Dans un arrêt du 7 mars 2024, la Cour de justice de l’Union européenne (CJUE) a confirmé l’interprétation de l’autorité belge de protection des données concernant le rôle d’IAB Europe dans la gestion des préférences de consentement aux cookies des internautes et concernant la qualification des données traitées.

La CJUE avait été saisie par la Cour d’appel belge, suite à la sanction de l’autorité belge contre IAB d’une amende de 250 000 €, avec obligation de mise en conformité, en mars 2022.

Lors de cette sanction, l’autorité belge avait notamment considéré que la chaîne de caractères contenant les préférences de consentement aux cookies des internautes, qui joue un rôle central dans les systèmes de vente aux enchères en ligne automatisés (RTB) des profils d’utilisateurs et dans l’achat ou la vente d’espaces publicitaires sur Internet, devait être qualifiée de donnée à caractère personnel et qu’IAB Europe devait être considérée comme responsable de traitement conjoint, au sens du RGPD.

Ces deux interprétations ont été confirmées par la CJUE.

Concernant les préférences de consentement aux cookies, la Cour a, en effet, estimé que ces informations « se rapportent à une personne physique », car « elles contien[nent] les préférences individuelles d’un utilisateur spécifique s’agissant de son consentement au traitement des données à caractère personnel le concernant ». La Cour a également estimé que « lorsque les informations contenues dans [ces préférences] sont associées à un identifiant, tel que notamment l’adresse IP de l’appareil d’un tel utilisateur, elles peuvent permettre de créer un profil dudit utilisateur et d’identifier effectivement la personne spécifiquement concernée ».

Concernant la qualification de responsable de traitement conjoint, la Cour a retenu qu’IAB Europe « détermine […] conjointement avec ses membres, les finalités de[s] opérations », et qu’IAB Europe a influencé l’élaboration des règles contraignantes permettant la création, le stockage et le partage des préférences de consentement des utilisateurs.

La Cour a toutefois exclu la responsabilité d’IAB dans les traitements ultérieurs des données, effectués par ses membres ou des tiers.

Il revient désormais à la Cour d’appel belge d’appliquer ces éléments et de confirmer, ou infirmer, la sanction d’IAB et son obligation de mise en conformité.

L'avis d'eWatchers (par Morgan Schmiedt)

IAB a instauré des règles en 2018, censées « favoriser le respect du RGPD », pour permettre aux éditeurs de collecter le consentement des visiteurs à des traitements de données douteux. Son rôle est désormais clair. IAB a sa part de responsabilité.

Quant au caractère personnel des préférences de consentement, l’interprétation de la CJUE n’est guère surprenante. La chaîne de caractères contenant les préférences de consentement est conceptuellement une donnée à caractère personnel, car elle a été conçue pour caractériser une personne. Il n’y a qu’IAB pour feindre le contraire.

Suite à cette position de la CJUE, la supercherie d’IAB sera très probablement confirmée en appel.

Liens

Sigles et acronymes
  • CJUE : Cour de justice de l'Union européenne
  • RGPD : Règlement Général sur la Protection des Données