L'arrêt historique de la CJUE sur l'IAB Europe et le RGPD : implications pour la publicité numérique
Dans une décision capitale qui résonne dans les couloirs de la publicité numérique et de la confidentialité des données, la Cour de justice de l'Union européenne (« CJUE ») a rendu un arrêt dans le cadre de l'affaire C-604/22 concernant le Transparency and Consent Framework (« TCF ») développée par IAB Europe. Le TCF, qui joue un rôle crucial dans l'écosystème de la publicité numérique, est conçu pour faciliter la conformité au RGPD en enregistrant le consentement ou les objections des utilisateurs au traitement des données dans des scénarios d'enchères en temps réel.
L'arrêt de la CJUE met en lumière les subtilités juridiques du traitement des données à caractère personnel dans le cadre du TCF, en se concentrant plus particulièrement sur le Transparency and Consent String (« TC String »). Cet artefact numérique, essentiel au Real Time Bidding (un système de vente aux enchères en ligne instantanée et automatisée de profils d’utilisateurs aux fins de la vente et de l’achat d’espaces publicitaires sur Internet (« RTB »)), a été jugé comme contenant des informations relatives à un utilisateur identifiable, ce qui correspond tout à fait à la définition des données à caractère personnel du RGPD. L'arrêt souligne que le TC String, lorsqu'il est utilisé en conjonction avec des cookies et lié à l'adresse IP d'un utilisateur, constitue un cas évident de traitement de données à caractère personnel, ce qui nécessite une stricte conformité au RGPD.
Un aspect important de l'arrêt de la Cour est la désignation de IAB Europe en tant que « responsable conjoint du traitement ». Ce terme, tel qu'il est défini dans le RGPD, signifie que IAB Europe partage la responsabilité de déterminer les finalités et les moyens du traitement des données à caractère personnel. Toutefois, la Cour a délimité le rôle de IAB Europe en précisant qu'elle n'agit pas en tant que responsable du traitement pour les opérations de traitement des données que le TCF facilite pour obtenir le consentement.
En qualité d'avocat représentant IAB Europe, Kristof Van Quathem, du cabinet Covington, a souligné l'interprétation extensive des responsabilités de IAB Europe par la Cour. La désignation de IAB Europe comme responsable conjoint du traitement, et plus particulièrement du fait de son statut d'organisation sectorielle, marque une prise de position significative de la part du pouvoir judiciaire. Cette interprétation élargit le champ de la responsabilité, en l'étendant aux entités qui jouent un rôle structurel dans le traitement des données à caractère personnel au sein du secteur de la publicité numérique. Malgré cela, M. Van Quathem a fait remarquer que l'arrêt ne modifie pas le statu quo opérationnel du TCF et n’a pas d’impact immédiat sur ses utilisateurs.
La décision de la CJUE n'est pas le dernier mot sur cette affaire. L'affaire est maintenant renvoyée au niveau national, dans l'attente d'un nouvel examen par la Cour d'appel de Bruxelles. Cette prochaine étape pourrait impliquer une réévaluation des faits par la Cour des Marchés de Bruxelles sur la base de l'arrêt de la CJUE ou un renvoi potentiel à l'autorité belge de protection des données pour qu'elle rende une nouvelle décision.
Cette décision constitue une étape décisive pour la publicité numérique et la confidentialité des données en Europe. Il met en lumière l'évolution du paysage juridique concernant le traitement des données personnelles et les responsabilités accrues des organisations sectorielles telles que IAB Europe. Alors que l'écosystème du marketing numérique continue de naviguer dans les complexités de la conformité au RGPD, ce jugement souligne l'importance cruciale des pratiques de traitement des données transparentes et basées sur le consentement. L'issue des procédures ultérieures en Belgique sera observée avec attention, dans la mesure où elle définira plus précisément les contours de la protection de la vie privée et des données à l'ère numérique.
Article de Ines Ben Hassine, juriste pour Gerrish Legal