La Cour de justice de l’Union européenne, le 4 juillet 2023, précise les liens entre droit de la concurrence et protection des données personnelles. Un exploitant de réseau social collecte massivement des données hors de sa plateforme pour les agréger aux profils de ses utilisateurs. L’autorité nationale de la concurrence, par une décision du 6 février 2019, a interdit cette pratique jugée abusive sur le marché. La société a introduit un recours contre cette interdiction devant la Cour d’appel de Düsseldorf le 11 février 2019. L’entreprise soutient que le traitement des informations est indispensable à l’exécution du contrat et à la poursuite de ses intérêts légitimes. La Cour d’appel de Düsseldorf a interrogé la Cour sur la compétence des autorités de concurrence et la licéité des méthodes de collecte. La solution rendue valide l’examen incident du règlement général tout en restreignant fortement les bases juridiques permettant un tel profilage systématique. L’analyse de l’articulation des compétences institutionnelles précède celle des limites apportées aux fondements juridiques du traitement des données par l’opérateur.
I. La reconnaissance d’une compétence d’analyse incidente et coordonnée
Le juge examine d’abord la répartition des rôles entre régulateurs avant de qualifier juridiquement la nature des informations traitées par la société.
A. La collaboration nécessaire entre autorités de régulation
Les juges admettent qu’une autorité de concurrence puisse constater une violation du règlement général sur la protection des données personnelles. Cette faculté d’examen demeure toutefois « sous réserve du respect de son obligation de coopération loyale avec les autorités de contrôle ». La constatation d’une infraction doit être strictement nécessaire pour établir l’existence d’un abus de position dominante sur un marché déterminé. L’autorité de régulation ne saurait s’écarter d’une décision antérieure rendue par l’organisme de contrôle compétent sur des faits de même nature. Ce mécanisme de concertation assure l’application cohérente du droit de l’Union tout en exigeant une qualification précise des données en cause.
B. La qualification rigoureuse des données à caractère personnel sensibles
Le traitement des données issues de la consultation de sites tiers peut « révéler des informations relevant d’une de ces catégories » sensibles. La Cour affirme que la collecte automatisée de telles informations constitue un « traitement portant sur des catégories particulières » de données protégées. Une telle opération est prohibée dès lors qu’elle permet de déduire des préférences politiques, religieuses ou des informations relatives à la santé. L’exception liée aux données manifestement rendues publiques par l’intéressé ne saurait résulter de la simple consultation d’une page internet tierce. La nature sensible des informations collectées impose ensuite d’étudier la validité des bases juridiques invoquées par le responsable du traitement des données.
II. L’encadrement strict des conditions de licéité du traitement massif
La Cour évalue la pertinence des justifications contractuelles avant de soumettre la validité du consentement à l’existence d’un véritable équilibre contractuel.
A. L’éviction des fondements contractuels et des intérêts légitimes
Le traitement n’est pas « objectivement indispensable pour réaliser une finalité faisant partie intégrante » du service de réseau social en ligne. La personnalisation publicitaire ne constitue pas une prestation dont l’absence empêcherait d’atteindre « l’objet principal du contrat » d’utilisation initialement signé. L’intérêt légitime de l’opérateur ne saurait prévaloir sur les attentes raisonnables de l’utilisateur face à une surveillance continue de sa vie. La Cour énonce que « les intérêts et les droits fondamentaux d’un tel utilisateur prévalent sur l’intérêt de cet opérateur » économique. L’impossibilité de justifier le traitement par la nécessité technique conduit à placer le consentement de l’utilisateur au centre de l’analyse juridique.
B. La protection du consentement face au déséquilibre de puissance économique
La position dominante sur le marché crée un « déséquilibre manifeste » qui affecte la validité du consentement recueilli auprès des utilisateurs. L’opérateur doit prouver que l’intéressé dispose d’une réelle liberté de choix sans subir de préjudice en cas de refus du traitement. Le consentement est « présumé ne pas avoir été donné librement » si un choix distinct n’est pas proposé pour chaque opération. Une alternative équivalente dépourvue de profilage à des fins publicitaires doit être accessible pour garantir l’autonomie de la volonté des individus. Cette solution jurisprudentielle consacre une protection renforcée de la vie privée face aux pratiques d’agrégation massive caractéristiques de l’économie numérique.
