Cauza C‑604/22

IAB Europe

împotriva

Gegevensbeschermingsautoriteit

(cerere de decizie preliminară formulată de hof van beroep te Brussel)

Hotărârea Curții (Camera a patra) din 7 martie 2024

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Organizație sectorială normativă care propune membrilor săi norme privind prelucrarea consimțământului utilizatorilor – Articolul 4 punctul 1 – Noțiunea de «date cu caracter personal» – Șir de litere și caractere care înregistrează într‑o manieră structurată și lizibilă electronic preferințele unui utilizator de internet referitoare la consimțământul acestui utilizator în ceea ce privește prelucrarea datelor sale cu caracter personal – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 26 alineatul (1) – Noțiunea de «operatori asociați» – Organizație care nu are ea însăși acces la datele cu caracter personal prelucrate de membrii săi – Responsabilitatea organizației care se extinde la prelucrarea ulterioară a datelor de către terți”

1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Noțiunea de date cu caracter personal – Șir de litere și de caractere ce conține preferințele unui utilizator de internet în ceea ce privește consimțământul său pentru prelucrarea datelor sale cu caracter personal – Includere – Condiție – Șir care permite identificarea persoanei vizate – Imposibilitatea unei organizații sectoriale care deține acest șir de a accesa datele prelucrate de membrii săi sau de a combina respectivul șir cu alte elemente – Lipsa incidenței

   (Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 1)

   (a se vedea punctele 41-51 și dispozitiv 1)

2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Noțiunea de operatori asociați – Organizație sectorială normativă care propune membrilor săi norme privind prelucrarea consimțământului utilizatorilor – Includere – Condiție – Influența acestei organizații asupra prelucrării datelor cu caracter personal în cauză, precum și stabilirea de către aceasta, împreună cu membrii săi, a scopurilor și a mijloacelor unei astfel de prelucrări – Organizație care nu are acces direct la datele cu caracter personal prelucrate de membrii săi – Lipsa incidenței

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 7 și art. 26 alin. (1)]

   (a se vedea punctele 57-68, 77 și dispozitiv 2)

3. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Răspunderea comună pentru prelucrare – Organizație sectorială normativă care propune membrilor săi norme privind prelucrarea consimțământului utilizatorilor – Răspunderea comună a acestei organizații care se extinde în mod automat la prelucrarea ulterioară a datelor de către terți – Lipsă

   [Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 7 și art. 26 alin. (1)]

   (a se vedea punctele 74-77 și dispozitiv 2)

Rezumat

Sesizată cu titlu preliminar, Curtea precizează, pe de o parte, noțiunea de „date cu caracter personal” ( 1 ) și, pe de altă parte, condițiile în care o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme privind consimțământul pentru prelucrarea datelor cu caracter personal, trebuie calificată drept „operator asociat” ( 2 ). Curtea stabilește de asemenea limitele răspunderii comune a unei astfel de organizații.

IAB Europe este o asociație fără scop lucrativ cu sediul în Belgia, care reprezintă întreprinderile din sectorul publicității și marketingului digital la nivel european.

IAB Europe a dezvoltat Transparency & Consent Framework (Cadrul de transparență și de consimțământ, denumit în continuare „TCF”), un cadru de norme care urmăresc să asigure conformitatea cu RGPD în ceea ce privește prelucrarea datelor cu caracter personal ale unui utilizator al unui site internet sau al unei aplicații efectuată de anumiți operatori. TCF favorizează respectarea RGPD atunci când acești operatori recurg la protocolul OpenRTB utilizat pentru Real Time Bidding, un sistem de licitare online instantanee și automatizată a profilurilor de utilizator în scopul vânzării și cumpărării de spații publicitare pe internet.

În acest context, TCF facilitează înregistrarea preferințelor utilizatorilor, codificate și stocate ulterior într‑un șir compus dintr‑o combinație de litere și de caractere desemnat de IAB Europe sub numele Transparency and Consent String (denumit în continuare „TC String”). Acesta din urmă este partajat cu brokerii de date cu caracter personal și cu platformele publicitare care participă la protocolul OpenRTB, pentru ca aceștia să știe la ce a consimțit sau nu utilizatorul. Pe dispozitivul utilizatorului este de asemenea plasat un cookie care, combinat cu TC String, poate fi corelat cu adresa IP a acestui utilizator.

În urma mai multor plângeri îndreptate împotriva IAB Europe, camera de soluționare a litigiilor a Gegevensbeschermingsautoriteit (Autoritatea pentru Protecția Datelor, Belgia), prin decizia din 2 februarie 2022, a dispus ca IAB Europe, operator de date, să alinieze prelucrarea datelor efectuată în cadrul TCF cu dispozițiile RGPD.

IAB Europe a introdus o acțiune împotriva acestei decizii la hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia). Având îndoieli cu privire la aspectul dacă un șir TC String, combinat sau nu cu o adresă IP, constituie o dată cu caracter personal și, după caz, dacă IAB Europe trebuie calificată drept operator de date în cadrul TCF, în special în ceea ce privește prelucrarea TC String, cour d’appel de Bruxelles (Curtea de Apel din Bruxelles) a sesizat Curtea cu titlu preliminar.

Aprecierea Curții

În primul rând, trebuie arătat că un șir compus dintr‑o combinație de litere și de caractere, precum TC String, conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea de către terți a unor date cu caracter personal care îl privesc sau referitoare la eventuala sa opoziție față de o prelucrare a unor asemenea date, întemeiată pe un interes legitim invocat ( 3 ).

