Hogan Lovells 2024 Election Impact and Congressional Outlook Report
La Cour de justice de l'Union européenne (« CJUE ») a récemment examiné une affaire impliquant IAB Europe, une association sans but lucratif établie en Belgique, représentant les entreprises du secteur de la publicité digitale en Europe. Dans un arrêt C-604/22 « IAB Europe » rendu le 7 mars 2024, la CJUE a répondu à plusieurs questions préjudicielles de la cour d'appel de Bruxelles (« hof van beroep te Brussel ») portant sur la qualification d’une information relative à une personne identifiable de donnée à caractère personnel au sens de l’article 4,1) du RGPD mais également sur le périmètre de la responsabilité de l’IAB Europe dans le traitement la TC String.
IAB Europe a élaboré depuis 2017 le « Transparency & Consent Framework » (« TCF »), un ensemble de règles contractuelles, éthiques et techniques visant à faciliter la collecte et la distribution parmi ses membres du consentement des personnes à l’utilisation de cookies publicitaires, notamment lors d’enchères publicitaires en temps réel, dits « Real Time Bidding » (« RTB »).
Ainsi, lorsque des utilisateurs consultent des services en ligne comportant des espaces publicitaires, des acteurs de l’écosystème publicitaire (diffuseurs, annonceurs, régies et courtiers en données ou data brokers) peuvent traiter en temps réel les données permettant de diffuser des publicités ciblées correspondant aux profils de ces utilisateurs.
Conformément à la Directive 2002/58 « ePrivacy », le consentement des utilisateurs doit être obtenu avant le dépôt de cookies ou autres traceurs dans leur terminal, généralement via une bannière de gestion du consentement (« Consent Management Plateform » ou « CMP »). Le TCF facilite ce processus en enregistrant les préférences des utilisateurs (c’est à dire l’enregistrement du signal de consentement ou de refus du dépôt de cookies) sous forme codée dans une chaîne de caractères appelée « Transparency and Consent String » (« TC String »), partagée avec les sociétés adhérentes du TCF.
Ainsi, le TCF permet de transcrire les préférences des utilisateurs en vue de leur communication à des destinataires potentiels et d’atteindre différents objectifs de traitement, y compris la proposition de publicités ciblées.
En 2019, l'Autorité belge de protection des données (« APD ») a reçu plusieurs plaintes contre IAB Europe concernant la conformité du TCF au RGPD. Après examen, l'APD a rendu le 2 février 2022 une décision1 selon laquelle IAB Europe agirait en tant que responsable du traitement des données enregistrées via la TC String et a ordonné à l'association de se conformer au RGPD. IAB Europe a contesté cette décision devant la cour d'appel de Bruxelles, arguant notamment que la TC String ne constitue pas une donnée personnelle et que l'association, n'ayant pas un rôle déterminant dans le traitement des données, ne peut être qualifié de responsable du traitement.
L'APD, soutenue par des tiers intervenants, a affirmé que les TC Strings constituent bel et bien des données à caractère personnel dans la mesure où les CMP peuvent lier les TC Strings avec les adresses IP des utilisateurs, et que, en outre, les participants au TCF peuvent également identifier les utilisateurs sur la base d’autres données. Par ailleurs, l’APD a estimé qu‘IAB Europe a accès aux informations contenues dans la TC String, et que cette identification de l’utilisateur est précisément la finalité de la TC String.
L’APD soutient également qu’IAB Europe joue un rôle déterminant dans le traitement de ces données, et doit être considérée comme responsable du traitement des TC String, puisqu’elle détermine respectivement, les finalités et les moyens du traitement, la manière dont les TC Strings sont générées, modifiées, lues, de quelle façon et où les cookies nécessaires sont stockés, les destinataires des données et les critères permettant d’établir les durées de conservation des TC Strings.
La qualification d’une information en tant que « donnée à caractère personnel » est le critère d’application matériel du RGPD. La définition de ce concept souffre pourtant d’un manque d’interprétation conduisant parfois à des incertitudes quant à son périmètre.
Plus précisément, une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable »2. Si l’appréciation de la première branche de la définition laisse peu de place à l’interprétation, la portée du concept d’information se rapportant à une « personne physique identifiable » reste encore à ce jour mal défini.
Par sa jurisprudence, la CJUE a d’ores et déjà dégagé des critères d’appréciation de cette notion qui ont semblé être remis en cause au cours de l’année 2023 (2.1). L’application de ces critères a conduit la juridiction suprême a juger que le TC String constitue une donnée à caractère personnel pour IAB Europe (2.2).
Selon la lettre du RGPD, « est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »3.
Le considérant 26 du même texte précise que « pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». De jurisprudence constante, la CJUE en a déduit, déjà sous l’empire de la Directive de 95, qu’il n’est pas requis que toutes les informations permettant d’identifier une personne concernée doivent se trouver entre les mains d’une seule personne[4].
Au cours de l’année 2023, les juges de Luxembourg ont plusieurs fois été amenés à examiner les contours du concept de « moyens raisonnablement », conduisant à la qualification de « donnée à caractère personnel », suscitant parfois incertitudes ou questionnements.
Le 26 avril 2023, dans un arrêt « CRU / CEPD », le Tribunal de l’Union européenne (« TUE ») a semé le trouble en jugeant que le Contrôleur européen de la protection des données (« CEPD ») ne pouvait conclure que les contenus de commentaires préalablement pseudonymisés par un responsable du traitement avant transmission à un tiers constituaient pour ce dernier des informations se rapportant à une « personne physique identifiable » sans avoir recherché si ledit tiers disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires.5
A première vue, le fait que le TUE désapprouve le CEPD dans son appréciation de la qualification de « données à caractère personnel » de commentaires pseudonymisés a pu être perçu par la doctrine comme un revirement de jurisprudence conduisant à un resserrement de la notion d’information se rapportant à une personne physique identifiable. Ce n’est pourtant pas le sens de cet arrêt.
Le TUE a rappelé que, de jurisprudence constante6, l’emploi de l’expression « toute information » dans le cadre de la définition de la notion de « donnée à caractère personnel […] reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle […] englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause, […] une telle conclusion ne peut être fondée sur une présomption […], mais doit s’appuyer sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée » (gras ajoutés).7
Par conséquent, le TUE désapprouve le CEPD dans sa méthode d’appréciation : ce dernier aurait dû examiner la possibilité de réidentifier les auteurs des commentaires du point de vue du tiers destinataires, ce qu’il n’a pas fait. Le TUE réaffirme ainsi que si la notion de « données à caractère personnel » est particulièrement large, il n’existe aucune présomption en la matière et il convient d’effectuer un examen concret de chaque situation pour déterminer si un individu est identifiable. Précisons toutefois que cet arrêt fait l’objet d’un pourvoi devant la CJUE, l’occasion pour cette dernière d’éventuellement approuver ou corriger la position du TUE.
Au cours de l’année 2023, la CJUE a pour sa part par deux fois rappelé sa position, notamment au sujet du « Vehicule Identification Number » ou « VIN », dans lequel elle a également rappelé que « pour déterminer si une personne physique est identifiable, directement ou indirectement, il convient de prendre en considération l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, au sens de l’article 4, point 7, du RGPD, soit par autrui, pour identifier cette personne, sans pour autant exiger que toutes les informations permettant d’identifier ladite personne se trouvent entre les mains d’une seule entité »8.
Par conséquent, l’arrêt du TUE, loin de remettre en cause une jurisprudence bien établie de la CJUE, a seulement précisé que la qualification de « donnée à caractère personnel » d’informations relatives à une personne identifiable nécessite un examen concret et ne peut reposer sur une quelconque présomption.
La jurisprudence de la CJUE ne semble ainsi pas remise en cause, ce qui est confirmé par le raisonnement adopté par cette dernière dans l’arrêt IAB Europe, qui précise toutefois la portée de l’appréciation du concept de « moyens raisonnables ».
Dans l’arrêt IAB Europe, la CJUE développe une analyse de la qualification de « donnée à caractère personnel » de la TC String.
La juridiction suprême rappelle tout d’abord que, pour déterminer si ces informations sont relatives à une personne identifiable, il convient de prendre en compte, selon sa jurisprudence, « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement ». La Cour rappelle à cet égard qu’il « n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne » et « il en résulte que la notion de « données à caractère personnel » ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable »9.
Ainsi, les juges reconnaissent tout d’abord que si la TC String « ne contenait pas en elle-même d’éléments permettant l’identification directe de la personne concernée, il n’en demeurerait pas moins, en premier lieu, qu’elle contient les préférences individuelles d’un utilisateur spécifique s’agissant de son consentement au traitement des données à caractère personnel le concernant, ces informations « se rapportant à une personne physique ».
