Dernières actualités : données personnelles

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La communication orale de données personnelles constitue un traitement susceptible d’être soumis au RGPD.

Une requérante, conformément au droit finlandais, a demandé oralement à l’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional, Finlande) des informations portant sur d’éventuelles condamnations pénales en cours ou déjà purgées concernant une personne physique participant à un concours organisé par cette société, afin d’établir les antécédents judiciaires de cette personne. Sa demande ayant été rejetée, elle a interjeté appel de ce jugement devant l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale, Finlande), qui est la juridiction de renvoi, en soutenant que la communication orale des informations qu’elle sollicite ne constitue pas un traitement de données à caractère personnel, au sens de l’article 4, point 2, du RGPD.

Néanmoins, dans un arrêt Endemol Shine Finland Oy (C-740/22) rendu ce jour, la Cour de Justice de l’UE a estimé que  « la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, qui relève du champ d’application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier. » Autrement dit, et comme précise aux points 29 et 30 de l’arrêt que :

29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46].
30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.

[Ajout contextuel Portail RGPD: Si la solution de cet arrêt peut sembler logique en ce qu’elle permet d’éviter le contournement du RGPD, il n’empêche qu’elle a de nombreuses conséquences pratiques. Voici l’exemple qui nous vient en tête: les guichets administratifs ne sont généralement pas connus comme assurant la plus grande confidentialité pour les administrés, de même que les pharmacies ou encore les secrétariats de médecins et d’avocats. Il faudra désormais considérer que dès lors qu’un tiers est en capacité d’entendre la conversation, une violation de données est caractérisée.]

Disponible sur: curia.europa.eu. Aucun communiqué de presse n’a été publié pour le moment.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Traitement de données : Europol et l’État membre dans lequel s’est produit un dommage du fait d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux en sont solidairement responsables

Dans son arrêt, la Cour juge que le droit de l’Union instaure un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage suite à un traitement de données illicite survenu dans le cadre d’une coopération entre eux. Dans une première étape, la responsabilité solidaire d’Europol ou de l’État membre concerné peut être mise en cause respectivement devant la Cour de justice de l’Union européenne ou devant la juridiction nationale compétente. Le cas échéant, une seconde étape peut se tenir devant le conseil d’administration d’Europol afin de déterminer la « responsabilité ultime » d’Europol et/ou de l’État membre concerné pour la réparation accordée à la personne physique lésée.

Pour engager cette responsabilité solidaire dans le cadre de la première étape, la personne physique concernée doit uniquement démontrer que, à l’occasion d’une coopération entre Europol et l’État membre concerné, un traitement de données illicite qui lui a causé un préjudice a été effectué. Contrairement à ce qu’a jugé le Tribunal (dans l’arrêt T-528/20), il n’est pas requis que cette personne établisse en outre à laquelle de ces deux entités ce traitement illicite est imputable.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.