CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. ATHANASIOS RANTOS
présentées le 20 septembre 2022 (1)
Affaire C‑252/21
Meta Platforms Inc., anciennement Facebook Inc.,
Meta Platforms Ireland Limited, anciennement Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contre
Bundeskartellamt
en présence de :
Verbraucherzentrale Bundesverband e.V.
[demande de décision préjudicielle formée par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne)]
« Renvoi préjudiciel – Règlement (UE) 2016/679 – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Réseaux sociaux – Article 4, point 11 – Notion de “consentement” de la personne concernée – Consentement donné à une entreprise responsable du traitement en position dominante – Article 6, paragraphe 1, sous b) à f) – Licéité du traitement – Traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement – Article 9, paragraphe 1, et article 9, paragraphe 2, sous e) – Catégories particulières de données à caractère personnel – Données à caractère personnel qui sont manifestement rendues publiques par la personne concernée – Articles 51 à 66 – Compétences de l’autorité nationale de la concurrence – Articulation avec les compétences des autorités de contrôle de la protection des données personnelles – Adoption de mesures au titre du droit de la concurrence par une autorité sise dans un État membre autre que celui de l’autorité chef de file pour le contrôle de la protection des données »
Introduction
1. La présente demande de décision préjudicielle a été introduite par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) dans le cadre d’un litige opposant des sociétés du groupe Meta Platforms (2) au Bundeskartellamt (autorité fédérale de la concurrence, Allemagne), au sujet de la décision par laquelle ce dernier a interdit au requérant au principal le traitement des données prévu par les conditions de service de son réseau social Facebook ainsi que la mise en œuvre de ces conditions de service et a imposé des mesures visant à la cessation de ces activités (3).
2. Les questions préjudicielles concernent, pour l’essentiel, d’une part, la compétence d’une autorité nationale de la concurrence, telle que le Bundeskartellamt, d’examiner, à titre principal ou incident, des comportements d’une entreprise à la lumière de certaines dispositions du règlement (UE) 2016/679 (4) et, d’autre part, l’interprétation de celles-ci s’agissant, notamment, du traitement de données à caractère personnel sensibles, des conditions pertinentes de la licéité du traitement des données à caractère personnel et de la manifestation d’un consentement libre à l’égard d’une entreprise en position dominante.
Le cadre juridique
Le droit de l’Union
3. L’article 4 du RGPD prévoit :
« Aux fins du présent règlement, on entend par :
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
[...] »
4. L’article 6, paragraphe 1, de ce règlement, intitulé « Licéité du traitement », est libellé comme suit :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ;
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »
5. L’article 9, paragraphes 1 et 2, dudit règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
[...]
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
[...] »
6. L’article 51 du même règlement, intitulé « Autorité de contrôle », qui fait partie du chapitre VI de celui-ci, lui-même intitulé « Autorités de contrôle indépendantes », énonce :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union [...]
2. Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.
[...] »
Le droit allemand
7. L’article 19, paragraphe 1, du Gesetz gegen Wettbewerbsbeschränkungen (loi contre les restrictions à la concurrence, ci-après le « GWB ») dispose :
« L’exploitation abusive d’une position dominante sur le marché par une ou plusieurs entreprises est interdite. » (5)
8. L’article 50f du GWB prévoit :
« (1) Les autorités de concurrence, les autorités de régulation, le responsable fédéral de la protection des données et de la liberté de l’information, les responsables régionaux de la protection des données ainsi que les autorités compétentes au sens de l’article 2 de l’EU‑Verbraucherschutzdurchführungsgesetz [loi sur la mise en œuvre du droit de la protection des consommateurs de l’Union européenne] peuvent, indépendamment de la procédure choisie, échanger entre eux des informations, y compris des données à caractère personnel et des secrets commerciaux et d’affaires, dans la mesure où cela est nécessaire à l’accomplissement de leurs missions respectives ainsi qu’utiliser ces informations dans le cadre de leurs procédures. [...] »
Le litige au principal, les questions préjudicielles et la procédure devant la Cour
9. Meta Platforms gère l’offre du réseau social en ligne « Facebook » dans l’Union européenne (à l’adresse www.facebook.com), ainsi que d’autres services en ligne, parmi lesquels Instagram et WhatsApp. Le modèle économique des réseaux sociaux gérés par Meta Platforms consiste essentiellement, d’une part, à offrir des services de réseau social gratuits pour les utilisateurs privés et, d’autre part, à vendre de la publicité en ligne, faite sur mesure pour les utilisateurs individuels du réseau social et qui vise à montrer à l’utilisateur les produits et les services qui pourraient l’intéresser en raison, notamment, de ses attitudes personnelles de consommation, de ses intérêts, de son pouvoir d’achat et de sa situation personnelle. Le fondement technique de ce type de publicité est l’établissement automatisé de profils très détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe (6).
