1. « (a) L’article 4, point 1, du règlement 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, lu en combinaison avec les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doit-il être interprété en ce sens qu'une chaîne de caractères qui capte de manière structurée et lisible par une machine, en lien avec le traitement de ses données à caractère personnel, les préférences d'un internaute constitue une donnée à caractère personnel au sens de la disposition précitée à l’égard (1) d’une organisation sectorielle qui met à la disposition de ses membres un standard par lequel elle leur prescrit la manière pratique et technique dont cette chaîne de caractères doit être générée, stockée et/ou diffusée (2) des parties qui ont mis en oeuvre ce standard sur leurs sites Internet ou dans
leurs applications et ont ainsi accès à cette chaîne de caractères ?
b) Importe-t-il à cet égard que la mise en oeuvre du standard implique que cette chaîne de caractères soit disponible avec une adresse IP ?
c) La réponse aux points a) et b) est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce standard ? »
2. « a) L’article 4, point 7, et l’article 24, paragraphe 1 du règlement 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, lus en combinaison avec les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent-ils être interprétés en ce sens qu’une organisation sectorielle de standardisation doit être qualifiée de responsable du traitement, lorsqu’elle propose à ses membres un standard de gestion du consentement qui contient non seulement un cadre technique contraignant, mais aussi des règles précisant de façon détaillée les modalités de stockage et de diffusion de ces données de consentement, qui constituent des données à caractère personnel ?
b) La réponse à la question (a) est-elle différente si cette organisation sectorielle n’a pas elle-même le droit d’accéder aux données à caractère personnel traitées par ses membres dans le cadre de ce
standard ?
c) Si l’organisation sectorielle de standardisation doit être désignée comme responsable ou responsable conjoint du traitement des préférences des internautes, cette responsabilité (conjointe) de l’organisation sectorielle de standardisation s’étend-elle automatiquement aux traitements ultérieurs par des tiers qui ont recueilli les préférences des internautes, comme la publicité ciblée en ligne par les éditeurs et les fournisseurs ? »