Dans un second temps, les juges examinent si une information complémentaire associée à la TC String pourrait conduire à identifier une personne physique, et constatent que tel serait le cas lorsque cette dernière est associée à un identifiant tel que l’adresse IP d’un utilisateur10.
Enfin, les membres de IAB Europe étant tenus de communiquer sur demande toutes les informations permettant d’identifier les utilisateurs dont les données sont contenues dans une TC String, la CJUE conclut que IAB Europe dispose bel et bien des moyens raisonnables permettant d’identifier une personne physique déterminée à partir d’une TC String.
La CJUE rappelle ici que la qualification de « données à caractère personnel » d’une information relative à une personne physique identifiable doit s’analyser non seulement au regard du responsable de traitement mais également de tout autre tiers.
Sur cet aspect, l’apport de l’arrêt IAB Europe peut se résumer ainsi : la qualification de « donnée à caractère personnel » d’une information relative à une personne physique identifiable requiert une analyse in concreto, ne bénéficiant d’aucune présomption, pour déterminer si, outre le fait que des informations permettent l’identification des personnes physiques, le responsable du traitement en cause dispose raisonnablement de la faculté d’y accéder légalement, quand bien même il ne l’exerce pas ou que sa mise en œuvre implique l’intervention d’un tiers.
Outre la qualification de la TC String de « donnée à caractère personnel », la CJUE apporte également des précisions utiles sur la portée des obligations de IAB Europe qui en résulte.
La jurisprudence de la CJUE est précieuse quant à l’interprétation de la notion de « responsable de traitement conjoint », tant la définition donnée à l’article 26.1 du RGPD est avare en critères permettant de caractériser un telle qualification. En effet, au titre du règlement européen, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent « conjointement » les finalités et les moyens d’un traitement.
L’arrêt IAB Europe ne révolutionne pas le concept de responsabilité conjointe, ni n’apporte de nouveaux critères ou contredire ceux déjà établis par la CJUE dans de précédents arrêts. La Cour confirme une méthodologie de caractérisation de la responsabilité conjointe, en l’appliquant au cas d’espèce du traitement de la TC String par IAB Europe et différents acteurs de la publicité digitale.
En revanche, la CJUE vient apporter un éclairage intéressant sur l’étendue de la responsabilité conjointe aux finalités ultérieures de traitement poursuivies par des tiers, lorsqu’une telle responsabilité conjointe a été caractérisée pour un traitement de données personnelles initial.
La CJUE rappelle un certain nombre de critères permettant d’identifier, ou non, une responsabilité conjointe entre deux responsables de traitement.
Les critères non-déterminants
Pour qu’il y ait responsabilité conjointe, la Cour rappelle qu’il n’est pas impératif que les responsables de traitement (i) poursuivent des finalités communes, et (ii) prennent une décision commune quant à la détermination des finalités de traitement.
L’absence d’un accord formel entre les responsables de traitement quant aux finalités et moyens de traitement n’est pas non plus un facteur permettant d’exclure l’existence d’une responsabilité conjointe.
Par ailleurs, le fait qu’un acteur n’ait pas accès aux données personnelles résultant d’un traitement ne fait pas obstacle à sa qualification de responsable de traitement, voire de responsable conjoint de traitement, s’il a déterminé ou influé sur la détermination des finalités et les moyens dudit traitement.
En effet, la responsabilité conjointe se définit largement, et ce, comme le rappelle la Cour, afin de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données personnelles, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE11.
Les critères déterminants
Dans cet arrêt IAB Europe, la Cour rappelle qu’un responsable conjoint est une personne morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement. Ce principe, initialement érigé dans un arrêt « Témoins de Jéhovah »12 est ici réaffirmé par la CJUE.
Par ailleurs, la CJUE rappelle qu’une responsabilité conjointe peut être caractérisée lorsque deux responsables de traitement « participent » simplement à la détermination des finalités et moyens du traitement. Cette participation peut résulter de décisions convergentes, c’est-à-dire par des décisions complémentaires, sans nécessairement être les mêmes, du moment que ces dernières ont un effet concret sur la détermination des finalités et des moyens du traitement13.
