CJUE, 4e ch., 7 mars 2024, n° C-604/22
COUR DE JUSTICE DE L’UNION EUROPEENNE
Arrêt
Annulation
PARTIES
Demandeur :
IAB Europe
Défendeur :
Gegevensbeschermingsautoriteit, Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW
COMPOSITION DE LA JURIDICTION
Président :
M. Lycourgos
Juges :
M. Spineanu‑Matei, M. Bonichot, M. Rodin, Mme Rossi
Avocat général :
Mme Ćapeta
Avocats :
Me Craddock, Me Van Quathem, Me Cloots, Me Roets, Me Roes
ARRÊT DE LA COUR (quatrième chambre)
7 mars 2024 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Article 4, point 1 – Notion de “données à caractère personnel” – Chaîne de lettres et caractères captant, de manière structurée et lisible par une machine, les préférences d’un utilisateur d’Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles – Article 4, point 7 – Notion de “responsable du traitement” – Article 26, paragraphe 1 – Notion de “responsables conjoints du traitement” – Organisation n’ayant pas, elle-même, accès aux données personnelles traitées par ses membres – Responsabilité de l’organisation s’étendant aux traitements ultérieurs de données effectués par des tiers »
Dans l’affaire C‑604/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), par décision du 7 septembre 2022, parvenue à la Cour le 19 septembre 2022, dans la procédure
IAB Europe
contre
Gegevensbeschermingsautoriteit,
en présence de :
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des Droits Humains VZW,
LA COUR (quatrième chambre),
composée de M. C. Lycourgos, président de chambre, Mme O. Spineanu‑Matei, MM. J.‑C. Bonichot, S. Rodin et Mme L. S. Rossi (rapporteure), juges,
avocat général : Mme T. Ćapeta,
greffier : Mme A. Lamote, administratrice,
vu la procédure écrite et à la suite de l’audience du 21 septembre 2023,
considérant les observations présentées :
– pour IAB Europe, par Me P. Craddock, avocat, et Me K. Van Quathem, advocaat,
– pour la Gegevensbeschermingsautoriteit, par Mes E. Cloots, J. Roets et T. Roes, advocaten,
– pour MM. Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom et Ligue des Droits Humains VZW, par Mes F. Debusseré et R. Roex, advocaten,
– pour le gouvernement autrichien, par Mmes J. Schmoll et C. Gabauer, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar et H. Kranenborg, en qualité d’agents,
vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,
rend le présent
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, points 1 et 7, ainsi que de l’article 24, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).
2 Cette demande a été présentée dans le cadre d’un litige opposant IAB Europe à la Gegevensbeschermingsautoriteit (Autorité de protection des données, Belgique) (ci-après l’« APD ») au sujet d’une décision de la chambre contentieuse de l’APD adoptée contre IAB Europe concernant la violation alléguée de plusieurs dispositions du RGPD.
Le cadre juridique
Le droit de l’Union
3 Les considérants 1, 10, 26 et 30 du RGPD sont libellés comme suit :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [Charte] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(26) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
[...]
(30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (“cookies”) ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 4 dudit règlement prévoit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
[...] »
6 L’article 6 du RGPD, intitulé « Licéité du traitement », est libellé comme suit :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
[...]
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
[...] »
7 L’article 24 de ce règlement, intitulé « Responsabilité du responsable du traitement », dispose, à son paragraphe 1 :
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »
8 L’article 26 dudit règlement, intitulé « Responsables conjoints du traitement », énonce, à son paragraphe 1 :
« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. [...] »
9 Le chapitre VI du RGPD, relatif aux « Autorités de contrôle indépendantes », comprend les articles 51 à 59 de ce règlement.
10 L’article 51 de ce règlement, intitulé « Autorité de contrôle », prévoit, à ses paragraphes 1 et 2 :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union [...]
2. Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission [européenne] conformément au chapitre VII. »
11 Aux termes de l’article 55, paragraphes 1 et 2, du RGPD, intitulé « Compétence » :
« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.
