Affaire IAB Europe : vente de données personnelles aux enchères et conformité au RGPD.

Par un arrêt rendu le 7 mars 2024 très attendu dans le monde de la publicité en ligne, la Cour de Justice de l’Union européenne s’est prononcée dans l’affaire opposant l’IAB Europe (Internet Advertising Bureau) à l’Autorité belge de protection des données sur deux questions dont elle était saisie dans le cadre du Transparency and Consent Framework (TCF) :

1) Elle considère que la chaine de caractères numérique TC String qui capte les préférences des internautes constitue bien une donnée à caractère personnel, dès lors soumise aux dispositions du Règlement Général sur la Protection des Données.

2) Elle confirme que l’IAB Europe, dans son activité d’élaboration d’un cadre de règles et de protocoles techniques visant à assurer la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site internet ou d’une application mobile, effectué par certains opérateurs participant à la vente aux enchères en ligne d’espaces publicitaires, agit en qualité de responsable de conjoint des traitements : en effet, ce cadre a pour objectif de favoriser et permettre la vente et l’achat d’espaces publicitaires sur Internet par lesdits opérateurs et fixe des règles pour les opérateurs souhaitant l’utiliser. Ce faisant, l’IAB Europe influe à des fins qui lui sont propres, sur les finalités et les moyens du traitement et doit donc être qualifiée de responsable conjoint de traitement de l’enregistrement des préférences en matière de consentement des utilisateurs.

1. Rappel du contexte.

La vente aux enchères en temps réel de données à caractère personnel aussi communément appelée le Real Time Bidding (RTB) est une forme de publicité programmatique qui fonctionne en mettant chaque impression aux enchères de façon autonome et en temps réel.

Ainsi, lorsqu’un utilisateur visite une page web contenant une annonce publicitaire, celle-ci est mise en vente aux enchères auprès d’un groupe d’acheteurs potentiels.

Ces acheteurs peuvent accéder à des données sur l’utilisateur (localisation, âge, préférences, historique de ses recherches, achats antérieurs…) et les croiser avec son profil publicitaire pour évaluer l’intérêt de diffuser une publicité à son intention et ainsi fixer le prix qu’ils sont disposés à payer. Le plus offrant emporte l’enchère et peut donc afficher sa publicité à l’utilisateur.

Toutefois, il est nécessaire au préalable pour l’opérateur de s’assurer que l’utilisateur/internaute a consenti à la collecte et au traitement de ses données à caractère personnel notamment à des fins marketing ou publicitaire ou en vue du partage de ces données avec certains fournisseurs. Dans la plupart des cas, les éditeurs de sites ou d’application ont recours pour ce faire, à une plateforme de gestion des consentements (Consent Management Plateform).

IAB (Internet Advertising Bureau) Europe est une association représentant les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen.

IAB Europe a élaboré le TCF - Transparency & Consent Framework (cadre de transparence et de consentement), standard de recueil du consentement, qui facilite l’enregistrement des préférences des utilisateurs au moyen d’une CMP. Le TCF constitue ainsi un cadre de règles composé de directives, d’instructions, de spécifications techniques, de protocoles et d’obligations contractuelles qui permettent aux acteurs de la chaine publicitaire d’accéder aux informations relatives au consentement d’un utilisateur. Ce standard permet supposément à ces acteurs, éditeur de sites Internet ou d’applications, courtiers en données ou encore à des plateformes publicitaires de traiter les données à caractère personnel d’un utilisateur d’un site Internet ou d’une application en conformité avec le RGPD, lorsque ces opérateurs ont recours au protocole OpenRTB, à savoir l’un des protocoles les plus utilisés pour le Real Time Bidding,

Les préférences de consentement et de refus des utilisateurs sont recueillies puis ensuite encodées et stockées dans une chaine de caractère appelée Transparency and Consent String (TC String) et partagées avec des courtiers en données personnelles et des plateformes publicitaires. Les opérateurs ont ainsi accès à ces informations. De plus, un cookie est installé sur l’appareil de l’utilisateur. Lorsqu’ils sont combinés, cette chaîne de caractères et le cookie peuvent être associés à l’adresse IP de l’utilisateur.

2. La procédure.

Saisies de plusieurs plaintes en 2019 en provenance de Belgique et d’autres pays, relatives à la conformité au RGPD du TCF, l’Autorité de Protection des Données (ADP), a jugé, le 22 février 2022, que le TC String constituait une donnée à caractère personnel au sens du RGPD.

L’ADP, relevant plusieurs manquements du TCF au RGPD (qualité du consentement, en tant que base légale, défaut de mesures de sécurité, absence d’audit des organisations « adhérentes », absence d’analyse d’impact …), a condamné l’IAB Europe à une amende administrative de 250 000 euros et lui a imposé plusieurs mesures correctives, dont la suppression de toutes les données illicitement collectées, selon elle, depuis le 25 mai 2018.

