L’autorité de concurrence peut-elle faire appliquer le RGPD ?

Selon l’avocat général, une autorité de la concurrence peut, dans l’exercice de ses compétences, tenir compte de la compatibilité d’une pratique commerciale avec le règlement général sur la protection des données. Toutefois, elle doit prendre en considération toute décision ou enquête de l’autorité de contrôle compétente en vertu de ce règlement.

C’est un avis très attendu qui a été rendu au sujet d’une question de principe : dans quelle mesure une autorité de concurrence saisie d’un dossier qui entre dans ses compétences propres, peut-elle tenir compte dans son appréciation de la compatibilité d’une pratique commerciale avec le RGPD ?

Dit autrement : les autorités nationales de protection des données ont-elles une compétence exclusive qui empêche les autres autorités spécialisées d’aborder la question du RGPD ? Lorsqu’on sait l’importance des données personnelles dans le business model des réseaux sociaux et les problématiques que cela engendre au niveau des pratiques commerciales, la question vaut son pesant d’or.

Les faits

Meta Platforms est le propriétaire du réseau social en ligne « Facebook ». Les utilisateurs de ce réseau social doivent accepter les conditions de service de Facebook, qui renvoient aux politiques d’utilisation des données et des témoins de connexion (cookies) fixées par Meta Platforms. En vertu de ces dernières, Meta Platforms collecte des données issues d’autres services propres au groupe Meta Platforms, tels qu’Instagram et WhatsApp, ainsi que de sites Internet et d’applications tiers, à travers d’interfaces intégrées dans ces derniers ou de cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur. En outre, Meta Platforms met ces données en relation avec le compte Facebook de l’utilisateur concerné et les utilise notamment à des fins publicitaires.

L’autorité fédérale allemande de la concurrence a interdit à Meta Platforms le traitement de données prévu par les conditions de service de Facebook ainsi que la mise en œuvre de ces conditions et lui a imposé des mesures visant à la cessation de ces activités. En effet, cette autorité a estimé que le traitement de données en question, qui n’était pas conforme au règlement général sur la protection des données (RGPD), constituait une exploitation abusive de la position dominante de Meta Platforms sur le marché des réseaux sociaux pour les utilisateurs privés en Allemagne.

Meta Platforms a formé un recours contre la décision de l’autorité susvisée devant le tribunal régional supérieur de Düsseldorf, qui demande à la Cour de justice si les autorités nationales de la concurrence sont habilitées à apprécier la conformité d’un traitement de données avec le RGPD. De plus, la juridiction allemande interroge la Cour sur l’interprétation et l’application de certaines dispositions du RGPD.

Une compétence partagée mais incidente

Dans ses conclusions présentées ce jour, l’avocat général Athanasios Rantos considère, en premier lieu, que, si une autorité de la concurrence n’est pas compétente pour constater une violation du RGPD, elle peut néanmoins, dans l’exercice de ses propres compétences, tenir compte de la compatibilité d’une pratique commerciale avec le RGPD. À cet égard, l’avocat général souligne que le fait qu’une pratique est conforme ou non au RGPD peut former, compte tenu de toutes les circonstances de l’espèce, un indice important pour établir si celle-ci constitue une violation aux règles de la concurrence.

Cela étant, l’avocat général précise qu’une autorité de la concurrence ne peut apprécier le respect du RGPD qu’à titre incident et sans préjudice des pouvoirs de l’autorité de contrôle compétente en vertu de ce règlement. Par conséquent, l’autorité de la concurrence doit tenir compte de toute décision ou enquête de l’autorité de contrôle compétente, informer celle-ci de tout détail pertinent et, le cas échéant, mener une consultation avec elle.

Quel lien entre consentement et position dominante ?

En deuxième lieu, l’avocat général est d’avis que la seule circonstance que l’entreprise qui exploite un réseau social jouit d’une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés ne remet pas en cause la validité du consentement de l’utilisateur de ce réseau au traitement de ses données à caractère personnel. Une telle circonstance joue néanmoins un rôle dans l’appréciation de la liberté du consentement, qu’il incombe au responsable du traitement des données de démontrer.

Sur cette question précise, l’arrêt sera très attendu et nous ne serions pas étonné que la Cour se montre plus incisive.

Au-delà de la question du consentement au sens du droit civil, les réseaux sociaux dont le business model repose sur l’exploitation des données personnelles des utilisateurs en échange de l’utilisation non-payante du service, doivent à notre sens s’assurer que le consentement est également valable au sens du RGPD, notamment l’article 7.

Or, si l’on peut admettre avec l’avocat général qu’une position dominante ne constitue pas, en tant que telle, un motif suffisant d’invalidation du consentement, son avis nous semble trop éloigné de la réalité : un texte d’adhésion (à prendre ou à laisser), long et incompréhensible pour la plupart des gens, régulièrement modifié, tourné à l’avantage du réseau social, peut-il réellement constituer un consentement libre, spécifique et éclairé et conforme à l’article 7 ? Par ailleurs, l’impossibilité de négocier le contrat et les conséquences sur l'(im)possibilité de communiquer qu’entraine le refus de valider les conditions générales, doivent-elle être prises en compte dans cette analyse car, au bout du compte, le choix est dramatiquement simple : « soit tu acceptes les conditions générales, soit tu sors du réseau social et tu renonces à communiquer avec le monde moyennant un canal désormais incontournable ».

La Cour pourrait profiter de l’arrêt pour fournir des indications utiles sur cet équilibre très délicat.

Rappel toujours utile, souligné par l’avocat général : la démonstration de la liberté du consentement incombe au responsable du traitement des données.

A quoi sert un réseau social ? A recevoir des publicités ?

En troisième lieu, l’avocat général considère que la pratique litigieuse de Meta Platforms ou certains de ses éléments sont susceptibles de relever des justifications prévues par le RGPD pour le traitement de données sans le consentement de la personne concernée, pourvu que les éléments en cause de cette pratique soient effectivement nécessaires à la prestation des services se rattachant au compte Facebook.

Derrière cette approche alambiquée se profile une question cruciale : à quoi sert un réseau social ? Pourquoi le public s’y inscrit-il ? Quelle est la nature de la « prestation de services » et, partant, quels sont les éléments qui lui sont nécessaires ?

L’avocat général estime que, si la personnalisation des contenus et de la publicité, l’utilisation homogène et fluide des services propres au groupe Meta Platforms, la sécurité du réseau ou encore l’amélioration du produit peuvent, certes, être dans l’intérêt de l’utilisateur ou du responsable du traitement de données, ces éléments de la pratique litigieuse ne semblent pas être nécessaires à la prestation des services précités.

L’avis de l’AG est un camouflet pour la Commission irlandaise qui a considéré, l’an passé, que « le cœur du service, tel qu’il est défini dans le contrat spécifique conclu avec la personne concernée en l’espèce, comprend clairement (et semble même reposer sur) la fourniture de publicités personnalisées. » Sur cette base, l’autorité irlandaise avait considéré la publicité personnalisée comme nécessaire à la fourniture du service en cause.

Sur cette question cruciale, voyez notre précédente actu.

Quand une personne rend-elle une donnée la concernant « manifestement publique » ?

En quatrième lieu, l’avocat général relève que l’interdiction du traitement des données à caractère personnel sensibles, relatives, par exemple, à l’origine raciale ou ethnique, la santé ou l’orientation sexuelle de la personne concernée, peut également se rapporter au traitement de données litigieux. Il en est ainsi lorsque les informations traitées, individuellement considérées ou regroupées, permettent le profilage de l’utilisateur selon les caractéristiques sensibles visées par le RGPD.

Dans ce contexte, l’avocat général souligne que, pour que l’exception à cette interdiction, se rapportant aux données que la personne concernée a manifestement rendues publiques, puisse être invoquée, l’utilisateur doit avoir pleine conscience du fait que, par un acte explicite, il rend des données à caractère personnel publiques. Or, selon l’avocat général, un comportement consistant en la consultation de sites Internet et d’applications, en l’insertion de données dans ces sites et ces applications ou en l’activation de boutons de sélection intégrés dans ceux-ci ne peut pas, en principe, être assimilé à un comportement qui rend manifestement publiques les données à caractère personnel sensibles de l’utilisateur.

Plus d’infos

En lisant l’avis de l’AG, disponible en téléchargement.

Source : Droit et Technologies, 21 septembre 2022

Mots clés

Articles recommandés

Le consentement éclairé du contribuable est nécessaire en cas de visite fiscale

Accords de transfert de technologie : évaluation des règles de concurence

Pouvoirs instantanés : comment l'autoritarisme s'invite sur les réseaux sociaux