Dans ses dernières lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD (les « Lignes Directrices »)14, le Comité Européen de la Protection des Données affirme qu'il y a responsabilité conjointe lorsque « le traitement ne serait pas possible sans la participation des deux parties à la détermination des finalités et des moyens, en ce sens que le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire inextricablement lié ».
Ainsi, il convient d’évaluer l’influence et la participation respective de chaque acteur sur la détermination des finalités et des moyens des traitements, pour pouvoir déterminer s’ils sont responsables conjoints de traitement ou distincts.
Il est systématiquement rappelé par la Cour qu’il importe de conduire une appréciation au regard des circonstances particulières du cas d’espèce.
La CJUE se borne à caractériser l’influence de l’IAB Europe sur le traitement de la TC String…
Dans cette affaire, la question à laquelle devait répondre la CJUE était celle de savoir si IAB Europe influe, à des fins qui lui sont propres, sur le traitement de la TC String – en tant que donnée à caractère personnel – et si elle détermine conjointement avec les autres acteurs de la publicité digitale participant à l’écosystème d’enchères en ligne d’espaces publicitaires, des finalités et des moyens d’un tel traitement.
La CJUE répond par l’affirmative considérant qu’IAB Europe influe :
La CJUE affirme donc que l’IAB Europe « influe à des fins qui lui sont propres, sur les opérations de traitement à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations »15, d’une part, et « détermine conjointement avec ses membres, les moyens à l’origine de telles opérations »16, d’autre part.
…faisant fi de celle exercée par les autres acteurs de la publicité digitale
Les juges de la Cour suprême se bornent à caractériser l’influence d’IAB Europe sur la détermination des finalités et moyens de traitement de la TC String.
Il est regrettable que la CJUE ne soit pas allée plus loin en analysant :
En effet, par nature, une responsabilité « conjointe » implique que plusieurs acteurs influent sur un traitement, sans quoi IAB Europe pourrait être qualifié comme unique responsable de traitement de la TC String ou les acteurs de la publicité digitale comme responsables ultérieurs et non conjoints du traitement de la TC String.
La CJUE s’était pourtant prêtée à cet exercice dans l’arrêt « Fashion ID »17, en indiquant qu’un acteur influe sur :
Par conséquent, l’arrêt Fashion ID a permis de fixer de véritables critères à la détermination d’une responsabilité conjointe :
Concernant le traitement de la TC String par IAB Europe avec d’autres acteurs de la publicité digitale – tels que les fournisseurs de sites Internet ou d’application ainsi que les courtiers en données ou encore les plateformes publicitaires – il reviendra donc à la juridiction de renvoi de caractériser l’influence réciproque exercée par lesdits acteurs sur la détermination des finalités et des moyens de traitement sur la TC String.
La juridiction de renvoi pourrait entre autres s’appuyer sur la décision18 de l’autorité de protection belge, l’APD dans cette affaire, qui s’est interrogée sur la question de savoir si le traitement envisagé de données à caractère personnel serait impossible sans la participation de toutes les parties, ou plus précisément, si les activités de traitement effectuées par chaque partie sont indissociables et indivisibles.
Pour rappel, l’APD a conclu qu’IAB Europe ainsi que les fournisseurs de CMP, les publishers (éditeurs de sites internet et application mobile) et les fournisseurs adtech participants doivent être considérés comme des responsables conjoints du traitement concernant la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, notamment dans la mesure où :
L’autorité belge avait toutefois étendu cette responsabilité conjointe entre IAB Europe et les acteurs précités, aux traitements ultérieurs des données personnelles des utilisateurs par lesdits acteurs, ce qu’a infirmé la CJUE dans l’arrêt IAB Europe.
La responsabilité conjointe ne s’étend pas systématiquement aux finalités ultérieures de traitement
La CJUE répond par la négative à la question de savoir si l’éventuelle responsabilité conjointe de l’organisation sectorielle de standardisation s’étend automatiquement aux traitements ultérieurs par des tiers qui ont recueilli les préférences des internautes, comme la publicité ciblée en ligne par les éditeurs et les fournisseurs.
Cette réponse n’est que la suite logique d’une jurisprudence bien établie de la Cour suprême européenne qui ne limite la responsabilité conjointe d’un acteur qu’aux opérations pour lesquelles elle influe, à des fins qui lui sont propres, sur les finalités et moyens de traitement.
En effet, une chaîne de traitement de données personnelles est composée, conformément à l’article 4.2 du RGPD, de plusieurs opérations de traitement, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, etc.
Par exemple, deux acteurs peuvent participer ensemble à la détermination des finalités et des moyens de la collecte de données personnelles, sans qu’un des deux acteurs n’influe à des fins qui lui sont propres, sur les finalités et moyens de la transmission ultérieure de ces données – la collecte et la transmission des données étant deux opérations distinctes de traitement.
En l’espèce, la CJUE distingue bien deux opérations de traitement :
IAB Europe a déterminé conjointement avec les acteurs de la publicité digitale les finalités et moyens d’enregistrement des préférences des utilisateurs, au moyen de la TC String, mais n’a pas participé à la détermination des moyens et finalités des opérations de transmission et de traitement publicitaire des données desdits utilisateurs.
La responsabilité conjointe d’IAB Europe se limite donc à l’opération d’enregistrement des préférences des utilisateurs, et non aux traitements ultérieurs sur lesquels IAB Europe n’exerce aucune influence à des fins qui lui sont propres.
Par conséquent, contrairement à ce qu’affirmait l’APD, le fait de faciliter le traitement ultérieur, par des publishers et fournisseurs adtech, de données d’utilisateurs par la fourniture d’un écosystème au sein duquel les consentement, objection et préférence des utilisateurs sont collectés, n’est pas un critère de qualification de responsabilité conjointe.
En effet, ce n’est pas parce que deux acteurs ont déterminé conjointement les finalités et moyens d’un traitement de données antérieur, ayant facilité la mise en œuvre d’un traitement ultérieur de données, que les deux acteurs doivent automatiquement être responsables conjoints du traitement ultérieur en question. Il convient d’analyser au cas par cas si les deux acteurs ont participé à la détermination des finalités et moyens du traitement à des fins qui leurs sont propres, c’est-à-dire lorsque l’avantage espéré par l’un contribue à l’avantage espéré par l’autre.
La responsabilité conjointe n’implique pas forcément des responsabilités équivalentes
La responsabilité conjointe retenue entre IAB Europe et ses membres relative traitements effectués lors de l’enregistrement dans une TC String des préférences en matière de consentement des utilisateurs concernés selon le cadre établi par le TCF, n’est pas forcément synonyme de responsabilité solidaire entre IAB Europe et les acteurs de la publicité digitale en question.
En effet, une responsabilité conjointe ne signifie pas des responsabilités identiques. Les acteurs peuvent être impliqués (i) à différents stades du traitement, et/ou (ii) selon des degrés divers pour des natures d’infractions étrangères l’une à l’autre, comme le rappelle la CJUE22. Leur responsabilité n’est donc pas la même, ni forcément commune, ni relative à un même fondement.
Un régime de responsabilité réglementaire ne peut pas être confondu avec un régime d’indemnisation civile. La responsabilité conjointe issue du RGPD n’entraine pas une responsabilité solidaire de sorte que toutes les peines encourues ou sanctions réglementaires applicables doivent être allouées à chaque responsable à raison de sa part de responsabilité, ce qui exclut un mécanisme de solidarité.
D’où la nécessité de conclure un contrat pour répartir ces responsabilités entre responsables conjoints. En effet, il est d’usage lorsque de tels rôles sont identifiés entre deux ou plusieurs acteurs de définir contractuellement les différentes responsabilités de chacun, et ce même si cela n’est pas légalement requis.
Malheureusement, le travail d’élaboration d’un processus contractuel qui incarne la réalité des activités respectives des parties est quasiment absent au sein de l’écosystème publicitaire programmatique. On voit par exemple mal comment un tel contrat pourrait être négocié avec le TCF, puisque les acteurs de la publicité digitale, en particulier les éditeurs, n’ont d’autre choix que d’avoir recours à des CMP inscrites au TCF ou d’adhérer eux-mêmes au TCF, sans possibilité de négocier les termes qui les lient.
Il reviendra donc à la juridiction de renvoi belge de trancher sur la part de responsabilité d’IAB Europe et de motiver sa décision, vivement attendue par les parties intéressées, mais aussi par l’ensemble des acteurs de l’écosystème de la publicité digitale.
Authored by Joséphine Beaufour and Rémy Schlich.