Le 7 mars, la Cour de justice de l'Union européenne a rendu sa décision concernant la procédure judiciaire en cours entre l'IAB Europe et l'Autorité belge de protection des données (APD) au sujet du Transparency and Consent Framework (TCF). 

Pour contexte, l’affaire remonte à février 2022, lorsque l'APD belge a rendu une décision à l'encontre de l'IAB Europe, citant des problèmes avec son Transparency and Consent Framework (TCF). La décision a fait l'objet d'un appel et a été réexaminée par la Cour des marchés belge, qui a posé des questions préjudicielles à la CJUE. Dans cet intervalle,'IAB Europe a présenté un plan d'action et a finalement publié le TCF V2.2, une nouvelle itération de son cadre introduisant de nouvelles exigences pour les éditeurs.

La semaine passée, la Cour de justice de l'Union européenne (CJUE) a répondu aux questions préjudicielles soulevées, en se concentrant sur deux points principaux sur les quatre initialement soulevés par l'APD belge :

• La Transparency & Consent (TC) String, le signal de consentement stocké par les acteurs de l'industrie publicitaire, est considéré comme une donnée personnelle par la CJUE. 

• L'IAB Europe pourrait être considéré comme un responsable conjoint du traitement des données, selon que son influence est exercée ou non pour son propre compte . 

Examinons en détails ces deux points et leurs conséquences potentielles.

La Transparency & Consent (TC) String comme donnée personnelle

Selon la décision de la Cour de justice de l'Union européenne (CJUE), pour qu'une information soit qualifiée de donnée à caractère personnel, il n'est pas nécessaire que cette information, prise isolément, permette d'identifier directement la personne concernée. 

La CJUE reconnaît d’ailleurs explicitement que la TC-String, en elle-même, ne constitue pas une donnée personnelle. C'est uniquement la potentialité de l'associer à un autre identifiant qui confère à la TC-String le statut de donnée à caractère personnel. 

La Cour précise que c'est l'association de cette information avec d'autres données, notamment celles concernant une personne physique identifiable (comme l’adresse IP), qui confère à l'ensemble le caractère de donnée personnelle. Cette interprétation repose sur l'idée qu'il faut prendre en compte "l'ensemble des moyens raisonnablement susceptibles d'être utilisés" par le responsable du traitement ou toute autre personne pour identifier la personne physique, directement ou indirectement.

Cependant, cette interprétation soulève une interrogation lorsque l'on considère le cas spécifique de l'IAB Europe dans le contexte de la TC-String. Pour cette organisation, l'idée qu'elle puisse, ou même souhaite, recourir à des moyens pour associer la TC-String à d'autres données personnelles, dans le but de rendre cette information identifiable, paraît peu plausible. En effet, l'IAB Europe, par la nature même de son rôle et de ses opérations, ne se trouve pas dans une position où elle peut, ou veut, combiner des données de cette manière. Ainsi, on pourrait se demander si le critère des "moyens raisonnablement susceptibles d'être utilisés" pour identifier une personne a été pleinement pris en compte dans leur cas.

Cela conduit à réfléchir sur le caractère systématique de l'attribution du statut de donnée personnelle à la TC-String dans tous les contextes. Est-il totalement justifié de considérer cette information comme une donnée personnelle quand, pour certaines entités comme l'IAB Europe, la possibilité de la rendre identifiante est inexistante ?

L’IAB Europe comme responsable de traitement

La décision introduit un critère potentiellement nouveau pour déterminer la responsabilité conjointe : l'existence de fins propres.

Traditionnellement, la responsabilité conjointe était attribuée à des entités ayant une influence déterminante sur les finalités et les moyens de traitement des données personnelles. Cependant, cette décision suggère qu'une entité peut être considérée comme responsable conjointe si elle a ses fins propres, dans le cas d’espèce “favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par lesdits opérateurs”.

