Une chaîne de codes reprenant les préférences d’un utilisateur identifiable en matière de consentement, afin de permettre une vente aux enchères de données personnelles à des fins publicitaires, constitue une donnée à caractère personnel au sens du règlement (UE) 2016/679 (dit « RGPD ») (7 mars)
Arrêt IAB Europe, aff. C-604/22
Saisie d’un renvoi préjudiciel par le Hof van beroep te Brussel (Belgique), la Cour de justice de l’Union européenne a interprété le RGPD quant à la pratique de vente aux enchères de données à caractère personnel à des fins publicitaires. Dans un 1er temps, la Cour rappelle qu’en principe les entreprises s’adonnant à la pratique dite de « real time bidding », c’est-à-dire qu’elles enchérissent en temps réel et en coulisse pour obtenir un espace publicitaire sur un site internet afin d’y afficher des publicités adaptées au profil de l’utilisateur, doivent au préalable recueillir le consentement des utilisateurs de ce site internet. Dans un 2ème temps, elle estime le système de « Transparency and Consent String » (TC String), qui code et stocke les préférences des utilisateurs dans une chaîne composée d’une combinaison de lettres et de caractères afin que les enchérisseurs sachent ce à quoi l’utilisateur a consenti, constitue une donnée à caractère personnel au sens du RGPD. C’est le cas notamment car la TC String contient des informations telles que l’adresse IP de l’utilisateur, ce qui permet de l’identifier. Dans un 3ème temps, la Cour conclut qu’IAB Europe, qui crée et gère ces TC String, est responsable conjoint du traitement au sens du RGPD, si et seulement si, l’association a influé sur les opérations de traitement des données lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminé, conjointement avec ses membres, les finalités et moyens de ces opérations. (CZ)