La Cour de justice de l’Union européenne, par un arrêt rendu le 4 octobre 2024, précise les contours de la protection des données personnelles face aux pratiques publicitaires. L’affaire concerne un utilisateur de réseau social contestant l’agrégation massive de ses informations personnelles, collectées sur diverses plateformes, à des fins de ciblage publicitaire personnalisé. La société gestionnaire du service collecte systématiquement les activités numériques des inscrits, tant sur son interface propre que sur des sites tiers partenaires, par des outils techniques. Le demandeur soutient que ce traitement viole les dispositions du règlement général sur la protection des données, notamment concernant ses centres d’intérêt et son orientation sexuelle.
Après des décisions défavorables rendues par le tribunal régional de Vienne puis le tribunal régional supérieur de Vienne, la Cour suprême d’Autriche saisit le juge européen. La juridiction de renvoi s’interroge sur la compatibilité de l’agrégation indifférenciée de données avec le principe de minimisation et sur l’effet d’une déclaration publique de l’intéressé. Le juge de l’Union répond que le droit européen s’oppose à une exploitation temporelle illimitée des données et restreint l’usage des informations sensibles malgré une divulgation volontaire.
I. L’encadrement impératif de la collecte de données par le principe de minimisation
A. Le rejet d’une exploitation globale et indifférenciée des informations
La Cour rappelle que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cette exigence constitutionnelle interdit au responsable du traitement de procéder à une collecte généralisée de données qui ne seraient pas strictement indispensables aux objectifs publicitaires poursuivis. L’agrégation de l’ensemble des informations obtenues auprès de tiers ou sur la plateforme constitue une ingérence disproportionnée dans les droits fondamentaux au respect de la vie privée. L’utilisateur ne saurait subir une surveillance continue de son comportement numérique pour le seul bénéfice de la diffusion de contenus promotionnels ciblés selon ses habitudes de consommation.
B. L’obligation de limiter temporellement la conservation des profils numériques
Le principe de responsabilité impose au gestionnaire de démontrer que la durée de stockage des informations personnelles n’excède pas le délai nécessaire à la réalisation des finalités. Une conservation illimitée dans le temps des données des inscrits à des fins de publicité ciblée est jugée excessive par rapport aux libertés garanties par le droit européen. Le responsable du traitement doit supprimer les informations dès lors que l’objectif initial est atteint, sous peine de transformer un traitement licite en une violation caractérisée du règlement. Cette limitation temporelle garantit que l’évolution de la personnalité et des intérêts de l’individu ne reste pas figée dans des algorithmes publicitaires pendant une période déraisonnablement longue.
II. La pérennité de la protection des données sensibles après une divulgation publique
A. L’interprétation étroite de l’exception liée à la publicité manifeste
Le droit de l’Union interdit par principe le traitement des données révélant l’orientation sexuelle, sauf si la personne les a « manifestement rendues publiques » par un acte positif. La Cour précise que cette dérogation doit faire l’objet d’une lecture restrictive afin de préserver l’objectif de protection élevée des libertés et des droits fondamentaux des citoyens. Si une déclaration lors d’une table ronde publique peut constituer une telle divulgation, elle n’emporte pas pour autant une renonciation totale à la protection des données sensibles. Le juge exige la vérification d’une volonté explicite de l’intéressé de rendre ses informations accessibles au grand public par un comportement dépourvu de toute ambiguïté juridique ou factuelle.
B. L’interdiction du traitement des données connexes non divulguées volontairement
Le fait de s’exprimer sur son orientation sexuelle dans un cadre précis n’autorise pas l’exploitant du réseau social à traiter d’autres informations relatives à cet aspect privé. Le responsable du traitement ne peut légalement agréger des données obtenues sur des applications tierces pour affiner un profilage sensible sans un consentement spécifique, libre et éclairé. L’exception prévue par le règlement ne saurait être étendue par analogie à des informations que l’utilisateur n’a pas lui-même choisi de porter à la connaissance de tous. La protection juridique subsiste pour toutes les données n’ayant pas fait l’objet d’une publicité manifeste, interdisant ainsi leur exploitation automatisée à des fins de marketing comportemental.
