Vers une responsabilité des organismes de standardisation technique au titre du RGPD ?

Cet article avait été soumis le 15 février à la revue IP/IT. Faute de réponse (fusse-t-elle négative) malgré des relances, il est publié ici en l’état dans le souci d’éviter que sa publication n’intervienne bien longtemps après qu’il ait une quelconque pertinence. Tout retour critique est bien sûr le bienvenu.

Commentaire de la Décision 21/2022 du 2 février 2022 de la Chambre contentieuse de l’Autorité de protection des données de Belgique, concernant le Transparency and Control Framework de l’IAB Europe.

Le 2 février 2022, la Chambre contentieuse de l’Autorité de protection des données de Belgique (APD) a adopté une sanction administrative de 250 000 euros assortie d’une série d’injonctions à l’encontre de l’Interactive Advertisement Bureau Europe (IAB Europe), qu’elle a désigné responsable des traitements de données à caractère personnel fondés sur un protocole et qu’elle standardise, qui sous-tend aujourd’hui une très large part des bandeaux cookies qui ont pris d’assaut les sites web que nous consultons au quotidien.

Ce standard, le Transparency and Control Framework (TCF), est utilisé par des logiciels de génération de bandeaux cookies que sont les plateformes de gestion du consentement (CMP, pour Consent Management Platform) pour recueillir un signal de consentement et le transmettre à l’ensemble des acteurs de l’écosystème d’acteurs qui interagissent au chargement d’une page pour fournir de la publicité personnalisée. Ces CMP font l’objet d’une accréditation par l’IAB Europe, qui en tient un registre.

Les bandeaux cookies ont déjà fait l’objet de multiples critiques par la doctrine et de décisions de justice, qui ont essentiellement visé les conditions de validité du consentement, qui doit être, aux termes de l’article 4 (11) du RGPD, une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. » ^[1]Voir : C. Gray, C. Santos, N. Bielova, M. Toth et D. Clifford (2021), Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective, ACM CHI Conference on Human … Continue reading

En admettant la responsabilité dans les traitements de données reposant sur le standard TCF (I), l’APD applique une interprétation large de la notion de traitement de données à caractère personnel (I. a.) et de la notion de responsable du traitement (I. b.), qui peut être porteuse de nombreuses conséquences (II) théoriques en matière de hiérarchie des normes dans le domaine de la gouvernance d’Internet (II. a.) que pratiques, du point de vue d’autres organismes de standardisation (II. b.).

I. Selon l’APD, l’IAB Europe est responsable conjoint du traitement de données personnelles dans le contexte du TCF

I.a. La mise en œuvre du TCF constitue un traitement de données à caractère personnel

L’objectif principal du TCF et des CMP qui le mettent en œuvre est de garantir la licéité de l’accès en lecture-écriture au terminal de l’utilisateur pour le dépôt de cookies et celle des traitements de données à caractère personnel opérés par les acteurs de la publicité en ligne. Ces derniers communiquent en effet de nombreuses données personnelles entre eux, dans le cadre d’un système de vente aux enchères automatisé en temps réel d’espaces publicitaires. Ces technologies dites de Real-Time Bidding (RTB), permettent le fonctionnement de plateformes dont le but est de mettre en relation annonceurs et éditeurs, ces derniers cherchant à maximiser leurs gains en vendant leurs espaces publicitaires et les profils de leurs visiteurs au plus offrant^[2]Le fonctionnement du RTB est decrit dans la section A.3.1. de la décision 21/2022 du 2 février 2022 de la Chambre contentieuse de l’Autorité de protection des données de Belgique..

Selon l’IAB Europe, le fonctionnement du TCF en lui-même ne constitue donc pas un traitement de données à caractère personnel, mais ne sert qu’à fournir une base légale aux traitements de données ayant des finalités notamment publicitaires. La chaîne de caractère, appelée Transparency and Control String (dénommée « TC String »), générée par un CMP suite une interaction avec un internaute, n’est qu’une représentation codée de préférences relatives à une liste de finalités proposées. Elle se borne à exprimer, dans un format bref et lisible par une machine, les finalités auxquelles un internaute a (ou non) consenti, les responsables du traitement avec lesquels il accepte (ou non) de partager ses données, et les éventuelles objections à des traitements que des responsables du traitement mettant en œuvre le TCF prétendent pouvoir fonder sur leurs intérêts légitimes. Cette chaîne de caractère ne contient donc en elle-même pas de données identifiantes. Ce n’est que couplée à une requête de chargement de publicité ciblée que cette chaîne de caractère est couplée à un identifiant permettant de cibler un internaute et de faire le lien avec son profil.