2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable. »
12 L’article 56 de ce règlement, intitulé « Compétence de l’autorité de contrôle chef de file », énonce, à son paragraphe 1 :
« Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous‑traitant, conformément à la procédure prévue à l’article 60. »
13 L’article 57 dudit règlement, intitulé « Missions », dispose, à son paragraphe 1 :
« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
a) contrôle l’application du présent règlement et veille au respect de celui-ci ;
[...]
g) coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect ;
[...] »
14 La section 1, intitulée « Coopération », du chapitre VII du même règlement, intitulé « Coopération et cohérence », comprend les articles 60 à 62 de ce règlement. L’article 60, relatif à la « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », prévoit, à son paragraphe 1 :
« L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile. »
15 L’article 61 du RGPD, intitulé « Assistance mutuelle », énonce, à son paragraphe 1 :
« Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes. »
16 L’article 62 de ce règlement, intitulé « Opérations conjointes des autorités de contrôle », prévoit, à ses paragraphes 1 et 2 :
« 1. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.
2. Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. [...] »
17 La section 2, intitulée « Cohérence », du chapitre VII dudit règlement comprend les articles 63 à 67 de ce règlement. L’article 63, intitulé « Mécanisme de contrôle de la cohérence », est libellé comme suit :
« Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section. »
Le droit belge
18 La wet tot oprichting van de Gegevensbeschermingsautoriteit (loi portant création de l’autorité de protection des données), du 3 décembre 2017 (Belgisch Staatsblad,10 janvier 2018, p. 989, ci-après la « LCA »), dispose, à son article 100, paragraphe 1, 9° :
« La chambre contentieuse a le pouvoir de :
[...]
9° ordonner une mise en conformité du traitement ».
19 L’article 101 de la LCA prévoit :
« La chambre contentieuse peut décider d’infliger une amende administrative aux parties poursuivies selon les principes généraux visés à l’article 83 du [RGPD]. »
Le litige au principal et les questions préjudicielles
20 IAB Europe est une association sans but lucratif établie en Belgique, qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. Les membres de IAB Europe sont tant des entreprises de ce secteur, telles que des éditeurs, des entreprises de commerce électronique et de marketing, des intermédiaires, que des associations nationales, dont les IAB (Interactive Advertising Bureau) nationaux, qui, à leur tour, comptent parmi leurs membres des entreprises dudit secteur. Parmi les membres de IAB Europe figurent notamment des entreprises qui génèrent des revenus importants moyennant la vente d’espaces publicitaires sur des sites Internet ou des applications.
21 IAB Europe a élaboré le Transparency & Consent Framework (cadre de transparence et de consentement, ci-après le « TCF »), qui est un cadre de règles composé de directives, d’instructions, de spécifications techniques, de protocoles et d’obligations contractuelles qui permettent tant au fournisseur d’un site Internet ou d’une application qu’à des courtiers en données ou encore à des plateformes publicitaires de traiter légalement les données à caractère personnel d’un utilisateur d’un site Internet ou d’une application.
22 Le TCF a notamment pour objectif de favoriser le respect du RGPD lorsque ces opérateurs ont recours au protocole OpenRTB, à savoir l’un des protocoles les plus utilisés pour le Real Time Bidding, qui est un système de vente aux enchères en ligne instantanée et automatisée de profils d’utilisateurs aux fins de la vente et de l’achat d’espaces publicitaires sur Internet (ci-après le « RTB »). Eu égard à certaines pratiques mises en œuvre par des membres de IAB Europe dans le cadre de ce système d’échange massif de données à caractère personnel relatives aux profils d’utilisateurs, le TCF a été présenté par IAB Europe comme une solution susceptible de rendre conforme au RGPD ledit système de ventes aux enchères.
23 En particulier, ainsi qu’il ressort du dossier soumis à la Cour, d’un point de vue technique, lorsqu’un utilisateur consulte un site Internet ou une application qui contient un espace publicitaire, les entreprises de technologie publicitaire, et notamment des courtiers en données et des plateformes publicitaires, qui représentent des milliers d’annonceurs, peuvent enchérir en temps réel, en coulisse, pour obtenir cet espace publicitaire via un système d’enchères automatisé utilisant des algorithmes, afin d’afficher sur ledit espace des publicités ciblées spécifiquement adaptées au profil d’un tel utilisateur.