L’IAB Europe a par la suite fait appel à cette décision devant la Cour des marchés.
La Cour des marchés a sursis à statuer et a saisi la CJUE de deux questions préjudicielles :

• Le TC String combiné ou non avec une adresse IP constitue-t-il une « donnée à caractère personnelle » au sens de l’article 4 point 1 du RGPD ?
• L’IAB Europe doit-elle être qualifiée de « responsable conjoint de traitement » au sens de l’article 4 point 7 du RGPD ?

3. L’arrêt de la CJUE du 7 mars 2024.

Le 7 mars 2024, les juges de la CJUE se prononcent dans l’affaire et répondent par l’affirmative aux deux questions préjudicielles posées par la Cour d’appel de Bruxelles :

1) Concernant la qualification de donnée à caractère personnel du TC String, les juges estiment que la chaine de caractère est une donnée à caractère personnel, même du point de vue de l’IAB Europe :

• Les préférences individuelles d’un utilisateur spécifique constituent en elles-mêmes des données à caractère personnel car « toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable » le sont [1].
• La chaine de caractère peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, et ce faisant, permet d’identifier indirectement, la personne concernée.

Par conséquent, le TC String, selon la CJUE, constitue une donnée à caractère personnel au sens de l’article 4 paragraphe 1 du RGPD.

2) S’agissant de la deuxième question préjudicielle :

La cour rappelle en premier lieu deux points importants :

• L’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Le niveau de responsabilité de chacun d’eux doit être évalué en tenant compte de toutes les circonstances spécifiques de l’espèce. Le concept de responsabilité conjointe est une notion à géométrie variable qui doit s’analyser au cas par cas.

• Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées (voir, par analogie, arrêt du 10 juillet 2018 [2]).

La cour relève ensuite que :

• « Le TCF établi par IAB Europe constitue un cadre de règles visant à assurer la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site Internet ou d’une application, effectué par certains opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires. Dans ces conditions, le TCF vise, en substance, à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par lesdits opérateurs ». Cette finalité est, on peut le supposer, évidemment partagée par les entreprises adhérentes et utilisatrices du TCF. L’IAB Europe influe ici selon les juges, sur la finalité du traitement, son objectif.

• « Le TCF constitue un cadre de règles que les membres d’IAB Europe sont censés accepter pour adhérer à cette association. En particulier, (…) si l’un de ses membres ne se conforme pas aux règles du TCF, IAB Europe peut adopter à l’égard de ce membre une décision de non-conformité et de suspension qui peut aboutir à l’exclusion dudit membre du TCF et, partant, à l’empêcher de se prévaloir de la garantie de conformité au RGPD censée être fournie par ce dispositif pour le traitement de données à caractère personnel qu’il effectue au moyen des TC Strings. Le TCF établi par IAB Europe contient des spécifications techniques relatives au traitement de la TC String. En particulier, il semble que ces spécifications décrivent précisément la manière dont les CMP sont tenues de recueillir les préférences des utilisateurs relatives au traitement des données à caractère personnel les concernant ainsi que la manière dont de telles préférences doivent être traitées afin de générer une TC String. En outre, des règles précises sont également établies en ce qui concerne le contenu de la TC String ainsi que le stockage et le partage de celle-ci ». En d’autres termes, la cour estime que l’IAB Europe détermine les moyens du traitement de données à caractère personnel.
  Par conséquent, les magistrats de la CJUE concluent que l’IAB doit être considéré comme « responsable conjoint de traitement » au sens de l’article 4 point 7 et 26 paragraphes 1 du RGPD dans la mesure où elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et détermine les finalités et les moyens d’un tel traitement.

3) La CJUE pose néanmoins, de façon logique, une limite à cette responsabilité conjointe du traitement de données :

Dans la lignée de l’arrêt Fashion ID [3], la cour précise dans son point 77 que la responsabilité conjointe de l’IAB Europe ne s’applique pas au traitement ultérieur des données, c’est-à-dire au traitement des données qui est fait en toute autonomie par les éditeurs de sites/d’applications ou les courtiers de données, après l’enregistrement dans la TC String, tels que la transmission de données des utilisateurs à des tiers ou l’offre de publicité personnalisée aux utilisateurs.

La cour relève que ces derniers traitements ne semblent ainsi pas impliquer la participation de l’IAB Europe, de sorte qu’il y a lieu d’exclure une responsabilité automatique d’une telle organisation, conjointement avec lesdits opérateurs ainsi qu’avec des tiers, s’agissant du traitement des données à caractère personnel effectué sur la base des données relatives aux préférences des utilisateurs concernés contenues dans une TC String.

