L'article 4, point 1, du RGPD doit être interprété en ce sens qu'une chaîne composée d'une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d'un utilisateur d'Internet ou d'une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d'applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle‑ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l'adresse IP de l'appareil dudit utilisateur, elle permet d'identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne puisse ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu'elle a établies ni combiner ladite chaîne avec d'autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est co‑responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché. 2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées : a) d’identification préalable des annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du règlement ; b) de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce ; c) si tel n’est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché, au sens de l’article 9, paragraphe 2, sous‑a), ou que l’une des autres exceptions prévues à l’article 9, paragraphe 2, sous‑b) à j), soit remplie. 3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet. 4) L’article 1, paragraphe 5, sous‑b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Le gestionnaire d'un site internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), peut être considéré comme étant conjointement responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

Ainsi, le gestionnaire du site insérant un bouton (bouton « j’aime ») peut être considéré comme étant responsable, conjointement avec Facebook, des opérations de collecte et de communication à Facebook de ces données, dès lors qu’il peut être considéré que le gestionnaire et Facebook déterminent, conjointement, les finalités et les moyens de cette collecte et de cette transmission. En effet, l’insertion du bouton (bouton « j’aime ») sur son site permet d’optimiser la publicité pour les produits en les rendant plus visibles sur le réseau social lorsqu’un visiteur clique dessus. Ce faisant, le gestionnaire du site a consenti, implicitement du moins, à la collecte et à la communication de ces données, qui s’opère dans son intérêt économique et dans celui de Facebook. Il en résulte que le coresponsable de ces opérations doit fournir certaines informations à ses visiteurs au moment de la collecte de ces données, comme son identité et les finalités du traitement:

• Lorsqu’il le traitement repose sur le consentement, le gestionnaire du site doit recueillir le consentement au préalable pour les opérations dont il est coresponsable (collecte et transmission des données);
• Lorsque le traitement est nécessaire à la réalisation d’un intérêt légitime, chacun des coresponsables doit poursuivre, avec la collecte et la transmission des données, un intérêt légitime.

Le consentement à l'utilisation de cookies en ligne obtenu par le biais d'une case pré‑cochée n'est pas valablement recueilli, sans qu'ait d'incidence la circonstance que les informations stockées ou consultées par ce biais constituent ou non des données à caractère personnel.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 dite directive vie privée et communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du RGPD doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679 ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46/CE et du RGPD.

L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE doivent être interprétés en ce sens que, lorsque le gestionnaire d’un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site. Pour que ce traitement soit licite au titre du consentement, celui-ci doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens.

En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire; l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.

Lorsque des courtiers en données sont en charge de la collecte du consentement aux fins de prospection commerciale pour le compte d'un responsable de traitement, un simple engagement contractuel desdits courtiers visant à « respecter le RGPD et les règles applicables en matière de prospection commerciale » n'est pas une mesure suffisante pour s'assurer que le consentement a été valablement donné par les prospects avant d'être démarchés lorsqu'un tel engagement ne se double pas d'un contrôle des formulaires de recueil utilisés ou d'audits portant sur les sociétés partenaires mobilisées. Une telle insuffisance est susceptible de constituer un manquement du responsable du traitement aux obligations résultant des articles L. 34‑5 du code des postes et des communications électroniques et 7, paragraphe 1, du RGPD, tel qu'éclairé par les dispositions de l'article 4, paragraphe 11 de ce même règlement.

Pour vendre les données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale par voie électronique, un responsable du traitement doit recueillir, sur le support de collecte des données, le consentement libre, spécifique, informé et univoque par lequel les personnes concernées acceptent, par une déclaration ou un acte positif clair, une telle transmission de leurs données.

Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34‑5 du code des postes et des communications électroniques, pour l'utilisation de leurs données à des fins de prospection commerciale par voie électronique. Ce consentement à la réception de prospection peut être recueilli soit par les opérateurs ayant acheté ou reçu les données et qui les utiliseront concrètement pour envoyer des messages de prospection, soit par le primo‑collectant qui souhaite les transmettre à des partenaires. Dans ce dernier cas, ce consentement peut alors être recueilli globalement pour la transmission et la prospection commerciale, mais cela implique que le primo‑collectant puisse fournir la liste exhaustive des partenaires ainsi autorisés, comme responsables de traitement, à utiliser les données pour de la prospection électronique.

Dans le cadre d’un système d'identification électronique auprès d'organismes publics ou privés, pour apprécier si le consentement à un traitement de données biométriques est libre, il y a lieu de vérifier si le recours à ce traitement est exigé par sa finalité et si l’usage est susceptible de subir un préjudice en l’absence de consentement. En l’espèce, il ne ressort pas des pièces du dossier qu’il existait, à la date du décret attaqué, d’alternative à la reconnaissance faciale pour authentifier, avec le même niveau de garantie au regard du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, l’identité d’une personne de manière entièrement dématérialisée. Les usagers refusant de recourir à l’application Alicem ne subissent pas de préjudice au sens du RGPD dans la mesure où ils peuvent accéder à l’ensemble des téléservices accessibles par le biais de cette application, à travers un identifiant unique, grâce au dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Le décret du 13 mai 2019 a donc pu légalement autoriser le ministre de l’intérieur à mettre en œuvre un traitement d’identification en ligne s’appuyant sur une application mobile, dont l’usage est conditionné au consentement au recours à un système de reconnaissance faciale.

Saisi d'un projet de décret autorisant la création d'un moyen d'identification électroniqu e dénommé « Application de Lecture de l'Identité d'un Citoyen En Mobilité », le Conseil d'État (section de l'intérieur) lui donne un avis favorable.

Ce traitement permet aux titulaires d'un passeport comportant un composant électronique, ou d'un titre de séjour comportant un composant électronique, de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres.

L'article 9 du RGPD in terdit le traitement des données biométriques aux fins d'identifier une personne physique de manière unique, sauf si l'intéressé a donné son consentement. Ces dispositions sont éclairées par son considérant 42 selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Le Conseil d'État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres disposi tifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications él ectroniques à tout moment. Les données biométriques sont elles - mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.

Le Conseil d'État ajoute dans le projet la précision selon laquelle l'Agence nationale des titres sécurisés procèd e, au moment de la demande d'ouverture du compte, au recueil du consentement de l'usager au traitement de ses données biométriques.

1) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé ne peut être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement.

b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD.

c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

Dans le contexte d'une transmission de données à des tiers afin qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l'utiliseront pour de la prospection commerciale. L'exigence de spécificité du consentement exclut l'obtention d'un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l'ensemble des finalités d'un traitement.

Dans le contexte d'une transmission de données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement éclairé requiert en particulier d'informer les personnes concernées de l'étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d'activité des partenaires rendus destinataires des données avant toute transmission sont de nature à éclairer les personnes concernées quant à l'utilisation ultérieure qui sera faite de leurs données.

L'article 7, sous f) de la directive 95/46/CE du 24 octobre 1995 s'oppose à une réglementation nationale qui, en l'absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d'u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonceur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), soit remplie.

3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'autres sites Internet.

4) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’exception prévue à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.

Il y a lieu d’interpréter le titre I er de la loi Informatique et Libertés de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée aux droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I er puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la loi Informatique et Libertés doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.

Cette question ne se pose que pour le titre I er dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.

Des dispositions légales encadrant la transmission, aux services administratifs compétents et aux fins de vérification des conditions encadrant le congé pour invalidité temporaire imputable au service, de données de nature médicale relatives à des agents publics, portent une atteinte disproportionnée au droit au respect de la vie privée dès lors qu'elles répondent aux conditions suivantes : la transmission de ces données intervient sans recueillir préalablement le consentement des agents intéressés et sans que le secret médical puisse être opposé aux services administratifs qui en font la demande ; cette communication peut concerner un très grand nombre d'agents au sein des services administratifs concernés, dont la désignation n'est subordonnée à aucune habilitation spécifique et dont les demandes de communication ne sont soumises à aucun contrôle particulier ; les renseignements en cause peuvent être obtenus auprès de toute personne ou organisme.

La requérante, fille aînée du prince Rainier III de Monaco, souhaite faire interdire toute nouvelle publication dans des magazines allemands de presse à sensation de photographies prises à son insu et montrant sa vie quotidienne en dehors de son domicile, seule ou accompagnée. La Cour EDH affirme que la publication de photographies montrant la requérante seule ou accompagnée d'un adulte dans des activités purement privées relève de sa vie privée. Ces photos et les commentaires qui l'accompagnent ont été publiés dans le cadre d'un reportage destiné à satisfaire la curiosité d'un certain public sur les détails de la vie privée de la princesse, qui n'est pas une personnalité non politique et ne remplit aucune fonction officielle pour le compte de l'État monégasque. Les publications litigieuses ne contribuaient donc pas à un débat d'intérêt général pour la société, malgré la notoriété de la requérante. Par ailleurs, la Cour souligne que toute personne, même connue du grand public, doit pouvoir bénéficier d'une Espérance légitime de protection et de respect de sa vie privée, laquelle comporte une dimension sociale. Or les photos critiquées – qui se rapportent exclusivement aux détails de la vie privée de la requérante – ont été prises à son insu et sans son consentement, dans un contexte de harcèlement quotidien par les photographes. De plus, une protection accrue de la vie privée s'impose face aux progrès techniques qui permettent notamment la réalisation systématique de photos et leur diffusion auprès d'un large public. Les juridictions allemandes, en qualifiant la requérante de personnalité « absolue » de l'histoire contemporaine, n'ont permis à celle‑ci de se prévaloir d'une protection de sa vie privée que si elle se trouve en dehors de son domicile dans un endroit isolé, à l'abri du public, et de surcroît si elle parvient à le prouver, ce qui peut s'avérer difficile. Selon la Cour, ce critère de l'isolement spatial est en pratique trop vague et difficile à déterminer à l'avance pour la personne concernée. L'État, tenu de remplir son obligation positive de protection de la vie privée et du droit à l'image à l'égard de la Convention, n'a pas assuré une protection effective de la vie privée de la requérante. La Cour EDH conclut donc à une violation de l'article 8.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.

4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Consentement par la personne concernée au dépôt de traceurs lors de sa visite sur un site internet ne saurait être considéré comme équivalent au « consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d'adéquation et de garanties appropriées » au sens de l'article 49.1.a du RGPD. absence d'équivalence