24 Cependant, avant d’afficher de telles publicités ciblées, le consentement préalable dudit utilisateur doit être recueilli. Ainsi, lorsque celui-ci consulte un site Internet ou une application pour la première fois, une plateforme de gestion du consentement dite « Consent Management Platform » (ci-après la « CMP ») apparaît dans une fenêtre pop-up permettant à cet utilisateur, d’une part, de donner son consentement au fournisseur du site Internet ou de l’application en vue de la collecte et du traitement de ses données à caractère personnel à des fins préalablement définies, telles que notamment le marketing ou la publicité, ou en vue du partage de ces données avec certains fournisseurs, et, d’autre part, de s’opposer à différents types de traitement de données ou au partage de celles-ci, fondés sur les intérêts légitimes revendiqués par des fournisseurs, au sens de l’article 6, paragraphe 1, sous f), du RGPD. Ces données à caractère personnel concernent notamment la localisation de l’utilisateur, son âge, l’historique de ses recherches et de ses achats récents.
25 Dans ce contexte, le TCF fournit un cadre pour un traitement de données à caractère personnel à grande échelle et facilite l’enregistrement des préférences des utilisateurs au moyen de la CMP. Ces préférences sont par la suite codées et stockées dans une chaîne composée d’une combinaison de lettres et de caractères désignée par IAB Europe sous le nom Transparency and Consent String (ci-après la « TC String »), qui est partagée avec des courtiers en données à caractère personnel et des plateformes publicitaires participant au protocole OpenRTB, afin que ceux-ci sachent ce à quoi l’utilisateur a consenti ou s’est opposé. La CMP place également un cookie (euconsent-v2) sur l’appareil de l’utilisateur. Lorsqu’ils sont combinés, la TC String et le cookie euconsent-v2 peuvent être liés à l’adresse IP de cet utilisateur.
26 Le TCF joue ainsi un rôle dans le fonctionnement du protocole OpenRTB puisqu’il permet de transcrire les préférences de l’utilisateur en vue de leur communication à des vendeurs potentiels et d’atteindre différents objectifs de traitement, y compris la proposition de publicités sur mesure. Le TCF vise notamment à garantir aux courtiers en données à caractère personnel et aux plateformes publicitaires, au moyen de la TC String, le respect du RGPD.
27 Depuis l’année 2019, l’APD a reçu plusieurs plaintes dirigées contre IAB Europe, en provenance tant de la Belgique que de pays tiers, et portant sur la conformité du TCF au RGPD. Après avoir examiné ces plaintes, l’APD, en qualité d’autorité de contrôle chef de file, au sens de l’article 56, paragraphe 1, du RGPD, a déclenché le mécanisme de coopération et de cohérence, conformément aux articles 60 à 63 de ce règlement, afin de parvenir à une décision commune approuvée conjointement par l’ensemble des 21 autorités de contrôle nationales impliquées dans le cadre de ce mécanisme. Ainsi, la chambre contentieuse de l’APD a, par sa décision du 2 février 2022 (ci-après la « décision du 2 février 2022 »), jugé que IAB Europe agissait en tant que responsable du traitement des données à caractère personnel en ce qui concerne l’enregistrement du signal de consentement, des objections et des préférences des utilisateurs individuels au moyen d’une TC String, qui, selon la chambre contentieuse de l’APD, est associée à un utilisateur identifiable. En outre, dans cette décision, la chambre contentieuse de l’APD a ordonné à IAB Europe, conformément à l’article 100, paragraphe 1, 9°, de la LCA, de mettre en conformité avec les dispositions du RGPD le traitement des données à caractère personnel effectué dans le cadre du TCF et lui a imposé plusieurs mesures correctrices ainsi qu’une amende administrative.
28 IAB Europe a introduit un recours contre ladite décision devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), qui est la juridiction de renvoi. IAB Europe demande à cette juridiction d’annuler la décision du 2 février 2022. Elle conteste, entre autres, le fait d’être considérée comme ayant agi en tant que responsable du traitement. Elle soutient également que, en tant qu’elle constate que la TC String est une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, cette décision est insuffisamment nuancée et motivée et que, en tout état de cause, elle est erronée. En particulier, IAB Europe souligne que seuls les autres participants au TCF pourraient combiner la TC String avec une adresse IP pour la transformer en une donnée à caractère personnel, que la TC String n’est pas propre à un utilisateur et qu’elle-même n’a pas la possibilité d’accéder aux données qui sont traitées dans ce cadre par ses membres.
29 L’APD, soutenue dans le cadre de la procédure nationale par MM. Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom et Ligue des Droits Humains VZW, fait notamment valoir que les TC Strings constituent bien des données à caractère personnel, dans la mesure où les CMP peuvent lier les TC Strings aux adresses IP, que, en outre, les participants au TCF peuvent également identifier les utilisateurs sur la base d’autres données, que IAB Europe a accès aux informations pour ce faire, et que cette identification de l’utilisateur est précisément la finalité de la TC String, qui vise à faciliter la vente de la publicité ciblée. En outre, l’APD soutient, entre autres, que le fait que IAB Europe doive être considérée comme un responsable du traitement au sens du RGPD ressort de son rôle déterminant dans le traitement des TC Strings. L’APD ajoute que cette organisation détermine, respectivement, les finalités et les moyens du traitement, la manière dont les TC Strings sont générées, modifiées et lues, de quelle façon et où les cookies nécessaires sont stockés, qui reçoit les données personnelles et sur la base de quels critères les délais de conservation des TC Strings peuvent être établies.
30 La juridiction de renvoi nourrit des doutes quant au fait de savoir si une TC String, combinée ou non à une adresse IP, constitue une donnée à caractère personnel et, si tel est le cas, si IAB Europe doit être qualifiée de responsable du traitement des données à caractère personnel dans le cadre du TCF, en particulier au regard du traitement de la TC String. À cet égard, cette juridiction indique que, s’il est vrai que la décision du 2 février 2022 reflète la position commune adoptée conjointement par les différentes autorités de contrôle nationales impliquées en l’occurrence, la Cour n’aurait cependant pas encore eu l’occasion de se prononcer sur cette nouvelle technologie intrusive que constitue la TC String.
31 Dans ces conditions, le hof van beroep te Brussel (cour d’appel de Bruxelles) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) a) L’article 4, point 1, du [RGPD], lu en combinaison avec les articles 7 et 8 de la [Charte], doit-il être interprété en ce sens qu’une chaîne de caractères qui capte de manière structurée et lisible par une machine, en lien avec le traitement de ses données à caractère personnel, les préférences d’un internaute constitue une donnée à caractère personnel au sens de la disposition précitée à l’égard (1) d’une organisation sectorielle qui met à la disposition de ses membres un standard par lequel elle leur prescrit la manière pratique et technique dont cette chaîne de caractères doit être générée, stockée et/ou diffusée, et (2) des parties qui ont mis en œuvre ce standard sur leurs sites Internet ou dans leurs applications et ont ainsi accès à cette chaîne de caractères ?
b) Importe-t-il à cet égard que la mise en œuvre du standard implique que cette chaîne de caractères soit disponible avec une adresse IP ?
c) La réponse [aux points a) et b) de la première question] est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce standard ?
2) a) L’article 4, point 7, et l’article 24, paragraphe 1, du [RGPD], lus en combinaison avec les articles 7 et 8 de la [Charte], doivent-ils être interprétés en ce sens qu’une organisation sectorielle de standardisation doit être qualifiée de responsable du traitement, lorsqu’elle propose à ses membres un standard de gestion du consentement qui contient non seulement un cadre technique contraignant, mais aussi des règles précisant de façon détaillée les modalités de stockage et de diffusion de ces données de consentement, qui constituent des données à caractère personnel ?
b) La réponse [au point a) de la seconde question] est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce standard ?
c) Si l’organisation sectorielle de standardisation doit être désignée comme responsable ou responsable conjoint du traitement des préférences des internautes, cette responsabilité (conjointe) de l’organisation sectorielle de standardisation s’étend-elle automatiquement aux traitements ultérieurs par des tiers qui ont recueilli les préférences des internautes, comme la publicité ciblée en ligne par les éditeurs et les fournisseurs ? »
Sur la première question
32 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition, lorsqu’une organisation sectorielle a établi le cadre de règles selon lequel cette chaîne doit être générée, stockée ou diffusée et les membres d’une telle organisation ont mis en œuvre de telles règles et ont ainsi accès à ladite chaîne. Cette juridiction souhaite également savoir si, aux fins de la réponse à cette question, il importe, en premier lieu, que ladite chaine soit associée à un identifiant, tel que notamment l’adresse IP de l’appareil dudit utilisateur, permettant d’identifier la personne concernée, et, en second lieu, qu’une telle organisation sectorielle dispose du droit d’accéder directement aux données à caractère personnel qui sont traitées par ses membres dans le contexte du cadre de règles qu’elle a établi.
