Ce système leur permet de diffuser des annonces adaptées au profil de l'utilisateur.
Cependant, conformément aux réglementations européennes, avant d’afficher de telles publicités ciblées, le consentement préalable de l’utilisateur doit être recueilli en vue de la collecte et du traitement de ses données, l’utilisateur pouvant également s’y opposer.
Le contexte de l’affaire
L’association IAB EUROPE a élaboré un système qu’elle présente comme étant en mesure de rendre le système de vente aux enchères conforme au RGPD. En outre, les préférences des utilisateurs sont codées et stockées dans une chaîne de caractères sous le nom de Transparency and Consent String (TC String), puis partagées avec des courtiers en données personnelles et des plates-formes publicitaires. Cela leur permet de savoir ce à quoi l’utilisateur a consenti ou non.
Néanmoins, l’Autorité de protection des données belges (APD) a considéré, dans une décision en date du 2 février 2022, que le TC String constitue une donnée à caractère personnel. En conséquence, elle a infligé une amende de 250 000 euros à IAB EUROPE et lui a accordé deux mois pour présenter un plan d'action visant à mettre ses activités en conformité. Cette décision a été approuvée par toutes les autorités de protection des données concernées dans l'Union européenne via le mécanisme du "guichet unique".
L’IAB EUROPE a alors fait appel de la décision devant la Cour des marchés. Avant de se prononcer, celle-ci a décidé de poser deux questions préjudicielles à la Cour de Justice de l’Union européenne, à savoir :
- la TC String doit-elle être considérée comme une donnée à caractère personnel ?
- IAB EUROPE doit-elle être considérée comme responsable conjoint du traitement TC String étant donné qu’elle détermine les finalités et les moyens du traitement ?
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus
Les éclaircissements de la CJUE
Le 7 mars 2024, la Cour de justice de l’Union européenne a rendu son arrêt sur cette affaire.
La Cour confirme les conclusions de l’APD tout en apportant des clarifications bienvenues.
En premier lieu, la Cour établit que la TC string contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel au sens du RGPD. En effet, lorsque les informations contenues dans la TC String sont liées à un identifiant, tel que l’adresse IP de l’appareil de l’utilisateur, elles peuvent permettre de créer un profil de cet utilisateur et de l’identifier.
En second lieu, la Cour conclut qu’une organisation telle que IAB EUROPE qui met à disposition une spécification technique et en définit les règles associées doit être considérée comme responsable du traitement conjointement avec des tiers qui utilisent ladite spécification dès lors qu’elle a accès aux données personnelles traitées, même par voie indirecte.
Toutefois, la Cour ne va pas jusqu’à étendre par défaut la responsabilité conjointe de ladite organisation aux traitements ultérieurs opérés par des tiers.
Bien que la décision de la Cour de justice semble être bien accueillie, certains médias spécialisés expriment des inquiétudes concernant la responsabilité conjointe attribuée à l’IAB Europe en relation avec la TC String. En effet, ils redoutent que cela puisse dissuader d’autres organisations similaires de développer des standards de vie privée dans le futur et ce, au détriment des entreprises comme des citoyens de l’Union européenne.