10. En vue de la collecte et du traitement des données des utilisateurs, Meta Platforms se fonde sur le contrat d’utilisation conclu avec ses utilisateurs par l’activation du bouton « s’inscrire », par laquelle ces utilisateurs acceptent ainsi les conditions de service de Facebook. L’acceptation de ces conditions de service est une condition essentielle pour l’utilisation du réseau social Facebook (7). L’élément au cœur de la présente affaire porte sur la pratique consistant, premièrement, en la collecte de données issues d’autres services propres au groupe, ainsi que de sites Internet et d’applications tierces, à travers des interfaces intégrées à ces derniers ou à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur, deuxièmement, en la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné et, troisièmement, en l’utilisation desdites données (ci-après la « pratique litigieuse »).
11. Le Bundeskartellamt a engagé une procédure à l’encontre de Meta Platforms à la suite de laquelle, par la décision litigieuse, il a interdit à celui-ci le traitement des données prévu par les conditions de service de Facebook ainsi que la mise en œuvre de ces conditions et lui a imposé des mesures visant à la cessation de ces activités. Le Bundeskartellamt a motivé sa décision notamment par le fait que le traitement en question constituait une exploitation abusive de la position dominante de cette société sur le marché des réseaux sociaux pour les utilisateurs privés en Allemagne, au sens de l’article 19 du GWB (8).
12. Le 11 février 2019, Meta Platforms a formé un recours contre la décision litigieuse devant l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) (9), la juridiction de renvoi, lequel nourrit, en substance, des doutes, d’une part, quant à la possibilité pour des autorités nationales de la concurrence de contrôler la conformité d’un traitement de données avec les exigences formulées dans le RGPD, ainsi que de constater et de sanctionner la violation des dispositions de celui-ci et, d’autre part, quant à l’interprétation et à l’application de certaines dispositions de ce règlement.
13. C’est dans ces conditions que l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) a) Est-il compatible avec les articles 51 et suivants du [RGPD] qu’une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD, dans une situation où une entreprise établie en dehors de l’Union européenne possède, dans ledit État membre, une succursale qui assiste, dans le domaine de la publicité, de la communication et des relations publiques, l’établissement principal de cette entreprise qui se trouve dans un autre État membre et qui est le responsable à titre exclusif pour le traitement des données à caractère personnel pour l’ensemble du territoire de l’Union européenne, constate, dans le cadre du contrôle des pratiques abusives au regard du droit de la concurrence, une violation du RGPD par des conditions contractuelles de l’établissement principal concernant le traitement des données, ainsi que par la mise en œuvre de ces conditions, et ordonne la cessation de cette infraction ?
b) Dans l’affirmative, est-il compatible avec l’article 4, paragraphe 3, TUE que l’autorité de contrôle chef de file, dans l’État membre de l’établissement principal, soumette, conformément à l’article 56, paragraphe 1, du RGPD, les conditions contractuelles de ce dernier concernant le traitement des données à une procédure d’examen ?
En cas de réponse affirmative à la première question :
2) a) Lorsqu’un utilisateur d’Internet soit consulte simplement des sites Internet ou des applications en rapport avec les critères de l’article 9, paragraphe 1, du RGPD, tels que des applications de flirt, des applications de rencontres pour homosexuels, des sites Internet de partis politiques, des sites Internet ayant trait à la santé, soit y insère des données, par exemple en s’inscrivant ou en effectuant des commandes, et qu’une autre entreprise, telle que Facebook Ireland, collecte, à travers des interfaces intégrées telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires, les données concernant la consultation de ces sites Internet et applications par l’utilisateur et les données insérées par ce dernier, les met en relation avec les données du compte [Facebook] de l’utilisateur et les utilise, cette collecte et/ou cette mise en relation et/ou cette utilisation constituent-elles un traitement de données [à caractère personnel] sensibles au sens de cette disposition ?
b) Dans l’affirmative, en consultant ces pages Internet et applications et/ou en insérant des données et/ou en activant des boutons de sélection d’un opérateur comme Facebook Ireland, intégrés dans ces sites Internet ou applications (« plugins sociaux » tels que « J’aime », « partager » ou « login Facebook » ou « Account Kit »), l’utilisateur rend-il manifestement publiques les données concernant la consultation en tant que telle et/ou les données qu’il a insérées, au sens de l’article 9, paragraphe 2, sous e), du RGPD ?