33 À titre liminaire, il convient de rappeler que, dès lors que le RGPD a abrogé et remplacé la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), et que les dispositions pertinentes de ce règlement ont une portée en substance identique à celle des dispositions pertinentes de cette directive, la jurisprudence de la Cour relative à ladite directive est également applicable, en principe, en ce qui concerne ledit règlement (arrêt du 17 juin 2021, M.I.C.M., C‑597/19, EU:C:2021:492, point 107).
34 Il convient également de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 38 ainsi que jurisprudence citée).
35 À cet égard, il importe de relever que l’article 4, point 1, du RGPD indique que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable » et précise qu’« est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
36 L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C487/21, EU:C:2023:369, point 23 ainsi que jurisprudence citée).
37 À cet égard, la Cour a jugé qu’une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C487/21, EU:C:2023:369, point 24 ainsi que jurisprudence citée).
38 Quant au caractère « identifiable » d’une personne, il ressort du libellé de l’article 4, point 1, du RGPD qu’est réputée identifiable une personne qui peut être identifiée non seulement directement, mais aussi indirectement.
39 Ainsi que la Cour l’a déjà jugé, l’utilisation par le législateur de l’Union du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée à caractère personnel, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 41). Au contraire, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 58).
40 En outre, ce considérant 26 précise que, pour déterminer si une personne est « identifiable », il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». Ce libellé suggère que, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », au sens de l’article 4, point 1, de ce règlement, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 43).
41 Il en résulte que la notion de « données à caractère personnel » ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable (arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 45).
42 En l’occurrence, il importe de relever qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contient les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement par des tiers de données à caractère personnel le concernant ou relatives à son opposition éventuelle à un traitement de telles données fondé sur un intérêt légitime allégué, au titre de l’article 6, paragraphe 1, sous f), du RGPD.
43 Or, même si une TC String ne contenait pas en elle-même d’éléments permettant l’identification directe de la personne concernée, il n’en demeurerait pas moins, en premier lieu, qu’elle contient les préférences individuelles d’un utilisateur spécifique s’agissant de son consentement au traitement des données à caractère personnel le concernant, ces informations « se rapportant à une personne physique », au sens de l’article 4, point 1, du RGPD.
44 En second lieu, il est également constant que, lorsque les informations contenues dans une TC String sont associées à un identifiant, tel que notamment l’adresse IP de l’appareil d’un tel utilisateur, elles peuvent permettre de créer un profil dudit utilisateur et d’identifier effectivement la personne spécifiquement concernée par de telles informations.
45 Dans la mesure où le fait d’associer une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, à des données supplémentaires, notamment à l’adresse IP de l’appareil d’un utilisateur ou à d’autres identifiants, permet d’identifier cet utilisateur, il y a lieu de considérer que la TC String contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel, au sens de l’article 4, paragraphe 1, du RGPD, ce qui est corroboré par le considérant 30 du RGPD, qui vise expressément un tel cas de figure.
46 Cette interprétation ne saurait être remise en cause par la seule circonstance que IAB Europe ne pourrait combiner elle-même la TC String avec l’adresse IP de l’appareil d’un utilisateur et ne disposerait pas de la possibilité d’accéder directement aux données traitées par ses membres dans le cadre du TCF.
47 En effet, ainsi qu’il ressort de la jurisprudence rappelée au point 40 du présent arrêt, une telle circonstance ne fait pas obstacle à ce qu’une TC String soit qualifiée de « donnée à caractère personnel », au sens de l’article 4, point 1, du RGPD.
48 Du reste, il ressort du dossier dont dispose la Cour, et notamment de la décision du 2 février 2022, que les membres de IAB Europe sont tenus de communiquer à celle-ci, à sa demande, toutes les informations lui permettant d’identifier les utilisateurs dont les données font l’objet d’une TC String.
49 Il apparaît donc, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer à cet égard, que IAB Europe dispose, conformément à ce qu’énonce le considérant 26 du RGPD, de moyens raisonnables lui permettant d’identifier une personne physique déterminée à partir d’une TC String, grâce aux informations que ses membres et d’autres organisations qui participent au TCF sont tenus de lui fournir.
