Dans l’arrêt Meta Platforms e.a. du 4 juillet 2023, la Cour de justice de l’Union européenne a été amenée à interpréter l’article 4 paragraphe 3, TUE ainsi que l’article 6, paragraphe 1, l’article 9, paragraphes 1 et 2, l’article 51, paragraphe 1, et l’article 56, paragraphe 1, du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(RGPD).
En l’espèce, Meta Platforms Ireland, une société connue sous le nom de Facebook Ireland, collecte des données relatives aux activités des utilisateurs à l’intérieur et à l’extérieur du réseau social et les met en relation avec les comptes Facebook des utilisateurs concernés. Il s’agit d’une part, de données présentes lorsque l’utilisateur consulte des pages internet et des applications autres que le groupe Meta, autrement appelées des données « off Facebook », et, d’autre part, des données concernant l’utilisation d’autres services en ligne appartenant au groupe Meta (dont Instagram et WhatsApp). Ces données collectées permettaient de personnaliser les messages publicitaires destinés aux utilisateurs de Facebook.
Considérant cette pratique non conforme au RGPD, l’autorité fédérale allemande de la concurrence a décidé d’interdire l’utilisation des données off Facebook des utilisateurs privés résidant en Allemagne et de traiter ces données sans leur consentement.
Meta Platforms Ireland et Facebook Deutschland ont introduit un recours contre la décision de l’autorité fédérale de la concurrence devant le tribunal régional supérieur de Düsseldorf (Allemagne). Ledit tribunal a posé à la Cour de justice diverses questions préjudicielles lesquelles sont en substance le contenu suivant :
- Est-il compatible avec les articles 51 et suivants du RGPD qu’une autorité nationale de la concurrence d’un Etat membre de l’Union européenne, qui n’est pas une autorité de contrôle, constate une violation du RGPD et ordonne la cessation de cette infraction ?
- Lorsqu’un utilisateur internet consulte des sites internet en lien avec l’orientation sexuelle, le point de vue d’un parti politique, ou des applications de rencontres en rapport avec les critères de l’article 9, paragraphe 1, du RGPD, cette collecte et utilisation des données sont-elles des données sensibles ?
- Une entreprise comme Meta Platforms Ireland peut-elle se prévaloir de l’article 6, paragraphe 1 du RGPD afin de justifier la collecte et l’utilisation des données ?
S’agissant de la question de la compétence de l’autorité nationale de la concurrence d’un Etat membre, la Cour a conclu que ladite autorité pouvait constater que les conditions générales d’utilisation de cette entreprise relative au traitement des données à caractère personnel et leur mise en œuvre n’étaient pas conformes au RGPD. Toutefois, lorsque l’autorité de la concurrence nationale relevait une violation du RGPD, celle-ci ne devrait pas se substituer aux autorités de contrôle mises en place par le RGPD. Afin d’assurer une application correcte du RGPD, il serait nécessaire que les autorités de la concurrence nationales coopèrent loyalement avec les autorités de contrôle mises en place par le RGPD. Il est notamment important que l’autorité de la concurrence nationale, avant de déterminer la conformité d’un comportement à la lumière du RGPD, vérifie si le comportement de l’entreprise a déjà fait l’objet d’une décision par l’autorité de contrôle au sens du RGPD ou par la Cour de Justice de l’Union européenne. Si une décision a été adoptée par une de ces dernières, l’autorité nationale ne peut s’écarter de cette décision.
S’agissant de la question qualifiant les données en rapport avec les critères de l’article 9 du RGPD comme étant des données sensibles, la Cour a considéré que dans le cas où un utilisateur d’un réseau social en ligne consulte des sites internet ou des applications en rapport avec les catégories visées à l’article 9, paragraphe, 1 du RGPD, ces données collectées par le réseau social en ligne doivent être considérées comme « un traitement portant sur des catégories particulières de données à caractère personnel » dont le traitement de ces types de données est interdit, sous réserve des exceptions de l’article 9, paragraphe 2, du RGPD.
En dernier lieu, concernant les motifs justificatifs de l’article 6, paragraphe 1, du RGPD, la Cour de justice a conclu que l’article 6, paragraphe 1, sous c) du RGPD, mentionnant que le traitement de données à caractère personnel effectué par un réseau social en ligne est justifié lorsqu’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Par ailleurs, la Cour a également considéré que le fait que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux en ligne, l’oblige à obtenir le consentement de l’utilisateur concernant la collecte et l’utilisation des données au sens des articles 6, paragraphe 1, sous a), et 9, paragraphe 2, sous a), du RGPD.
Il est intéressant de remarquer qu’afin de ne pas mettre en péril la compétence d’une autorité nationale de la concurrence et sa décision en matière de données, il est nécessaire d’obtenir au préalable une décision de l’autorité de contrôle prévue par le RGPD ou de la Cour de justice de l’Union européenne. Une autorité nationale de la concurrence a uniquement le pouvoir de constater un abus ou une violation du RGPD par l’entreprise. Il serait préférable, à notre sens, que les autorités nationales de la concurrence aient plus de pouvoir que de constater les comportements abusifs.
Il y a discussion en doctrine sur l’instrument juridique applicable en cas de comportement abusif d’un opérateur. Une partie de celle-ci estime que seul le droit de la concurrence est applicable alors qu’une autre partie estime que le droit de la consommation et le droit de la protection des données seraient les seules dispositions applicables. Le contrôleur européen de la protection des données (CEPD) a considéré dans son avis 08/2016 du 23 septembre 2016 que tant qu'une autorité nationale de la concurrence agit dans le cadre de ses compétences, il n'y a aucune raison d'exclure de l'évaluation le contrôle du respect d'autres dispositions qui pourraient jouer un rôle dans l'enquête sur un comportement abusif potentiel. Sur des marchés tels que celui des plateformes numériques, qui se caractérisent par de fortes interactions entre divers domaines juridiques, les autorités de la concurrence devraient être libres de viser des comportements qui nuisent à la concurrence, même si le même comportement pourrait aussi être visé par des dispositions en droit de la consommation et/ou de la protection des données.
Saud Ahmed, Traitement des données à caractère personnel des utilisateurs de réseaux sociaux en ligne et RGPD, actualité du CEJE n° 24/2023, 11 juillet 2023, disponible sur www.ceje.ch