Arrêt de la Cour de justice de l’Union euro­péenne du 4 juillet 2023, C‑252/​21, Meta c. Bundeskartellamt

Contexte

Depuis quelques semaines déjà, Instagram, réseau social du groupe Meta (ancien­ne­ment Facebook), présente un message deman­dant à ses utili­sa­teurs de donner leur consen­te­ment – ou non – au trai­te­ment de leurs données person­nelles four­nies par des parte­naires publi­ci­taires. La fina­lité présen­tée est l’amélioration de la perti­nence des publi­ci­tés présen­tées. WhatsApp a aussi récem­ment mis à jour sa poli­tique de confi­den­tia­lité, préci­sant la base juri­dique du trai­te­ment comme repo­sant sur leurs inté­rêts légi­times confor­mé­ment à l’art. 6 RGPD.

Ce chan­ge­ment de pratique s’inscrit à la suite de la déci­sion rendue par la CJUE le 4 juillet 2023 (C‑252/​21), ainsi que de la déci­sion subsé­quente rendue par l’autorité norvé­gienne de protec­tion des données (Datalisynet) le 14 juillet 2023. Cette dernière a en effet rendu une déci­sion inter­di­sant tempo­rai­re­ment Meta de procé­der à de la publi­cité ciblée, moyen­nant une astreinte de 1 million de couronnes norvé­giennes par jour.

Afin de comprendre l’origine des chan­ge­ments mis en place par Meta, les prin­ci­paux points de l’arrêt doivent être analysés.

Principaux points de l’arrêt

Les données visées par l’arrêt de la CJUE sont des données sensibles – soit, selon la termi­no­lo­gie euro­péenne, des données à carac­tère person­nel portant sur des caté­go­ries parti­cu­lières – et les personnes concer­nées sont les utili­sa­teurs de Facebook. Les trai­te­ments effec­tués sont prin­ci­pa­le­ment la collecte, la mise en rela­tion et l’utilisation de ces données person­nelles pour la diffu­sion de publi­cité ciblée. La parti­cu­la­rité de ces trai­te­ments de données repose en partie sur le fait que celles-ci sont collec­tées en dehors du réseau social Facebook (« données off-Facebook »), par le biais d’interfaces inté­grées (telles que les « Outils Facebook Business ») ou de traceurs ou cookies enregistrés.

À l’origine de cet arrêt, il y a la demande préju­di­cielle dépo­sée par le tribu­nal régio­nal supé­rieur de Düsselfdorf (Oberlandesgericht Düsseldorf), qui porte sur un litige entre l’autorité fédé­rale de la concur­rence alle­mande (Bundeskartellamt) et Meta Platforms Inc., Meta Platforms Ireland Ltd. ainsi que Facebook Deutschland GmbH. L’autorité fédé­rale de la concur­rence a en effet décidé d’interdire à ces socié­tés le trai­te­ment de certaines données person­nelles prévu par les condi­tions géné­rales d’utilisation du réseau social Facebook. Le tribu­nal régio­nal supé­rieur de Düsseldorf saisit la CJUE et ques­tionne, dans un premier temps, la compé­tence de l’autorité fédé­rale de la concur­rence de rendre une telle déci­sion. Dans un deuxième temps, la confor­mité de plusieurs aspects des trai­te­ments par Meta est remise en cause.

Compétence de la Bundeskartellamt

La ques­tion de la compé­tence de la Bundeskartellamt de consta­ter l’illégalité des trai­te­ments de données par Meta n’est pas exami­née en détail dans le présent article. Nous notons toute­fois la conclu­sion de la CJUE, qui – à la première et septième ques­tion préju­di­cielle – estime que dans le cadre d’un examen d’abus de posi­tion domi­nante d’une société, une auto­rité de concur­rence natio­nale peut consta­ter l’illégalité des trai­te­ments relatifs.

Conformité des trai­te­ments : que demande-t-on à la CJUE ?

Concernant les ques­tions préju­di­cielles rela­tives à la confor­mité des trai­te­ments, celles-ci peuvent être divi­sées en trois parties.

1. La première – objet de la deuxième ques­tion préju­di­cielle – est d’identifier si un trai­te­ment de données person­nelles sensibles a lieu et, dans l’affirmatif, s’il porte sur des données mani­fes­te­ment publiques.
2. La deuxième – faisant partie des troi­sième, quatrième et cinquième ques­tions préju­di­cielles – vise à établir sur quelle(s) base(s) juridique(s) ce trai­te­ment peut repo­ser au sens de l’ 6 RGPD.
3. La troi­sième – soit la sixième ques­tion préju­di­cielle – se concentre sur le consen­te­ment et sa capa­cité à être « libre » en cas de posi­tion domi­nante du respon­sable de traitement.

Un trai­te­ment de données sensibles illi­cite ou des données mani­fes­te­ment publiques ?

Sur le premier point, la CJUE est d’avis que les données « off-Facebook » permettent notam­ment de voir quelles pages web sont visi­tées par les utili­sa­teurs. Cela est tech­ni­que­ment possible lorsque lesdites pages intègrent des Outils Business Facebook, voire d’autres tech­no­lo­gies de traçage.