Cette interprétation élargie suscite plusieurs questions d'importance :

Standardisation vs responsabilité

Tout organisme qui met en place un ensemble de règles ou de normes dans une industrie participe à une forme de standardisation. La décision de la CJUE pourrait-elle signifier que de tels organismes, indépendamment de leur implication directe dans le traitement des données, peuvent être considérés responsables du fait de ces seules activités de standardisation ?

En poussant cette logique à son extrême, on pourrait se trouver face à des conséquences inattendues et paradoxales. 

Prenons, par exemple, les autorités nationales de protection des données, comme la CNIL en France, qui édictent des directives et des recommandations concernant entre autres l'utilisation des cookies. Ces autorités, par leurs actions, instaurent une certaine forme de standardisation des pratiques au sein de l'espace numérique, avec pour finalité explicite (des “fins propres” au sens de l’arrêt de la CJEU) la protection de la vie privée et des données personnelles des utilisateurs.

Si l'on applique rigoureusement le critère établi par la CJUE concernant l'IAB Europe, une interprétation littérale pourrait amener à considérer ces autorités de régulation comme des responsables conjoints du traitement des données personnelles. En effet, en établissant des normes et des cadres réglementaires, elles influencent directement les méthodes et les objectifs des traitements de données effectués par les acteurs de l'industrie.

Ce raisonnement par l'absurde met en lumière un paradoxe notable : des entités dont la mission première est de créer des standards pour garantir un plus important niveau de protection pourraient être vues, selon cette interprétation extrême, comme partie prenante dans ces mêmes traitements. Cette perspective soulève une question fondamentale sur les limites de la responsabilité conjointe et l'importance de ne pas étendre outre mesure cette notion, au risque de diluer la responsabilité réelle des acteurs directement impliqués dans le traitement des données.

Effet pervers sur les pratiques de standardisation

L'attribution élargie de la responsabilité conjointe aux organisations chargées de la standardisation des pratiques de marché, comme illustré par la décision de la CJUE concernant l'IAB Europe, soulève des préoccupations d’ordre pragmatique. Ces organisations jouent un rôle crucial dans l'harmonisation des processus et dans la facilitation des échanges au sein du marché numérique, rendant ainsi la conformité plus accessible pour tous les acteurs, y compris pour les autorités de contrôle.

La perspective de se voir attribuer une responsabilité juridique étendue et potentiellement lourde pourrait en effet décourager ces entités de poursuivre leurs efforts de standardisation. Ce constat est d'autant plus préoccupant que la standardisation est non seulement bénéfique mais aussi requise pour assurer des pratiques cohérentes et sécurisées dans le traitement des données personnelles, conformément aux exigences du RGPD.

Dans le sillage de cette réflexion, une question pertinente se pose quant aux organismes qui contribuent à l'élaboration et à l'approbation de codes de conduite, comme celui dédié aux fournisseurs de services d’infrastructure cloud (IaaS) approuvé par la CNIL. Ces organismes, bien qu'ils ne traitent pas directement des données personnelles mais facilitent plutôt l'organisation des pratiques au sein d'un secteur spécifique, pourraient se voir attribuer une responsabilité conjointe de traitement sous l'angle de l'interprétation actuelle du RGPD. Il est toutefois important de souligner que le RGPD, dans ses dispositions relatives aux codes de conduite, n'établit pas explicitement que les organismes soutenant ou promouvant ces codes soient considérés comme responsables conjoints des traitements de données effectués par leurs adhérents.

Assimiler systématiquement le soutien à un code de conduite à une responsabilité conjointe dans le traitement des données pourrait dissuader les organisations de s'engager dans cette voie, en raison des responsabilités et des risques juridiques potentiels qui en découlent.

