justice de déterminer si une TC String constituait une donnée à caractère personnelle et d’autre part, si l’IAB devait être qualifié de responsable de traitement.

• La TC String peut être qualifiée de donnée à caractère personnel.

A la première question la Cour répond par l’affirmative, considérant que le TC string contient des informations permettant d’identifier un utilisateur au sens de l’article 4 du RGPD. En effet, il ressort de l’analyse de la Cour que bien qu’une TC String ne permette pas directement d’identifier une personne concernée, elle contient cependant des informations qui se rapportent à cette personne telles que ses préférences. Associée avec un identifiant tel qu’une adresse IP, la TC String peut permettre d’identifier une personne.

La Cour de Justice précise sur ce point que le fait que l’IAB n’ait pas accès aux données à caractère personnel des utilisateurs ou ne puisse pas combiner la chaine de TC avec l’adresse IP d’un utilisateur n’a pas d’importance dans la mesure où ses membres sont tenus de lui communiquer les informations lui permettant d’identifier les utilisateurs. Dans ces conditions, la Cour de Justice considère que IAB Europe dispose de moyens raisonnables pour identifier une personne à partir de la chaine de TC. Ainsi, une TC String est considérée comme une donnée à caractère personnel si elle peut être raisonnablement associée à une autre donnée telle que l’adresse IP de l’utilisateur permettant dès lors de l’identifier.

• Une association édictant un cadre de conformité au RGPD pour les entreprises du secteur de la publicité en ligne peut être qualifiée de responsable conjoint de traitement.

La seconde partie de la décision se concentrait sur la question de savoir si le fait que IAB Europe mette à disposition de ses membres un cadre édictant des règles techniques et relatives aux modalités de stockage et de diffusion des données personnelles des utilisateurs permettait de considérer l’association comme un responsable conjoint de traitement.

Pour répondre à cette question, la Cour précise qu’il convient d’évaluer si cette association influence le traitement des données personnelles et détermine conjointement avec ses membres les objectifs et les méthodes de ce traitement.

En l'occurrence, IAB Europe, par le biais de la solution TCF mise en place, propose « un cadre de règles visant à assurer la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site Internet ou d’une application effectué par certains opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires ». Les membres de l’association sont par ailleurs tenus d’adhérer à ce cadre pour rejoindre l’association.

En outre, ce cadre comprend des règles techniques contraignantes ainsi que des spécifications détaillées sur le recueil des préférences des utilisateurs ainsi que sur le contenu, le stockage et la diffusion des TC String.

Enfin, IAB Europe dispose d’un certain pouvoir de sanction en ce qu’elle peut adopter des décisions de non-conformité à l'encontre de ses membres qui ne respectent pas ces règles pouvant conduire à l’exclusion du membre, ce qui renforce son influence sur le processus.

Par conséquent et sous réserve des vérifications qui devront être effectuées par la juridiction de renvoi, l’association IAB Europe peut être considérée comme un responsable conjoint du traitement, même si elle n'a pas un accès direct aux données personnelles traitées par ses membres.

La seconde partie de la question se concentre sur l'étendue de la responsabilité de cette association pour les traitements ultérieurs effectués par ses membres. En d'autres termes, même si IAB Europe est impliquée dans la détermination des finalités et des méthodes de traitement initial des données, cela signifie-t-il qu'elle est automatiquement responsable des traitements subséquents effectués par d'autres entités, telles que les fournisseurs de sites Internet ou d'applications ? Sur ce point, la Cour répond par la négative puisqu’elle considère que la responsabilité conjointe de l'organisation ne s'étend pas automatiquement aux traitements de données effectués ultérieurement, ce qui limite donc la responsabilité de l’association.

Cette interprétation large opérée par la Cour sur la notion de responsable de traitement n’est pas sans conséquence sur la pratique de standardisation à laquelle des associations telles qu’IAB tentent de se livrer. La création du cadre développé par IAB a pour objectif premier d’aider les entreprises du secteur de la publicité en ligne à adopter des pratiques conformes au RGPD assurant un haut niveau de protection des données personnelles des utilisateurs. Considérer que ces acteurs peuvent endosser la qualité de responsable de traitement en ce qu’ils exercent une influence sur les opérations de traitement des données à caractère personnel de leurs membres, revient à faire peser sur ceux-ci une responsabilité qui peut constituer un frein au développement de ce type d’activité, au détriment de la protection des données personnelles des utilisateurs.

Pour l’heure, il est nécessaire que les acteurs de cette industrie qui participent à l’élaboration de TCF mettent leurs pratiques en conformité avec les apports de cette décision. Ceux-ci devront désormais préciser dans la bannière de consentement présentée aux utilisateurs que la chaine TC est une donnée personnelle couverte par le consentement et que l’entreprise fournissant le modèle de TCF est un responsable conjoint du traitement avec le fournisseur du site internet concerné.