Rappelant qu’il est de jurisprudence constante que la notion de donnée à caractère personnel est d’interprétation large ^[3]CJUE, 2^e ch., 19 oct. 2016, C-582/14, P. Breyer contre Allemagne ; CJUE, 2^e ch., 20 déc. 2017, C-434/16, P. Nowak contre DPC, la Chambre contentieuse de l’APD a notamment considéré que « des informations, en raison de leur contenu, de leur finalité ou de leur effet, peuvent être reliées à une personne physique identifiée ou identifiable par des moyens pouvant être raisonnablement mis en œuvre, et ce, que les informations à partir desquelles la personne concernée peut être identifiée soient détenues entièrement par le même responsable du traitement ou en partie par une autre entité » ^[4]Décision de l’APD, cons. 296. et, de ce fait, être des données à caractère personnel. En outre, prenant appui sur la doctrine ^[5]F. Zuiderveen Borgesius (2016), Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection regulation, Computer Law & Security … Continue reading et sur le considérant 26 du RGPD, elle a estimé que l’objectif du TCF étant d’exprimer dans un langage lisible par la machine des préférences d’un internaute, il ne pouvait pas fonctionner sans qu’il soit indissociablement lié à un mécanisme d’identification (même indirect) de la personne concernée permettant de la distinguer de toute autre personne (« single out » dans la doctrine anglophone citée dans la décision).

Dès lors, étant donné que la « Chambre Contentieuse comprend que le [TCF] implique intrinsèquement la collecte, le traitement, le stockage et le partage ultérieur des préférences des utilisateurs avec d’autres parties, en combinaison ou non avec des données à caractère personnel supplémentaires dans le contexte de l’OpenRTB » ^[6]Décision de l’APD, cons. 320., elle conclue à l’existence d’un traitement de données à caractère personnel dans le contexte du TCF.

I.b. L’IAB Europe est responsable conjoint de ce traitement de données

L’IAB Europe est certes auteur du TCF, mais ne le met pas en œuvre pour ses propres fins. Les responsables du traitement demeurent théoriquement libres d’utiliser le mécanisme de leur choix pour s’assurer de la licéité de leurs traitements de données à caractère personnel et/ou de l’usage de cookies. La doctrine avait déjà discuté la responsabilité des fournisseurs de CMP au regard du RGPD ^[7]C. Santos, M. Nouwens, M. Toth, N. Bielova, V. Roca (2021), Consent Management Platforms under the GDPR: processors and/or controllers?, 5th Workshop on Technology and Consumer Protection (ConPro … Continue reading, mais la Chambre contentieuse de l’APD a fait un pas de plus en estimant que cette association internationale sans but lucratif de droit belge était responsable des traitements effectués dans le contexte du TCF, conjointement avec d’autres acteurs, comme les éditeurs de CMP, les sites qui les utilisent, et les acteurs auxquels est transmis la TC String qui exprime les préférences paramétrées par l’internaute.

Le raisonnement qu’elle adopte est résumé au considérant 360 de sa décision, dans lequel il est indiqué que « les éléments suivants [ont été] déterminants […] :

1. IAB Europe définit comment les CMP peuvent recueillir le consentement ou les objections des utilisateurs, générer une TC String unique et stocker la valeur de la TC String ;

2. IAB Europe, en collaboration avec IAB Tech Lab a développé les technical specifications de l’API avec laquelle les fournisseurs adtech, entre autres, peuvent accéder d’une manière standardisée aux préférences des utilisateurs, gérées par la CMP;

3. IAB Europe détermine l’emplacement et la méthode de stockage des cookies de consentement, qu’ils soient spécifiques à un service ou de portée globale ;

4. IAB Europe gère les listes des CMP et des fournisseurs adtech enregistrés et détermine donc à quels destinataires les données relatives à la TC String sont potentiellement communiquées. »

Nous pouvons résumer cette liste d’éléments qui aboutissent à la conclusion qu’un éditeur d’un standard technique participe à la définition des modalités et des finalités des traitements effectués dans le contexte de celui-ci par ces deux conditions cumulatives : (a) il a rédigé les spécifications du standard (points i. et ii. ci-dessus) et (b) il participe activement à la gestion des ressources qui permettent la mise en œuvre de ce standard (iii. et iv. ci-dessus), notamment, en l’espèce, par la gestion d’un nom de domaine (consensu.org) utilisé pour la mise en œuvre du standard et par la certification des fournisseurs de CMP et de plateformes de publicité ciblée participantes.