Ce sont bien les entreprises utilisatrices qui sont responsables de traitement autonome des données une fois qu’ils les ont collectées et réutilisées, pour des fins qui leur sont propres.

4) L’affaire est néanmoins à suivre puisque la Cour d’appel belge (la Cour des marchés) devra désormais trancher le litige sur le fond, en tenant compte des réponses apportées par la CJUE dans son arrêt du 7 mars 2024.

4. Quelles conséquences pour les utilisateurs du TCF ?

1) L’arrêt rendu par la CJUE le 7 mars dernier qualifiant l’IAB Europe de « responsable conjoint de traitement » impacte les utilisateurs du TCF et, si la cour d’appel devait confirmer le jugement de l’ADP, leur conformité au RGPD au titre de l’utilisation de ces outils pourrait être remise en question, sans action de remédiation de la part d’IAB Europe (l’IAB Europe n’a toutefois pas attendu la décision de la CJUE pour commencer à le faire évoluer, malgré la suspension du plan d’action de mise en conformité liée à la procédure en cours).

En effet, les éditeurs de sites internet ou d’applications mobiles, les courtiers en données ou les plateformes publicitaires sont concernés puisque responsables de traitements de données qui les concernent.

Ils ont donc l’obligation de veiller à la conformité de leurs traitements au RGPD et en particulier de justifier d’une collecte de données personnelles via l’utilisation de cookies sur le fondement d’une base légale valable, de respecter les principes de transparence, de minimisation, de sécurité, etc. Or, si la licéité de ce mécanisme est remise en cause parce que les mesures correctives proposées par l’IAB Europe ne sont pas satisfaisantes par exemple, leurs utilisateurs devront s’interroger sur le risque encouru de continuer à adhérer à un tel outil.

2) De plus, la qualification de responsable de traitement conjoint emporte d’autres obligations, prévues à l’article 26 du RGPD :

• Celle de conclure un accord, avec le responsable conjoint, qui détermine leurs obligations respectives quant à l’exercice des droits des utilisateurs concernés et quant à la communication des informations visées aux articles 13 et 14 du RGPD et qui organise une répartition des rôles vis-à-vis des personnes concernées (les utilisateurs). Il conviendra donc de veiller à la répartition des responsabilités et aux exclusions/ limites de responsabilité contractuelle que l’IAB Europe pourrait tenter d’imposer aux entreprises utilisant le TCF et déterminer si elles sont acceptables au regard du service rendu.

• Mettre à la disposition des utilisateurs les grandes lignes de l’accord conclu entre l’IAB Europe et les utilisateurs du TCF… Facebook (désormais Meta) avait dû se plier à l’exercice après les arrêts Wirschaftsakademie [4] et Fashion ID [5].

3) Au plan de la responsabilité à l’égard des personnes concernées, il convient de rappeler que l’article 82 § 4 du RGPD précise que les responsables conjoints du traitement sont solidairement responsables du préjudice subi par les utilisateurs. Ainsi, l’utilisateur qui aurait subi un dommage matériel ou moral du fait de la violation du RGPD par le TCF pourra, au choix, obtenir la réparation intégrale de son préjudice par L’IAB Europe ou son adhérent. Le responsable de traitement ne pourra être exonéré que s’il apporte la preuve que le dommage en lui est pas imputable. En cas de partage de responsabilité, le responsable conjoint ayant assumé la réparation totale bénéficie d’une action récursoire à l’égard de l’autre responsable de traitement. Les conséquences de la responsabilité conjointe sont donc importantes.

Il est donc dans ce contexte recommandé d’être attentif aux plafonds et/ou aux exclusions de responsabilité stipulés dans les accords contractuels entre l’IAB Europe et les adhérents au TCF.

Cet arrêt, important pour les professionnels du secteur, impacte les entreprises ayant des activités dans le marketing et la publicité en ligne : en effet, ces acteurs doivent, au-delà du cas souligné par le TCF, et par analogie, évaluer les outils et services utilisés et leurs pratiques pour déterminer si les informations qu’elles utilisent sont des données à caractère personnel ou non, et si une autre personne de la chaîne de traitement pourrait être considérée comme un responsable (conjoint) du traitement. Faut-il y voir une généralisation de cette qualification pour les entreprises utilisatrices de services numériques et en cas de partage de données ?

L’IAB Europe, quant à elle, alerte sur le fait que cet arrêt aurait des implications très négatives pour les organisations de normalisation partout dans le monde.

L’arrêt de la Cour de marchés sera, dans cette perspective, très attendu.