3) Une entreprise comme Facebook Ireland, qui exploite un réseau social financé par la publicité et qui propose, dans ses conditions de service, la personnalisation des contenus et de la publicité, la sécurité du réseau, l’amélioration du produit ainsi que l’utilisation homogène et fluide de tous les produits propres au groupe, peut-elle se prévaloir de la justification tirée du caractère nécessaire à l’exécution du contrat, conformément à l’article 6, paragraphe 1, sous b), du RGPD, ou de la prise en compte d’intérêts légitimes, conformément à l’article 6, paragraphe 1, sous f), du RGPD, lorsqu’elle collecte, met en relation avec le compte [Facebook] de l’utilisateur et utilise, à ces fins, des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?
4) En pareil cas
– le fait que l’utilisateur soit mineur, aux fins de la personnalisation des contenus et de la publicité, de l’amélioration du produit, de la sécurité du réseau et de la communication non commerciale avec l’utilisateur,
– la mise à la disposition des annonceurs, des développeurs et autres partenaires de mesures, d’analyses et d’autres services professionnels, afin qu’ils puissent évaluer leurs prestations et les améliorer,
– la mise à disposition d’une communication commerciale avec l’utilisateur, afin que l’entreprise puisse améliorer ses produits et effectuer une promotion commerciale directe,
– la recherche et l’innovation pour des finalités sociales, en vue de promouvoir l’état de la technique et la compréhension scientifique à l’égard de thématiques sociales importantes et en vue d’influencer positivement la société et le monde,
– l’information des autorités compétentes pour l’exercice de poursuites pénales et pour l’exécution de peines, et la réponse à des demandes légales visant à éviter, découvrir et poursuivre des infractions, des violations des conditions de service et des politiques ainsi que d’autres comportements nuisibles,
peuvent-ils également constituer un intérêt légitime au sens de l’article 6, paragraphe 1, sous f), du RGPD, lorsque l’entreprise, à cet effet, collecte, met en relation avec le compte [Facebook] de l’utilisateur et utilise des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?
5) En pareil cas, la collecte de données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, la mise en relation avec le compte [Facebook] de l’utilisateur et l’utilisation de ces données ou bien l’utilisation de données déjà autrement et légalement collectées et mises en relation peuvent-elles, le cas échéant, également être justifiées au titre de l’article 6, paragraphe 1, sous c), d) et e), du RGPD, par exemple en vue de répondre à une demande juridiquement valable de fournir certaines données [sous c)], en vue de lutter contre des comportements nuisibles et de promouvoir la sécurité [sous d)], aux fins de la recherche pour le bien de la société et en vue de promouvoir la protection, l’intégrité et la sécurité [sous e)] ?
6) Un consentement valable et libre, notamment au sens de l’article 4, point 11, du RGPD, peut-il être donné à une entreprise ayant une position dominante sur le marché, telle que Facebook Ireland, conformément à l’article 6, paragraphe 1, sous a), et à l’article 9, paragraphe 2, sous a), du RGPD ?
En cas de réponse négative à la première question :
7) a) Une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD et qui examine une violation de l’interdiction des pratiques abusives en matière de droit de la concurrence commise par une entreprise ayant une position dominante sur le marché et ne consistant pas en une violation du RGPD par ses conditions de traitement des données et par la mise en œuvre de celles-ci, peut-elle établir, par exemple dans le cadre de la mise en balance des intérêts, si les conditions de traitement des données de l’entreprise en question et leur mise en œuvre sont conformes au RGPD ?
b) Si oui : cela s’applique-t-il, eu égard à l’article 4, paragraphe 3, TUE, également lorsque, en même temps, les conditions de traitement des données de cette même entreprise sont soumises à une procédure d’examen par l’autorité de contrôle chef de file compétente en vertu de l’article 56, paragraphe 1, du RGPD ?