Pour la CJUE, la ques­tion est indé­pen­dante du fait que les données soient exactes ou non, ou de l’existence d’une inten­tion de la part du respon­sable de trai­te­ment de collec­ter ces données. En effet, l’art. 9 par. 1 RGPD prévoit une inter­dic­tion de prin­cipe du trai­te­ment de données person­nelles sensibles. Cette inter­dic­tion se justi­fie au vu des risques impor­tants pour les liber­tés et droits des personnes concer­nées. Dans son arrêt, la CJUE ne se prononce pas sur la ques­tion de l’existence ou non d’un trai­te­ment de données sensibles, lais­sant le soin à l’Oberlandesgericht Düsseldorf de procé­der à cette analyse. La CJUE met toute­fois en évidence que la consul­ta­tion de certaines pages web peut révé­ler des données sensibles, et ceci, même sans insé­rer des données sur ces sites. On peut notam­ment imagi­ner que la consul­ta­tion de sites médi­caux, reli­gieux ou sur des thèmes rela­tifs à une orien­ta­tion sexuelle en parti­cu­lier soit à même de révé­ler des infor­ma­tions tombant sous la descrip­tion de l’art. 9 RGPD. Ce raison­ne­ment peut cepen­dant être nuancé par la possi­bi­lité qu’une telle consul­ta­tion repose sur une simple curio­sité ou une volonté de s’informer de la part de l’internaute et non d’une compo­sante « person­nelle » qui serait à l’origine de la consul­ta­tion de telles pages.

Ayant établi ce raison­ne­ment, la CJUE se penche ensuite sur l’éventuel carac­tère « public » des données person­nelles. En effet, une excep­tion à l’interdiction de prin­cipe de l’art. 9 par. 1 RGPD est le cas où les données sont « mani­fes­te­ment rendues publiques par la personne concer­née ». Pour tomber dans cette excep­tion, il est néces­saire que la personne concer­née ait voulu, de manière expli­cite et par un acte posi­tif clair, rendre acces­sibles ses infor­ma­tions au grand public.

En l’espèce, s’il s’avère que la consul­ta­tion de pages web est de nature à révé­ler des données sensibles, cette consul­ta­tion seule ne permet pas de déduire une inten­tion de rendre publiques des infor­ma­tions sensibles de la part de l’internaute. Dans le cas où des plug-ins sociaux sont utili­sés, tels que les boutons de sélec­tion « j’aime » ou « partage », il est néces­saire pour l’utilisateur de pouvoir para­mé­trer l’étendue de la publi­ca­tion de ces données. Il est donc néces­saire que la personne concer­née exprime ce choix de manière claire et en toute connais­sance de l’étendue de la publi­ca­tion pour tomber dans l’exception à l’interdiction de prin­cipe de l’art. 9 par. 1 RGPD.

Quelles bases juridiques ?

La CJUE examine quelles bases juri­diques au sens de l’art. 6 RGPD pour­raient être rete­nues pour un trai­te­ment rela­tif à de la publi­cité ciblée. Le consen­te­ment, le contrat, l’intérêt légi­time, la sauve­garde des inté­rêts vitaux et l’intérêt public sont exami­nés un à un. Sans entrer dans une analyse détaillée de chacune de ces bases juri­diques, on peut déga­ger certains points dignes d’intérêt.

En préam­bule de son analyse, la CJUE établit que si un trai­te­ment englobe des données sensibles en plus de données person­nelles « normales », sans disso­cia­tion entre les deux types de données, le trai­te­ment est en prin­cipe inter­dit sur la base de l’art. 9 par. 1 RGPD. Ce raison­ne­ment implique que lorsqu’un jeu de données contient même une seule infor­ma­tion de type sensible, celui-ci est alors « conta­miné » et se retrouve soumis aux exigences strictes concer­nant le trai­te­ment de données de caté­go­ries spéciales.

Deuxièmement, la CJUE apporte des préci­sions s’agissant de l’examen du trai­te­ment sur la base de la néces­sité rela­tive à l’exécution d’un contrat (art. 6 par. 1 let. b RGPD). En effet, le trai­te­ment de données concerné doit être « objec­ti­ve­ment indis­pen­sable pour réali­ser une fina­lité inté­grante de la pres­ta­tion contrac­tuelle ». Le trai­te­ment doit donc être essen­tiel, sans que d’autres solu­tions moins intru­sives soient présentes. Selon la CJUE, il semble que le trai­te­ment effec­tué par Meta, portant sur des données issues d’autres services que ceux du réseau social Facebook, ne remplisse pas cette condi­tion et ne puisse être consi­déré comme néces­saire pour la fina­lité de person­na­li­sa­tion du contenu et de la flui­dité d’utilisation des services du groupe Meta.

