Dernières actualités : données personnelles – Page 4

CJUE – Arrêt C-604/22

7 mars 2024

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

28 janvier 2024

L’autorité de protection des données belge sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence

L’APD a imposé [le 16 janvier] à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.

[Ajout contextuel Portail RGPD: Au point 109 (lu via une traduction), l’APD belge indique que la « conformité avec le principe d’exactitude des données ne saurait justifier une collecte non restreinte des données personnelles, l’objectif principal de la collecte étant de créer une base de données aussi complète et précise que possible. Dès lors, la nécessité de traiter et d’enrichir les données dans les bases de données pour la conformité avec le principe d’exactitude n’a pas été démontré ». Ainsi, le principe d’exactitude trouve sa limite dès lors que son application nécessiterait une collecte de données trop importante. ]

Disponible sur: autoriteprotectiondonnees.be. La décision complète (en néerlandais) est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.