En cas de réponse affirmative à la question 7, il est nécessaire de répondre aux questions 3 à 5 en ce qui concerne les données issues de l’utilisation du service Instagram propre à l’entreprise. »
14. Des observations écrites ont été déposées par Meta Platforms, les gouvernements allemand, tchèque, italien et autrichien, le Bundeskartellamt, le Verbraucherzentrale Bundesverband e.V. (association de consommateurs, Allemagne), ainsi que par la Commission européenne. Ces parties ont également présenté des observations orales lors de l’audience de plaidoiries qui s’est tenue le 10 mai 2022.
Analyse
15. Les questions préjudicielles qui font l’objet de la présente affaire, relatives à l’interprétation de plusieurs dispositions du RGPD, concernent, pour l’essentiel, premièrement, la compétence d’une autorité de la concurrence pour constater et sanctionner une violation des règles en matière de traitement de données à caractère personnel et ses obligations de coopération avec l’autorité chef de file au sens du RGPD (première et septième questions préjudicielles), deuxièmement, l’interdiction du traitement de données à caractère personnel sensibles et les conditions applicables au consentement à leur utilisation (deuxième question préjudicielle), troisièmement, la licéité du traitement des données à caractère personnel à la lumière de certaines justifications (troisième à cinquième questions préjudicielles) et, quatrièmement, la validité d’un consentement au traitement des données à caractère personnel donné à une entreprise en position dominante (sixième question préjudicielle).
16. Dans les points suivants, je traiterai les première et septième questions préjudicielles d’abord et, ensuite, les autres questions préjudicielles, dans l’ordre dans lequel elles ont été posées, en regroupant les troisième à cinquième questions préjudicielles.
Sur la première question préjudicielle
17. Par sa première question préjudicielle, la juridiction de renvoi demande, en substance, si, lorsqu’elle poursuit des infractions aux règles de concurrence, une autorité de la concurrence peut, d’une part, se prononcer, à titre principal (10), sur la violation des règles relatives au traitement de données du RGPD par une entreprise dont l’établissement principal responsable à titre exclusif du traitement des données à caractère personnel pour l’ensemble de l’Union se trouve dans un autre État membre et, d’autre part, ordonner la cessation de cette infraction [première question, sous a)] et, dans l’affirmative, si l’autorité de contrôle chef de file compétente en vertu de l’article 56, paragraphe 1, du RGPD peut encore soumettre à une procédure d’examen les conditions de traitement des données de cette entreprise [première question, sous b)].
18. Néanmoins, sous réserve de vérification par la juridiction de renvoi, il me semble que, dans la décision litigieuse, le Bundeskartellamt n’a pas sanctionné une violation du RGPD par Meta Platforms, mais a procédé, aux seules fins de l’application des règles de concurrence, à l’examen d’une violation alléguée de l’interdiction d’abus de position dominante par celle-ci en tenant compte, entre autres, de la non-conformité du comportement de cette entreprise aux dispositions du RGPD.
19. Partant, à mon avis, dans la mesure où elle concerne la possibilité pour une autorité de la concurrence de se prononcer, à titre principal, sur la violation des règles du RGPD et d’ordonner la cessation de cette infraction au sens de ce règlement, la première question, sous a), est inopérante (11).
20. Il s’ensuit que la première question, sous b), qui est subordonnée à la réponse affirmative à la première question, sous a), est également inopérante (12).
Sur la septième question préjudicielle
21. Par sa septième question préjudicielle, la juridiction de renvoi demande, en substance, si une autorité de la concurrence peut, lorsqu’elle poursuit des infractions aux règles de concurrence, établir, à titre incident (13), si les conditions de traitement des données et leur mise en œuvre sont conformes au RGPD [septième question, sous a)] et, dans l’affirmative, si un examen par l’autorité de la concurrence est également possible lorsque ces conditions sont soumises, en même temps, à une procédure d’examen par l’autorité de contrôle chef de file compétente [septième question, sous b)].