Troisièmement, dans la revue des inté­rêts légi­times invo­qués par Meta pour justi­fier le trai­te­ment, prévu à l’art. 6 par. 1 let. c RGPD, la CJUE se penche, entre autres, sur l’intérêt de la person­na­li­sa­tion de la publi­cité. Dans son argu­men­taire, la CJUE prend en compte les « attentes raison­nables » de la personne concer­née ainsi que l’étendue du trai­te­ment et son impact. Elle estime que malgré la gratuité du service offert, la personne concer­née ne peut s’attendre à ce que ses données soient trai­tées sans son consen­te­ment. De plus, un trai­te­ment étendu et illi­mité aurait un impact impor­tant sur l’internaute, menant à un senti­ment de surveillance. La mention du « senti­ment de surveillance » est inté­res­sante, démon­trant que la percep­tion du trai­te­ment par la personne concer­née semble avoir une impor­tance dans la déter­mi­na­tion de la légi­ti­mité des inté­rêts du respon­sable de traitement.

Un consen­te­ment libre malgré une posi­tion dominante ?

La vali­dité du consen­te­ment fait l’objet de la sixième ques­tion préju­di­cielle du tribu­nal régio­nal supé­rieur de Düsseldorf, plus préci­sé­ment en lien avec la posi­tion domi­nante qu’occuperait Meta. En effet, selon l’art. 4 par. 11 RGPD, le consen­te­ment doit, entre autres, être « libre ». Ceci est renforcé aux consi­dé­rants 42 et 43 RGPD, où il est rappelé que

« le consen­te­ment ne peut être consi­déré comme ayant été donné libre­ment si la personne concer­née ne dispose pas d’une véri­table liberté de choix ou n’est pas en mesure de refu­ser ou de reti­rer son consen­te­ment sans subir de préjudice »

et que le consen­te­ment ne peut consti­tuer un fonde­ment juri­dique valable pour le traitement

« lorsqu’il existe un déséqui­libre mani­feste entre la personne concer­née et le respon­sable de traitement ».

Dans le cas d’espèce, la CJUE estime que le fait que le réseau social occupe une posi­tion domi­nante sur le marché n’affecte pas la possi­bi­lité pour les utili­sa­teurs de consen­tir au trai­te­ment de leurs données person­nelles. Cependant, cet élément présente une impor­tance dans l’examen de la vali­dité et la liberté du consen­te­ment, dont le fardeau de la preuve repose sur le respon­sable du traitement.

Sur le cas des données « off-Facebook », partant du prin­cipe que le trai­te­ment de celles-ci n’est pas néces­saire à l’exécution du contrat, la CJUE estime qu’un consen­te­ment spéci­fique à ce trai­te­ment devrait être donné. La possi­bi­lité de refu­ser, moyen­nant une rému­né­ra­tion appro­priée ou une alter­na­tive équi­va­lente, devrait égale­ment être propo­sée. Il semble dès lors que la seule base juri­dique pouvant être rete­nue dans le cadre d’activité de publi­cité ciblée soit le consen­te­ment. Comme déve­loppé par le WP29 dans son Opinion 2/​2010, le consen­te­ment doit être obtenu avant le trai­te­ment des données person­nelles, de manière active (opt-in) et en toute connais­sance de cause.

Conclusion

Il semble­rait que cette déci­sion – couplée à celle de l’autorité de protec­tion des données norvé­gienne – ait porté certains fruits sur la pratique de Meta concer­nant la publi­cité ciblée. Un consen­te­ment spéci­fique rela­tif au trai­te­ment de données prove­nant de parte­naires de Meta (données « off-Facebook ») a été intro­duit pour la plate­forme Instagram, pour la fina­lité de publi­cité ciblée. Au moment d’ouvrir l’application, un message spéci­fique s’affiche pour l’utilisateur avec la demande de consen­te­ment, exigeant une accep­ta­tion ou un refus avant de pouvoir conti­nuer à utili­ser l’application.

Dans les infor­ma­tions accom­pa­gnant le consen­te­ment, il est précisé que le para­mètre peut être modi­fié à tout moment, que celui-ci s’applique aussi aux publi­ci­tés sur d’autres appli­ca­tions et sites web qui utilisent les parte­naires de Meta et que d’autres infor­ma­tions four­nies par les parte­naires publi­ci­taires ne sont pas contrô­lées par ce para­mètre. Concernant le dernier point, il n’est cepen­dant pas précisé quel type de donnée est concerné ni la fina­lité de leur traitement.

Malgré ces chan­ge­ments, Meta a demandé au tribu­nal de district d’Oslo une injonc­tion tempo­raire visant à annu­ler l’interdiction pronon­cée le 14 juillet. En effet, une déci­sion addi­tion­nelle a été rendue par l’autorité de protec­tion des données norvé­gienne, exigeant le paie­ment d’amende coer­ci­tive d’un million de couronnes norvé­giennes par jour de non-confor­mité (envi­ron CHF 83’000), à partir du 14 août.

La déci­sion du tribu­nal de district d’Oslo est atten­due dans le courant du mois d’août et aura certai­ne­ment des consé­quences impor­tantes sur la manière dont le groupe Meta envi­sage le trai­te­ment des données personnelles.