IAB Europe v Gegevensbeschermingsautoriteit.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• ECLI: ECLI:EU:C:2024:214
• Docket Number: C-604/22
• Date: 07 March 2024

ARRÊT DE LA COUR (quatrième chambre)

7 mars 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Article 4, point 1 – Notion de “données à caractère personnel” – Chaîne de lettres et caractères captant, de manière structurée et lisible par une machine, les préférences d’un utilisateur d’Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles – Article 4, point 7 – Notion de “responsable du traitement” – Article 26, paragraphe 1 – Notion de “responsables conjoints du traitement” – Organisation n’ayant pas, elle-même, accès aux données personnelles traitées par ses membres – Responsabilité de l’organisation s’étendant aux traitements ultérieurs de données effectués par des tiers »

Dans l’affaire C‑604/22,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), par décision du 7 septembre 2022, parvenue à la Cour le 19 septembre 2022, dans la procédure

IAB Europe

contre

Gegevensbeschermingsautoriteit,

en présence de :

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

LA COUR (quatrième chambre),

composée de M. C. Lycourgos, président de chambre, Mme O. Spineanu‑Matei, MM. J.‑C. Bonichot, S. Rodin et Mme L. S. Rossi (rapporteure), juges,

avocat général : Mme T. Ćapeta,

greffier : Mme A. Lamote, administratrice,

vu la procédure écrite et à la suite de l’audience du 21 septembre 2023,

considérant les observations présentées :

– pour IAB Europe, par Me P. Craddock, avocat, et Me K. Van Quathem, advocaat,

– pour la Gegevensbeschermingsautoriteit, par Mes E. Cloots, J. Roets et T. Roes, advocaten,

– pour MM. Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom et Ligue des Droits Humains VZW, par Mes F. Debusseré et R. Roex, advocaten,

– pour le gouvernement autrichien, par Mmes J. Schmoll et C. Gabauer, en qualité d’agents,

– pour la Commission européenne, par MM. A. Bouchagiar et H. Kranenborg, en qualité d’agents,

vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, points 1 et 7, ainsi que de l’article 24, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

2 Cette demande a été présentée dans le cadre d’un litige opposant IAB Europe à la Gegevensbeschermingsautoriteit (Autorité de protection des données, Belgique) (ci-après l’« APD ») au sujet d’une décision de la chambre contentieuse de l’APD adoptée contre IAB Europe concernant la violation alléguée de plusieurs dispositions du RGPD.

Le cadre juridique

Le droit de l’Union

3 Les considérants 1, 10, 26 et 30 du RGPD sont libellés comme suit : « (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [Charte] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant. [...] (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] [...] (26) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. [...] (30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (“cookies”) ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 : « Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5 L’article 4 dudit règlement prévoit : « Aux fins du présent règlement, on entend par : 1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; 2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; [...] 7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ; [...] 11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ; [...] »

6 L’article 6 du RGPD, intitulé « Licéité du traitement », est libellé comme suit : « 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; [...] f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits...