Jurisprudence CJUE62022CA0604
Affaire C-604/22, IAB Europe: Arrêt de la Cour (quatrième chambre) du 7 mars 2024 (demande de décision préjudicielle du hof van beroep te Brussel - Belgique) – IAB Europe / Gegevensbeschermingsautoriteit (Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs – Article 4, point 1 – Notion de “données à caractère personnel” – Chaîne de lettres et caractères captant, de manière structurée et lisible par une machine, les préférences d’un utilisateur d’Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles – Article 4, point 7 – Notion de “responsable du traitement” – Article 26, paragraphe 1 – Notion de “responsables conjoints du traitement” – Organisation n’ayant pas, elle-même, accès aux données personnelles traitées par ses membres – Responsabilité de l’organisation s’étendant aux traitements ultérieurs de données effectués par des tiers)
| CELEX | 62022CA0604 |
| Type | Jurisprudence CJUE |
| Date | jeudi 7 mars 2024 |
Résumé IA
L'arrêt précise qu'une organisation sectorielle, telle que IAB Europe, qui conçoit un cadre technique pour recueillir et transmettre les préférences de consentement des internautes (via le Transparency & Consent String - TC String) est considérée comme un **responsable du traitement** au sens du RGPD, même sans accès direct aux données. La Cour statue également que ce TC String, en tant que chaîne de caractères structurée reflétant les choix d'un individu, constitue en lui-même une **donnée à caractère personnel**. La responsabilité de l'organisation peut s'étendre aux traitements ultérieurs effectués par les acteurs utilisant son cadre.
Texte intégral
 | Journal officiel | FR Série C |
| C/2024/2907 | 6.5.2024 |
Arrêt de la Cour (quatrième chambre) du 7 mars 2024 (demande de décision préjudicielle du hof van beroep te Brussel - Belgique) – IAB Europe / Gegevensbeschermingsautoriteit
(Affaire C-604/22 (1) , IAB Europe)
(Renvoi préjudiciel - Protection des personnes physiques à l’égard du traitement des données à caractère personnel - Règlement (UE) 2016/679 - Organisation sectorielle normative proposant à ses membres des règles relatives au traitement du consentement des utilisateurs - Article 4, point 1 - Notion de “données à caractère personnel” - Chaîne de lettres et caractères captant, de manière structurée et lisible par une machine, les préférences d’un utilisateur d’Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles - Article 4, point 7 - Notion de “responsable du traitement” - Article 26, paragraphe 1 - Notion de “responsables conjoints du traitement” - Organisation n’ayant pas, elle-même, accès aux données personnelles traitées par ses membres - Responsabilité de l’organisation s’étendant aux traitements ultérieurs de données effectués par des tiers)
(C/2024/2907)
Langue de procédure: le néerlandais
Juridiction de renvoi
Hof van beroep te Brussel
Parties à la procédure au principal
Partie requérante: IAB Europe
Partie défenderesse: Gegevensbeschermingsautoriteit
en présence de : Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW
Dispositif
| 1) | L’article 4, point 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que : une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. |
| 2) | L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que :
|
ELI: http://data.europa.eu/eli/C/2024/2907/oj
ISSN 1977-0936 (electronic edition)
Documents similaires
Jurisprudence CJUE62024CN0908
Affaire C-908/24 P: Pourvoi formé le 31 décembre 2024 par Crescenzio Rivellini contre l’arrêt du Tribunal (cinquième chambre) rendu le 23 octobre 2024 dans l’affaire T-465/23, Rivellini/Parlement européen
31/12/2024
Jurisprudence CJUE62024TN0683
Affaire T-683/24: Recours introduit le 31 décembre 2024 – Green Asset/EUIPO – Domitys (hômity)
31/12/2024
Jurisprudence CJUE62024CN0906
Affaire C-906/24, Sirto: Demande de décision préjudicielle présentée par le Korkein hallinto-oikeus (Finlande) le 31 décembre 2024 – A e.a.
31/12/2024
Jurisprudence CJUE62024TN0684
Affaire T-684/24: Recours introduit le 30 décembre 2024 – Tone Watch/EUIPO – Munich (MUNICH10A.T.M.)
30/12/2024