Les entreprises détenant une position dominante sur leurs marchés (numériques) peuvent être sanctionnées par les autorités (nationales) de la concurrence pour avoir enfreint ... le règlement général sur la protection des données (« RGPD »). Une telle position dominante peut également impliquer des obstacles supplémentaires pour ces entreprises afin de démontrer que leurs pratiques de collecte et de traitement des données reposent sur des bases légales valables en vertu de l'article 6 du RGPD.
Meta Platforms Irlande est bien connue pour ses différentes plateformes de médias sociaux en ligne telles que Facebook, Instagram, WhatsApp, Oculus et, auparavant, Masquerade. La plateforme de médias sociaux Facebook est accessible gratuitement aux utilisateurs et est financée par la publicité « ciblée » en ligne destinée à ces utilisateurs. Cette publicité ciblée est basée sur un profil d'utilisateur détaillé sur base d’informations personnelles (telles que le comportement du consommateur, ses intérêts et son pouvoir d'achat), qui sont collectées non seulement sur les différentes plateformes exploitées par le groupe Meta, mais aussi sur des pages web et des applications de tiers (« données hors Facebook »). Cette activité de traitement repose sur l'acceptation par le client des conditions générales de Facebook, qui renvoient à ses politiques de cookies et de confidentialité. En d'autres termes, pour pouvoir utiliser Facebook, les utilisateurs n'ont pas d'autre choix que d'accepter les conditions générales et le traitement des données personnelles de l'utilisateur par Meta à des fins publicitaires.
L'Office fédéral allemand de la lutte contre les cartels (autorité allemande de la concurrence, « AAC ») a considéré en 2019 que les pratiques de Meta constituaient un abus de sa position dominante sur le marché des réseaux sociaux en ligne. Il a donc interdit à Meta de subordonner l'utilisation de Facebook à l'acceptation, par le biais des conditions générales, du traitement de leurs données à caractère personnel provenant d'autres plateformes Meta et de pages web tierces.
La procédure d'annulation de la décision de l’AAC devant le tribunal régional de Düsseldorf a finalement été portée devant la Cour de justice de l'Union européenne (« CJUE ») et comportait plusieurs questions préjudicielles portant à la fois sur le droit de la concurrence et sur la protection des données.
Répartition des rôles entre les autorités chargées de la concurrence et celles chargées de la protection des données
L'affaire était suivie de près par ceux qui s'intéressent à l'interaction entre le droit de la concurrence et le droit de la protection des données. En effet, il est intéressant de noter que l'infraction au droit de la concurrence dans la décision de l’AAC reposait directement sur une infraction au RGPD (plus précisément l'article 6, paragraphe 1, et l'article 9, paragraphe 2, de ce Règlement). Les conditions générales de Meta, rendues possibles par sa position dominante, ont été considérées abusives dans la mesure où le traitement des données hors Facebook n'était pas conforme aux valeurs sous-jacentes du RGPD.
Reconnaissant l'importance des données en tant qu'actif commercial décisif (et donc en tant que paramètre de concurrence) dans l'économie numérique, la CJUE a confirmé qu'une autorité nationale de la concurrence – même si elle n'est pas une autorité nationale de contrôle au sens de l'article 51 et suivants du RGPD – peut constater l'incompatibilité avec le RGPD (de la mise en œuvre) des conditions générales d'utilisation d'une entreprise relatives au traitement des données à caractère personnel, lorsque cette constatation est nécessaire pour établir l'existence d'un abus de position dominante au sens de l'article 102 du TFUE. En effet, selon la grande chambre de la CJUE, « la conformité ou la non-conformité d’un tel comportement [au] RGPD peut constituer, le cas échéant, un indice important parmi les circonstances pertinentes de l’espèce pour établir si ce comportement constitue un recours à des moyens qui gouvernent une compétition normale » (point 47).
Toutefois, la CJUE a également précisé que les autorités nationales de la concurrence sont liées par le principe de coopération loyale en vertu de l'article 4, paragraphe 3, du TUE et qu'elles ne peuvent donc pas s'écarter d'une décision d'une autorité nationale de contrôle. Par conséquent, cette autorité nationale de concurrence est tenue de consulter l'autorité de contrôle nationale et de coopérer avec elle lorsque, dans l'exercice de ses pouvoirs, cette autorité nationale de concurrence doit évaluer si un comportement est contraire au RGPD. Cette obligation de consultation ou de collaboration n'est pas prévue par le RGPD, qui contient uniquement un mécanisme de coopération entre les autorités de contrôle nationales.
Clarifications sur certaines notions clés du RGPD
En outre, la CJUE a procédé à une analyse détaillée de l'application possible des différentes bases légales de l'article 6 du RGPD pour le traitement licite des données, ainsi que de l'article 9 du RGPD concernant le traitement des catégories sensibles de données à caractère personnel.
La CJUE a notamment jugé que la collecte de données sur Facebook et hors Facebook et la mise en relation de ces données avec le compte de réseau social des utilisateurs ne pouvaient être considérées comme « nécessaires à l'exécution d'un contrat » (article 6, paragraphe 1, point b), du RGPD) que si ce traitement est objectivement indispensable à une finalité faisant partie intégrante de l'obligation contractuelle (c'est-à-dire indispensable à la réalisation de l'objet principal du contrat). Dans cette affaire, la CJUE a rejeté les justifications de Meta selon lesquelles ses pratiques de collecte et de traitement des données étaient nécessaires pour garantir la personnalisation des contenus proposés aux utilisateurs et l'utilisation homogène et fluide des services du groupe Meta.
L'arrêt a également précisé que le fait qu'une plateforme occupe une position dominante est un facteur pertinent à prendre en compte pour évaluer si le consentement a été « donné librement » (au sens de l'article 6, paragraphe 1, point a), et de l'article 4, paragraphe 11, du RGPD) par les utilisateurs de cette plateforme – en effet, une telle position dominante « est susceptible d'affecter la liberté de choix de cet utilisateur, qui pourrait ne pas être en mesure de refuser ou de retirer son consentement sans subir un préjudice » (point 148).
Nous sommes prêts à vous assister pour toute question relative à vos activités de traitement de données ou à la conformité de vos pratiques au RGPD.