50 Il résulte de ce qui précède qu’une TC String constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD. Est sans pertinence à cet égard le fait que, sans une contribution extérieure qu’elle est en droit d’exiger, une telle organisation sectorielle ne puisse ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner la TC String avec d’autres identifiants, tels que notamment l’adresse IP de l’appareil d’un utilisateur.
51 Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
Sur la seconde question
52 Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens que :
– d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable du traitement », au sens de cette disposition, et si, aux fins de la réponse à cette question, il importe qu’une telle organisation sectorielle ait elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ;
– d’autre part, l’éventuelle responsabilité conjointe de ladite organisation sectorielle s’étend automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.
53 À titre liminaire, il importe de rappeler que l’objectif poursuivi par le RGPD, tel qu’il ressort de son article 1er ainsi que de ses considérants 1 et 10, consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 64].
54 Conformément à cet objectif, l’article 4, point 7, de ce règlement définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
55 En effet, ainsi que la Cour l’a déjà jugé, l’objectif de cette disposition est d’assurer, par cette définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées (voir, par analogie, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 28).
56 En outre, dès lors que, ainsi que le prévoit expressément l’article 4, point 7, du RGPD, la notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’eux étant alors soumis aux dispositions applicables en matière de protection des données (voir, par analogie, arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 29, et du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 65).
57 La Cour a également considéré qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement, au sens de l’article 4, point 7, du RGPD (voir, par analogie, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 68). Ainsi, conformément à l’article 26, paragraphe 1, du RGPD, il existe des « responsables conjoints du traitement » lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 40).
58 À cet égard, si chaque responsable conjoint du traitement doit répondre de manière indépendante à la définition de « responsable du traitement » qui figure à l’article 4, point 7, du RGPD, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées (voir, par analogie, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, points 66 et 69 ainsi que jurisprudence citée).
59 La participation à la détermination des finalités et des moyens du traitement peut prendre différentes formes, cette participation pouvant résulter tant d’une décision commune prise par deux entités ou plus que de décisions convergentes de telles entités. Dans ce dernier cas, lesdites décisions doivent se compléter, de telle sorte que chacune d’elles ait un effet concret sur la détermination des finalités et des moyens du traitement. En revanche, il ne saurait être exigé qu’il existe un accord formel entre ces responsables du traitement quant aux finalités et aux moyens du traitement (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 43 et 44).
60 Au vu de ce qui précède, il convient de considérer que la première partie de la seconde question posée vise à déterminer si une organisation sectorielle, telle que IAB Europe, peut être considérée comme étant un responsable conjoint du traitement, au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD.
61 À cette fin, il importe donc d’apprécier si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel, telles que la TC String, et détermine, conjointement avec d’autres, les finalités et les moyens d’un tel traitement.
62 S’agissant, en premier lieu, des finalités d’un tel traitement de données à caractère personnel, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, ainsi qu’il a été rappelé aux points 21 et 22 du présent arrêt, le TCF établi par IAB Europe constitue un cadre de règles visant à assurer la conformité au RGPD du traitement de données à caractère personnel d’un utilisateur d’un site Internet ou d’une application effectué par certains opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires.
63 Dans ces conditions, le TCF vise, en substance, à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par lesdits opérateurs.
64 Dès lors, il peut être considéré, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, que IAB Europe influe, à des fins qui lui sont propres, sur les opérations de traitement de données à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations.
65 En second lieu, quant aux moyens utilisés aux fins d’un tel traitement de données à caractère personnel, il ressort du dossier dont dispose la Cour, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, que le TCF constitue un cadre de règles que les membres d’IAB Europe sont censés accepter pour adhérer à cette association. En particulier, ainsi qu’il a été confirmé par IAB Europe lors de l’audience devant la Cour, si l’un de ses membres ne se conforme pas aux règles du TCF, IAB Europe peut adopter à l’égard de ce membre une décision de non-conformité et de suspension qui peut aboutir à l’exclusion dudit membre du TCF et, partant, à l’empêcher de se prévaloir de la garantie de conformité au RGPD censée être fournie par ce dispositif pour le traitement de données à caractère personnel qu’il effectue au moyen des TC Strings.