Cette interprétation repose sur la jurisprudence de la CJUE ^[8]CJUE, grande chambre, 5 juin 2018, C-210/16 Wirtschaftsakademie Schleswig-Holstein et CJUE, 2^e ch., 29 juillet 2019, C-40/17, Fashion ID, qui adopte une définition large de la notion de « responsable du traitement », sans pour autant admettre de responsabilité solidaire, chaque responsable conjoint ayant une responsabilité « limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens » ^[9]CJUE, 2^e ch., 29 juillet 2019, C-40/17, Fashion ID, §2 du dispositif.. Ainsi, comme le rappelle la Chambre contentieuse de l’APD, si un CMP, un éditeur de site web, ou toute autre partie prenant part à la chaîne de traitement du RTB, s’écarte des instructions de l’IAB Europe, il devient « pleinement responsable » ^[10]Décision de l’APD, cons. 385, 395..

Il est attendu que l’IAB Europe forme un recours contre cette décision de l’autorité belge. Si le juge venait à valider le raisonnement de cette dernière, cela aurait des conséquences qui dépasseraient le domaine de la publicité en ligne et pourraient affecter de façon globale la responsabilité des organismes de standardisation technique dans le domaine de la gouvernance d’Internet.

II. La responsabilité des organismes de standardisation d’Internet

II.a. Gouvernance d’Internet et hiérarchie des normes

Il existe des cas dans lesquels la Loi prescrit un standard technique directement. C’est le cas par exemple du règlement 260/2012/UE du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) no 924/2009, qui prescrit l’usage de la norme ISO 20022 XML pour les paiements de la zone SEPA. L’Accord sur les obstacles techniques au commerce de l’OMC limitent toutefois la faculté des États d’intervenir dans ce domaine.

L’adoption des standards techniques qui gouvernent le fonctionnement d’Internet et de ses applications, comme le protocole IP ou le format HTML, se fait dans des organismes privés plus ou moins formalisés sur le plan juridique, comme l’Internet Engineering Task Force (IETF) ou le World Wide Web Consortium (W3C). Ces standards revêtent souvent une dimension politique, et participent de ce que Joël Reidenberg, juriste états-unien, désignait par le terme de Lex Informatica ^[11]J. Reidenberg (1997), Lex Informatica:  The Formulation of Information Policy Rules through Technology, Texas Law Review, p. 553‑593. Or, s’il arrive que les discussions entre les acteurs qui interviennent dans ces arènes fassent référence à la Loi, les standards techniques d’Internet ne tiennent compte que de façon très exceptionnelle des règles de droit au moment de leur rédaction. Les organismes de standardisation ne se considèrent en effet pas comme responsables de la mise en œuvre des standards qu’ils édictent, d’autant que ces standards sont adoptés par consensus et sont de nature volontaire ^[12]voir : J. Rossi (2021), What rules the Internet? A study of the troubled relation between Web standards and legal instruments in the field of privacy, Telecommunications Policy, vol. 45, n° 6, … Continue reading. Cette indépendance des organismes de standardisation d’Internet s’explique pour partie en raison de l’histoire des organismes de standardisation technique d’Internet, qui ont revendiqué une forme d’indépendance (et de méfiance) vis-à-vis du pouvoir étatique, et pour partie en raison de l’échelle mondiale à laquelle les standards d’Internet ont vocation à s’appliquer et à la difficulté qui en résulte de prendre en compte toutes les dispositions nationales éventuellement applicables et potentiellement contradictoires aux applications dudit standard ^[13]voir : L. Belli (2016), De la gouvernance à la régulation d’Internet, Boulogne-Billancourt, Berger-Levrault ; A. L. Russell (2006) ‘Rough Consensus and Running Code’ and the … Continue reading. Elle contribue à une forme de remise en cause de la hiérarchie des normes telle que classiquement définie par Hans Kelsen dans le domaine de la gouvernance d’Internet ^[14]voir : B. Barraud (2012), Repenser la pyramide des normes à l’ère des réseaux: Pour une conception pragmatique du droit, Paris, L’Harmattan ; F. Ost et M. van de Kerchove (2010), De la … Continue reading.

En affirmant l’existence d’une responsabilité des auteurs de standards techniques au titre du RGPD, la décision de l’APD, si son raisonnement est validé par le juge, pourrait contribuer à réaffirmer la primauté de la Loi sur les standards techniques, y compris dans le domaine de la gouvernance d’Internet par les standards. Une telle affirmation n’est pas dénuée de conséquences pratiques, ni de difficultés.

II.b. Les conséquences pratiques d’une responsabilité des organismes de standardisation au regard du RGPD

La décision de l’APD ne vise pas à faire de tout auteur d’un standard technique un responsable des traitements de données à caractère personnel effectués dans le contexte dudit standard. Le rapport du service d’inspection de cette autorité rappelle au considérant 46 de la décision visée qu’IAB Tech Lab, qui a élaboré le standard OpenRTB auquel le TCF s’articule, « agit simplement en tant que fournisseur du système vis-à-vis des organisations participantes et ne peut donc pas être considéré comme un responsable du traitement. » Le même considérant indique qu’OpenRTB et TCF diffèrent en ce que seul ce dernier détermine les finalités et les moyens par lesquels des données peuvent être traitées par les organisations participantes.

Ce dernier point est partiellement discutable. En effet, le document de spécification d’OpenRTB définit clairement que la raison d’être de ce protocole est la mise en œuvre de mécanismes de vente aux enchères en temps réel d’espaces publicitaires ^[15]IAB Tech Lab (2016), OpenRTB API Specification Version 2.5, p. 2., donc la finalité des traitements qui peuvent être effectués grâce à ce protocole, même s’il est certainement possible de le détourner à d’autres usages. De fait, à chaque fois qu’un organisme publie un standard technique, celui-ci a pour objet de permettre certaines finalités de traitement de données, qui peuvent être à caractère personnel. Par exemple, le protocole IP de l’IETF (RFC 8200) sert à transporter des paquets de données d’un point déterminé du réseau à un autre. La Geolocation API du W3C sert à permettre la géolocalisation d’internautes utilisant une application web. Chacun de ces documents définit avec un grand niveau de précision les modalités des traitements qui seront mis en œuvre sur leur fondement.

Comme avec le TCF, certains organismes peuvent mettre en place, pour certains standards, des ressources permettant au protocole standardisé de fonctionner. Le groupe de travail du W3C sur les paiements en ligne et celui qui élabore des normes d’identifiants décentralisés (standard DID-CORE) tient à jour un registre de méthodes standardisées ^[16]Voir : https://www.w3.org/TR/payment-method-id/ et https://www.w3.org/TR/did-spec-registries/.. Si l’IETF ne met pas en place ses propres registres pour ses standards, il existe une Internet Assigned Numbers Authority (IANA), dépendant de l’Internet Corporation for Assigned Names and Numbers (ICANN), une association de droit californien, qui gère notamment l’allocation des adresses IP et dont les services sont indispensables au bon fonctionnement des traitements de données reposant sur le protocole IP.

L’IAB Europe n’est donc pas le seul organisme qui (a) rédige les spécifications d’un protocole technique d’Internet et qui (b) joue un rôle dans sa mise en œuvre, le cas échéant par la mise à disposition d’un registre ou d’autres moyens. Si cette contribution à la détermination des finalités et des moyens du traitement de données à caractère personnel suffit à en faire un responsable du traitement conjointement aux organismes qui mettent en œuvre son standard, d’autres éditeurs de standards dans le domaine de la gouvernance d’Internet pourraient donc suivre.

En pratique, les organismes de standardisation qualifiés de responsables du traitement se verront imposer de nombreuses règles, parmi lesquelles la nécessité de conduire des études d’impact de l’article 35 du RGPD dans un grand nombre de cas, celle de prescrire des implémentations qui respectent les principes de Privacy by Design et By Default (art. 25), mais aussi s’assurer du respect des droits des personnes concernées (chapitre III), ou encore prévoir des mécanismes pour permettre le respect des obligations en matière de transfert prévues au chapitre V du règlement.

Si l’imposition d’études d’impact et du respect de principes de Privacy by Design par les auteurs des standards d’Internet nous semble à saluer, l’intégration de règles relatives au transfert dans la conception des protocoles d’Internet peut raviver des craintes quant à une possible fragmentation d’Internet, qui font régulièrement surface dans le débat public. Cette difficulté se combine avec celle, pour un organisme rédigeant des standards ayant vocation à être implémentés à l’échelle mondiale, de se conformer à une grande diversité de législations potentiellement concurrentes.

Les critères définis par la Chambre contentieuse de l’APD ont été conçus dans le cadre de l’affaire d’espèce, et sont, en l’état, difficilement généralisables. Ainsi, la raison pour laquelle l’IAB Tech Lab est jugé « simple fournisseur » alors que l’IAB Europe est responsable du traitement ne nous semble pas exposée avec suffisamment de clarté et de cohérence. Espérons que le juge européen, qui sera probablement amené à se prononcer dans le cadre d’une question préjudicielle en cas de recours, apporte de la clarté.