En imposant un fardeau supplémentaire sur les organisations qui facilitent la conformité et la conformité des pratiques de marché, on risque de créer des effets pervers. Au lieu d'encourager la création et l'adoption de standards qui garantissent une meilleure protection des données personnelles et une plus grande transparence, cette approche pourrait conduire à une réticence à élaborer et à suivre de tels cadres. L'ironie réside dans le fait que, alors que le RGPD promeut et nécessite la mise en place de pratiques standardisées pour la protection des données, l'interprétation de la responsabilité conjointe pourrait freiner cette dynamique, à contre-courant des objectifs du règlement.

Portée de la responsabilité 

Une interrogation majeure demeure : quelle est l'étendue réelle de la responsabilité de l’IAB Europe ? En effet, l'IAB Europe, en tant qu'entité, n'accède jamais à la TC String et ne participe donc pas directement au traitement des données personnelles. Sa fonction principale réside dans la standardisation des procédures pour le recueil du consentement, sans influence directe sur les opérations spécifiques de traitement de données par ses membres. Ainsi, l'impact des choix des utilisateurs, qu'ils exercent leurs préférences ou non, n'affecte pas directement l'IAB Europe ou ses opérations internes.

Cette situation soulève la question délicate de déterminer jusqu'où s'étend la responsabilité de l'IAB Europe. 

Si cette entité est considérée comme responsable conjointe, quel est le périmètre de cette responsabilité ? Est-elle tenue responsable des agissements de tous les membres du TCF, y compris si certains ne respectent pas les politiques établies par le TCF ? La mise en place d'une responsabilité aussi large semble non seulement disproportionnée mais aussi potentiellement préjudiciable à l'écosystème numérique tout entier.

Attribuer une responsabilité étendue à l'IAB Europe pourrait non seulement fragiliser cette organisation mais aussi menacer la viabilité même de la standardisation qu'elle cherche à promouvoir. Dans un scénario où les risques juridiques et financiers deviennent insoutenables pour l'IAB Europe, cela pourrait conduire à l'effondrement du TCF. Or l'absence d'un cadre tel que le TCF pourrait réintroduire un environnement de "Far West", caractérisé par une variété de pratiques disparates et non coordonnées pour le traitement du consentement des utilisateurs. Cela compliquerait non seulement la tâche des acteurs du marché cherchant à se conformer aux exigences réglementaires mais aussi celle des autorités de contrôle, engagées dans la supervision de la conformité au RGPD à travers un paysage numérique beaucoup plus fragmenté et hétérogène.

Conséquences potentielles de cette décision ?

Dans un contexte où l'IAB Europe serait considérée par la Cour d’appel Belge comme responsable conjoint du traitement de la TC-String, il est envisageable que l'organisation introduise une nouvelle finalité spécifique pour le traitement de cette donnée. On pourrait ainsi imaginer la création d’une finalité pour la gestion et la conservation des choix des utilisateurs relatifs à la protection de leurs données personnelles. Cette démarche viserait à assurer une gestion transparente et conforme des préférences en matière de consentement des utilisateurs.

De plus, l'intégration de l'IAB Europe dans les bannières cookie en tant que responsable de traitement soulève la question de l'établissement d'une base légale adéquate pour ce traitement. Parmi les bases légales prévues par le RGPD, l'obligation de se conformer à une obligation légale apparaît comme une option pertinente. Cette base légale pourrait justifier la collecte et le traitement des choix des utilisateurs en respectant les exigences du RGPD. Cela pourrait faire l’objet d’une version 2.3 du TCF.

La suite ?

En ce qui concerne la suite de la procédure judiciaire, la décision de la CJUE oriente désormais l'affaire vers la Cour d'appel belge, qui disposera des réponses et observations de la Cour européenne pour poursuivre ses délibérations. 

On peut anticiper une décision de la Cour d'appel d'ici la fin de 2024 ou au début de 2025. Cette nouvelle décision pourrait marquer une étape supplémentaire dans le processus judiciaire, sans pour autant clore définitivement le débat. 

Tout porte à croire que cette saga judiciaire continuera d’occuper le secteur du numérique pour les années à venir.