66 En outre, et d’un point de vue pratique, ainsi qu’il a été mentionné au point 21 du présent arrêt, le TCF établi par IAB Europe contient des spécifications techniques relatives au traitement de la TC String. En particulier, il semble que ces spécifications décrivent précisément la manière dont les CMP sont tenues de recueillir les préférences des utilisateurs relatives au traitement des données à caractère personnel les concernant ainsi que la manière dont de telles préférences doivent être traitées afin de générer une TC String. En outre, des règles précises sont également établies en ce qui concerne le contenu de la TC String ainsi que le stockage et le partage de celle-ci.
67 Il ressort notamment de la décision du 2 février 2022 que IAB Europe prescrit, dans le cadre de ces règles, notamment la manière standardisée dont les différentes parties impliquées dans le TCF peuvent consulter les préférences, les objections et les consentements des utilisateurs contenus dans les TC Strings.
68 Dans ces conditions, et sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il doit être considéré qu’une organisation sectorielle telle que IAB Europe influe, à des fins qui lui sont propres, sur les opérations de traitement de données à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les moyens à l’origine de telles opérations. Il s’ensuit qu’elle doit être considérée comme étant un « responsable conjoint du traitement », au sens de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD, conformément à la jurisprudence rappelée au point 57 du présent arrêt.
69 La circonstance évoquée par la juridiction de renvoi selon laquelle une telle organisation sectorielle n’a pas elle-même directement accès aux TC Strings et, partant, aux données à caractère personnel traitées dans le cadre desdites règles par ses membres, avec lesquels elle détermine conjointement les finalités et les moyens du traitement de ces données, ne fait pas obstacle, conformément à la jurisprudence rappelée au point 58 du présent arrêt, à ce qu’elle puisse être qualifiée de « responsable du traitement », au sens de ces dispositions.
70 En outre, en réponse aux doutes émis par cette juridiction, il convient d’exclure que la responsabilité conjointe éventuelle de cette organisation sectorielle s’étend automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.
71 À cet égard, il y a lieu de relever, d’une part, que l’article 4, point 2, du RGPD définit le « traitement » de données à caractère personnel comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
72 Il ressort de cette définition qu’un traitement de données à caractère personnel peut être constitué d’une ou de plusieurs opérations, chacune d’elles se rattachant à un stade différent de ce traitement.
73 D’autre part, ainsi que la Cour l’a déjà jugé, il découle de l’article 4, point 7, et de l’article 26, paragraphe 1, du RGPD qu’une personne physique ou morale ne peut être considérée comme un responsable conjoint des opérations de traitement de données à caractère personnel que si elle en détermine conjointement les finalités et les moyens. Par conséquent, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national à cet égard, une telle personne physique ou morale ne saurait être considérée comme étant responsable, au sens desdites dispositions, des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens (voir, par analogie, arrêt du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, point 74).
74 En l’occurrence, il convient d’opérer une distinction entre, d’une part, le traitement de données à caractère personnel effectué par les membres de IAB Europe, à savoir les fournisseurs de sites Internet ou d’applications ainsi que les courtiers en données ou encore les plateformes publicitaires, lors de l’enregistrement dans une TC String des préférences en matière de consentement des utilisateurs concernés selon le cadre de règles établi dans le TCF et, d’autre part, le traitement ultérieur de données à caractère personnel effectué par ces opérateurs ainsi que par des tiers sur la base de ces préférences, tel que la transmission de ces données à des tiers ou l’offre de publicité personnalisée à ces utilisateurs.
75 En effet, ce traitement ultérieur, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, ne paraît pas impliquer la participation de IAB Europe, de sorte qu’il y a lieu d’exclure une responsabilité automatique d’une telle organisation, conjointement avec lesdits opérateurs ainsi qu’avec des tiers, s’agissant du traitement des données à caractère personnel effectué sur la base des données relatives aux préférences des utilisateurs concernés contenues dans une TC String.
76 Ainsi, une organisation sectorielle, telle que IAB Europe, ne saurait être considérée comme étant responsable de tels traitements ultérieurs que lorsqu’il est établi que celle-ci a exercé une influence sur la détermination des finalités et des modalités de ces derniers, ce qu’il incombe à la juridiction de renvoi de vérifier au regard de l’ensemble des circonstances pertinentes de l’affaire au principal.
77 Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la seconde question que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que :
– d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;
– d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.
Sur les dépens
78 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (quatrième chambre) dit pour droit :
1) L’article 4, point 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
2) L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679
doivent être interprétés en ce sens que :
– d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;
– d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.