Lettre de la DAJ – Les juges de l’Union clarifient les règles relatives à la vente aux enchères de données à caractère personnel à des fins publicitaires

Par un arrêt du 7 mars 2024, la Cour de justice de l’Union européenne est venue préciser la notion de « données à caractère personnel » ainsi que les conditions dans lesquelles une organisation sectorielle doit être qualifiée de « responsable conjoint de traitement ».

IAB Europe est une association sans but lucratif regroupant les acteurs de la publicité sur internet en Europe et dont le but est de développer des normes, mener des recherches et fournir un soutien aux acteurs de l’industrie qu’elle représente. 

Cette association a développé un ensemble de règles appelé « Transparency & Consent Framework » (TCF) visant à assurer la conformité au règlement général sur la protection des données (RGPD) du traitement des données à caractère personnel d’un utilisateur d’un site internet ou d’une application effectuée par certains opérateurs.

Le TCF facilite également le respect du RGPD lorsque les opérateurs ont recours au protocole dit « OpenRTB », un système de vente aux enchères en ligne. Les entreprises, courtiers et plates-formes publicitaires peuvent enchérir en temps réel afin d’obtenir des espaces publicitaires et afficher des publicités adaptées aux profils des utilisateurs. 

IAB Europe a développé une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères « OpenRTB ». Les choix des utilisateurs sont codés et enregistrés dans une séquence de lettres et de caractères appelée « Transparency and Consent String » (TC String).

Cette séquence est partagée avec des courtiers en données personnelles et des plates-formes publicitaires pour informer ces derniers des consentements ou des refus exprimés par l’utilisateur. Un cookie est également placé sur l’appareil de l’utilisateur, une fois combinés, le TC String et le cookie peuvent être liés à l’adresse IP de l’utilisateur. 

A la suite de plusieurs plaintes déposées contre IAB Europe, l’autorité de protection des données belge a considéré que le TC String constitue une donnée à caractère personnel au sens du RGPD et que l’association IAB Europe est responsable du traitement des données.

IAB Europe n’a pas respecté pleinement le RGPD et l’autorité de protection des données belge a imposé des mesures correctrices et une amende administrative à l’association. Cette dernière a contesté cette décision et a saisi la cour d’appel de Bruxelles qui a ensuite posé une question préjudicielle aux juges de l’Union.

Dans son arrêt C-604/22 « IAB Europe » du 7 mars 2024, la Cour de justice de l’Union européenne confirme que le TC String contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel au sens du RGPD.

En effet, lorsque les données incluses dans une TC String sont rattachées à un identifiant tel que l'adresse IP de l'appareil de l'utilisateur, elles peuvent être utilisées pour construire un profil de cet utilisateur et l'identifier de manière précise. IAB Europe doit également être considérée comme « responsable conjoint de traitement » au regard du RGPD car l’association semble influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations.