Protection des données : la CJUE autorise les autorités antitrust à identifier les infractions
Dans une affaire contre Meta, la Cour de justice de l’UE (CJUE) a confirmé la compétence des autorités antitrust nationales pour identifier les violations de la protection des données et a suggéré que le consentement pourrait être la seule base légale pour le traitement des données de l’entreprise.
Dans une affaire contre Meta, la Cour de justice de l’Union européenne (CJUE) a confirmé la compétence des autorités nationales de la concurrence pour identifier les violations de la protection des données et a suggéré que le consentement pourrait être la seule base légale pour le traitement des données de l’entreprise.
Dans un arrêt rendu ce mardi (4 juillet), la plus haute juridiction de l’UE a déclaré que les autorités de la concurrence avaient la capacité de prendre en compte les violations du règlement général sur la protection des données (RGPD) dans le cadre de leurs enquêtes sur les abus de marché.
L’arrêt découle d’une affaire de 2019 impliquant l’autorité allemande de surveillance de la concurrence, l’Office fédéral de lutte contre les cartels (Bundeskartellamt), et Meta, la société mère de Facebook. L’autorité a interdit à Meta de traiter les données agrégées des utilisateurs de Facebook, collectées à partir de pages tierces ou d’autres plateformes de Meta, pour diffuser des publicités personnalisées.
Meta a fait appel de cette décision et l’affaire a été renvoyée devant la CJUE pour qu’elle statue sur la question suivante : les autorités nationales de la concurrence peuvent-elles se préoccuper du respect de la protection des données dans le cadre d’enquêtes sur d’éventuels abus de position sur le marché ?
« Il est important de noter que l’accès aux données à caractère personnel et leur utilisation revêtent une importance majeure dans l’économie numérique », indique la Cour dans son arrêt. « L’accès aux données à caractère personnel et la possibilité de traiter ces données sont devenus un paramètre important de la concurrence entre les entreprises dans l’économie numérique », peut-on également lire.
« Par conséquent, exclure les règles de protection des données personnelles du cadre juridique à prendre en considération par les autorités de concurrence lors de l’examen d’un abus de position dominante méconnaîtrait la réalité de cette évolution économique et serait susceptible de porter atteinte à l’efficacité du droit de la concurrence au sein de l’Union ».
Mais l’autre conséquence importante pourrait concerner la base juridique de Meta, qui a déjà été au centre d’une controverse avec les autorités chargées de la protection des données.
Base juridique
Lorsqu’ils s’inscrivent sur Facebook, les utilisateurs doivent accepter ses conditions générales, y compris une politique en matière de cookies lui permettant de collecter des données à la fois sur le site et en dehors de celui-ci. Ces « données hors Facebook » comprennent les données provenant de sites web et d’applications tiers et d’autres services de Meta tels qu’Instagram et WhatsApp.
En 2019, le Bundeskartellamt a intenté une action contre Meta afin d’interdire à l’entreprise de traiter les données hors Facebook collectées auprès des utilisateurs allemands sans leur consentement. Il a également exigé que l’entreprise modifie ses conditions générales et précise que ces données ne seraient pas collectées.
En outre, l’autorité allemande a déclaré que le consentement de l’utilisateur n’est pas valable lorsqu’il sert de condition à l’utilisation du réseau social, la base juridique dite « contractuelle » qui a également été jugée illégale par le comité européen de protection des données.
Meta a fait valoir que le traitement des données est effectué sur la base d’un accord contractuel avec le sujet, conclu au moment de l’inscription.
Toutefois, dans son arrêt, la Cour a noté que la nécessité de remplir des obligations contractuelles en tant que base juridique pour le traitement des données n’est valable que lorsque ce traitement est indispensable pour fournir le service.
La Cour de justice de l’UE a conclu que l’utilisation par Facebook de la publicité personnalisée comme méthode de financement ne pouvait justifier le traitement des données sans le consentement de la personne concernée.
Le militant autrichien de la protection de la vie privée Max Schrems s’est félicité de cet arrêt, déclarant qu’il « clarifie davantage le fait que Meta ne peut pas simplement contourner le RGPD avec quelques paragraphes dans ses documents juridiques. Cela signifie que Meta doit demander un consentement approprié et ne peut pas utiliser sa position dominante pour forcer les gens à accepter des choses qu’ils ne veulent pas ».
L’autorité allemande de la concurrence a estimé que ce traitement des données constituait un abus de position dominante de l’entreprise.
Il a également constaté que, si la position dominante de Meta n’empêche pas les utilisateurs de donner légitimement leur consentement au traitement de leurs données, elle crée un déséquilibre entre le responsable du traitement et l’utilisateur, ce qui en fait un facteur clé pour déterminer si ce consentement a été donné librement et équitablement.
Portée de l’enquête
Dans son arrêt de mardi, la Cour a jugé que, dans le cadre de telles enquêtes, il peut être nécessaire pour une autorité nationale de la concurrence d’examiner si les acteurs respectent d’autres domaines que le droit de la concurrence, tels que celui de la protection des données.
Les autorités de la concurrence ne remplacent pas les régulateurs de la protection des données, a toutefois noté la Cour, et ne doivent pas non plus contrôler l’application ou le respect du règlement.
Le seul objectif de leur examen dans ce domaine devrait être d’établir l’existence d’un abus de position dominante, a-t-elle affirmé, et toute mesure imposée sur la base de ces constatations devrait être ancrée dans le droit de la concurrence.
La Cour a également appelé à la coopération entre les autorités concernées et a noté que les organismes de concurrence devraient rechercher et suivre toute décision existante sur le respect des règles de confidentialité par l’entreprise en question. Toutefois, les autorités antitrust sont libres de tirer leurs propres conclusions du point de vue du droit de la concurrence.
La CJUE a également examiné le traitement par Meta de « catégories spéciales » de données, à savoir celles qui pourraient révéler des informations sensibles sur les sujets, notamment leur race, leurs opinions politiques ou leur orientation sexuelle, dont le traitement est interdit par la législation européenne sur la protection des données.
Il appartiendra aux autorités nationales de décider si ces informations peuvent être révélées par les données collectées, ont décidé les juges de l’UE.
Ils ont toutefois ajouté que le simple fait de visiter des sites web ou des applications qui révèlent de telles informations, de saisir des informations ou de cliquer sur des boutons ne peut pas être considéré comme signifiant automatiquement que les utilisateurs ont rendu leurs données publiques et donc susceptibles d’être traitées par des plateformes.
[Édité par Anne-Sophie Gayet]