În această privință, Curtea consideră că, în măsura în care faptul de a corela TC String cu adresa IP a dispozitivului unui utilizator sau cu alți identificatori permite identificarea acestui utilizator, TC String conține informații privind un utilizator identificabil și constituie, așadar, o dată cu caracter personal ( 4 ). În plus, împrejurarea că IAB Europe nu ar putea combina ea însăși TC String cu adresa IP a dispozitivului unui utilizator și nu ar dispune de posibilitatea de a accesa direct datele prelucrate de membrii săi în cadrul TCF nu împiedică calificarea unei TC String drept „dată cu caracter personal” ( 5 ).

De altfel, membrii IAB Europe sunt obligați să îi comunice acesteia, la cererea sa, toate informațiile care îi permit să identifice utilizatorii ale căror date fac obiectul unui TC String. Rezultă, așadar, sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, că IAB Europe dispune de mijloace rezonabile care îi permit să identifice o anumită persoană fizică pornind de la un TC String, datorită informațiilor pe care membrii săi și alte organizații care participă la TCF sunt obligate să i le furnizeze ( 6 ).

Așadar, Curtea concluzionează că un TC String constituie o dată cu caracter personal, în sensul articolului 4 punctul 1 din RGPD. Este lipsit de relevanță faptul că, fără o contribuție externă pe care este îndreptățită să o solicite, o astfel de organizație sectorială nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le‑a stabilit, nici să combine TC String cu alți identificatori, cum ar fi adresa IP a dispozitivului unui utilizator.

În al doilea rând, Curtea examinează dacă IAB Europe poate fi considerată operator asociat ( 7 ). În acest scop, trebuie să se aprecieze dacă ea influențează, în scopuri proprii, prelucrarea datelor cu caracter personal, precum TC String, și stabilește, împreună cu alte organisme, scopurile și mijloacele unei astfel de prelucrări.

În ceea ce privește, mai întâi, scopurile unei asemenea prelucrări de date, Curtea observă că TCF stabilit de IAB Europe urmărește în esență să favorizeze și să permită vânzarea și cumpărarea de spații publicitare pe internet de către anumiți operatori care participă la licitația online a unor spații publicitare. Prin urmare, sub rezerva verificărilor pe care trebuie să le efectueze instanța de trimitere, IAB Europe influențează, în scopuri care îi sunt proprii, operațiunile de prelucrare a datelor cu caracter personal și stabilește, pentru acest motiv, împreună cu membrii săi, scopurile unor astfel de operațiuni.

În continuare, în ceea ce privește mijloacele utilizate în vederea aceluiași tratament, Curtea constată, sub rezerva verificărilor efectuate de instanța de trimitere, că TCF constituie un cadru de norme pe care membrii IAB Europe trebuie să le accepte pentru a adera la această asociație. Mai precis, dacă unul dintre membrii săi nu se conformează acestor norme, IAB Europe poate adopta o decizie de neconformitate și de suspendare a acestui membru, ceea ce poate conduce la excluderea membrului respectiv din TCF și îl poate împiedica să se prevaleze de garanția de conformitate cu RGPD furnizată de TCF pentru prelucrarea datelor realizată prin intermediul TC Strings. În plus, TCF stabilit de IAB Europe conține specificații tehnice referitoare la prelucrarea TC String, precum și norme precise privind conținutul TC String, stocarea și partajarea acestuia. Mai mult, Curtea subliniază că IAB Europe prevede, în cadrul acestor norme, modul standardizat în care diferitele părți implicate în TCF pot consulta preferințele, obiecțiile și acordurile utilizatorilor conținute în TC Strings.

În aceste condiții și sub rezerva verificărilor amintite, Curtea concluzionează că o organizație sectorială precum IAB Europe influențează, în scopuri care îi sunt proprii, operațiunile de prelucrare a datelor cu caracter personal și stabilește, pentru acest motiv, împreună cu membrii săi, mijloacele aflate la originea unor astfel de operațiuni. Prin urmare, aceasta trebuie considerată drept „operator asociat” ( 8 ).

În sfârșit, Curtea precizează că se efectuează o distincție între, pe de o parte, prelucrarea datelor cu caracter personal efectuată de membrii IAB Europe, precum furnizorii de site‑uri internet sau de aplicații, brokerii de date sau platformele publicitare, cu ocazia înregistrării într‑un TC String a preferințelor în materie de consimțământ al utilizatorilor în cauză potrivit normelor stabilite în TCF și, pe de altă parte, prelucrarea ulterioară a acestor date efectuată de acești operatori, cum ar fi, de exemplu, transmiterea acestor date unor terți sau oferirea de publicitate personalizată acestor utilizatori.

Așadar, o organizație sectorială precum IAB Europe nu poate fi considerată responsabilă de asemenea prelucrări ulterioare decât atunci când se constată că aceasta a exercitat o influență asupra stabilirii finalităților și a modalităților acestora din urmă, aspect a cărui verificare revine instanței de trimitere.

( 1 ) În sensul articolului 4 punctul 1 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) (denumit în continuare „RGPD”).

( 2 ) În sensul articolului 26 alineatul (1) din RGPD.

( 3 ) În temeiul articolului 6 alineatul (1) litera (f) din RGPD.

( 4 ) În sensul articolului 4 punctul 1 din RGPD.

( 5 ) În sensul articolului 4 punctul 1 din RGPD.

( 6 ) În conformitate cu ceea ce enunță considerentul (26) al RGPD.

( 7 ) În sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD.

( 8 ) În sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD.