Lettre de la DAJ – Abus de position dominante et violation du RGPD

Dans un arrêt du 4 juillet 2023, la Cour de justice de l’Union européenne a jugé qu’une autorité de la concurrence nationale pouvait constater une violation du RGPD dans le cadre de l’examen d’un abus de position dominante.

La Cour de justice de l’Union européenne (CJUE), dans l’affaire C-252/21, s’est intéressée aux conditions générales d’utilisation de Facebook.

Lorsqu’une personne souhaite s’inscrire sur Facebook, elle doit accepter les conditions générales établies par la société Meta Platforms Ireland et par conséquent, les politiques d’utilisation des données et des cookies.

Grâce à cet accord, la société collecte des données relatives aux activités des utilisateurs de Facebook à l’intérieur et à l’extérieur du réseau social et les met en relation avec les comptes Facebook des utilisateurs concernés. Les données à l’extérieur de Facebook appelées « données off Facebook » sont soit des données concernant la consultation de pages Internet et d’applications, soit des données relatives à l’utilisation de services en ligne appartenant au groupe Meta (dont Instagram et WhatsApp). La collecte de ces données permet à Facebook de personnaliser les messages publicitaires destinés aux utilisateurs de Facebook.

L’autorité fédérale allemande de la concurrence (Bundeskartellamt) a interdit de subordonner, dans les conditions générales, l’utilisation de Facebook au traitement de des données off des utilisateurs privés résidant en Allemagne et de procéder à leur traitement sans leur consentement. Selon cette autorité, ce traitement n’est pas compatible avec le RGPD et constitue une exploitation abusive de la position dominante de Meta Platforms Ireland sur le marché des réseaux sociaux en ligne.

Le tribunal régional supérieur de Düsseldorf, saisi, a renvoyé à la CJUE une question préjudicielle afin de savoir si les autorités de la concurrence nationales pouvaient contrôler la conformité d’un traitement de données avec le RGPD.

La CJUE, après examen, estime que dans le cadre de l’examen d’un abus de position dominante d’une entreprise, une autorité de la concurrence nationale peut examiner la conformité d’un comportement d’une entreprise à des règles autres que celles relevant du droit de la concurrence telles que celles contenues dans le RGPD.

Cependant, lorsqu’une autorité de la concurrence constate une violation du règlement, elle ne peut se substituer aux autorités de contrôle prévues par le règlement. Elle doit donc se concerter et coopérer loyalement avec l’autorité en charge du respect du RGPD.

La Cour ajoute que lorsqu’une autorité de la concurrence considère qu’un comportement est contraire au RGPD, elle doit vérifier si ce comportement a déjà fait l’objet d’une décision par l’autorité de contrôle compétente ou par la CJUE. Dans l’affirmative, l’autorité de la concurrence doit la respecter, mais reste libre d’en tirer les conséquences pour l’application du droit de la concurrence.

En l’espèce, la Cour remarque que le traitement de données effectué par la société Meta Platforms Ireland est susceptible de révéler l’origine raciale ou ethnique, les opinions religieuses ou politiques ainsi que l’orientation sexuelle de l’utilisateur, ce qui est en principe interdit par le RGPD.

Le traitement de ces données dites sensibles est permis notamment si elles ont été manifestement rendues publiques par la personne concernée. Or, la CJUE estime que le seul fait qu’un utilisateur consulte des sites internet ou des applications susceptibles de révéler de telles informations ne signifie pas qu’il souhaite rendre manifestement public ces données au sens du RGPD.

La Cour s’intéresse également au traitement des données dites non sensibles qui est réalisé sans le consentement de l’utilisateur. Selon la Cour, le traitement n’est licite qu’à la condition qu’il soit objectivement indispensable. La CJUE indique que c’est au juge national de vérifier si ce critère est rempli, mais émet des doutes. Elle estime par exemple que la personnalisation de la publicité ne constitue pas un intérêt légitime pour traiter des données en l’absence de consentement préalable de l’utilisateur.

Enfin, la CJUE affirme que le fait que l’opérateur d’un réseau social en ligne soit dans une situation de position dominante sur un marché ne fait pas obstacle à ce que ses utilisateurs puissent consentir au traitement de leurs données. Il incombe à l’opérateur de prouver que cette situation de position dominante n’affecte pas la liberté de choix des utilisateurs et ne crée pas un déséquilibre manifeste entre ceux-ci et le responsable de traitement. Cette condition permet de déterminer si le consentement a été valablement donné ou non.