22. En ce qui concerne, en premier lieu, la septième question sous a), il me semble que si une autorité de la concurrence n’est pas compétente pour constater une violation du RGPD (14), ce dernier ne s’oppose pas, en principe, à ce que, dans l’exercice de leurs propres compétences et pouvoirs, d’autres autorités que les autorités de contrôle puissent tenir compte, à titre incident, de la compatibilité d’un comportement avec les dispositions du RGPD. Cela est notamment le cas, à mon avis, en ce qui concerne l’exercice par une autorité de la concurrence des pouvoirs qui lui sont conférés par l’article 102 TFUE et par l’article 5, premier alinéa, du règlement (CE) no 1/2003 (15) ou par toute autre norme nationale correspondante (16).
23. En effet, lors de l’exercice de ses compétences, une autorité de la concurrence doit apprécier, notamment, si le comportement examiné consiste à avoir recours à des moyens autres de ceux qui relèvent d’une concurrence par les mérites, compte tenu du contexte juridique et économique dans lequel s’inscrit ce comportement (17). À cet égard, la conformité ou la non-conformité dudit comportement aux dispositions du RGPD, non en lui-même, mais compte tenu de toutes les circonstances de l’espèce, peut constituer un indice important pour établir si ce comportement constitue un recours à des moyens qui gouvernent une compétition normale, tout en étant précisé que le caractère abusif ou non abusif d’un comportement au regard de l’article 102 TFUE ne ressort pas de sa conformité ou de son absence de conformité avec le RGPD ou avec d’autres règles juridiques (18).
24. Partant, j’estime que l’examen d’un abus d’une position dominante sur le marché peut justifier qu’une autorité de la concurrence interprète des normes ne relevant pas du droit de la concurrence, telles que celles du RGPD (19), tout en précisant qu’un tel examen est effectué de manière incidente (20) et ne préjuge pas de l’application faite par des autorités de contrôle compétentes de ce règlement (21).
25. S’agissant, en second lieu, de la septième question, sous b), la juridiction de renvoi soulève la question de savoir quelles sont, dans le cadre de l’application du principe de coopération loyale inscrit à l’article 4, paragraphe 3, TUE, les obligations qu’a, à l’égard de l’autorité de contrôle chef de file compétente au sens du RGPD, une autorité de la concurrence lorsqu’elle interprète des dispositions de ce règlement et, plus précisément, lorsque le même comportement que celui qui est examiné par l’autorité de la concurrence fait l’objet d’un examen de la part de l’autorité de contrôle chef de file compétente.
26. En l’espèce, l’examen, bien qu’incident, d’un comportement d’une entreprise à la lumière des normes du RGPD par une autorité de la concurrence comporte le risque de divergences entre celle-ci et les autorités de contrôle quant à l’interprétation de ce règlement, ce qui est, en principe, susceptible de porter atteinte à l’interprétation uniforme du RGPD (22).
27. Le droit de l’Union ne prévoit pas de règles détaillées quant à la coopération entre une autorité de la concurrence et les autorités de contrôle au sens du RGPD dans une telle situation. Plus particulièrement, ni le mécanisme de coopération entre les autorités compétentes au sens du RGPD lors de l’application de celui-ci (23) ni d’autres règles précises sur la coopération entre des autorités administratives, telles que celles relatives à la coopération entre les autorités de la concurrence et à la coopération entre celles-ci et la Commission lors de l’application des règles de concurrence (24) ne sont applicables en l’espèce.
28. Cela dit, lorsqu’elle interprète le RGPD, une autorité de la concurrence est néanmoins tenue par le principe de coopération loyale consacré à l’article 4, paragraphe 3, TUE, en vertu duquel l’Union et les États membres, y compris leurs autorités administratives (25), se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des traités. En particulier, le troisième alinéa de cette disposition prévoit que les États membres facilitent l’accomplissement par l’Union de sa mission et s’abstiennent de toute mesure susceptible de mettre en péril la réalisation des objectifs de l’Union (26). En outre, à l’instar de toute autorité administrative chargée de l’application du droit de l’Union, une autorité de la concurrence est tenue par le principe de bonne administration en tant que principe général du droit de l’Union, qui inclut notamment une obligation étendue de diligence et de sollicitude à la charge des autorités nationales (27).
29. Ainsi, en l’absence de règles précises quant aux mécanismes de coopération, qu’il incombe éventuellement au législateur de l’Union d’adopter, une autorité de la concurrence, lorsqu’elle interprète des dispositions du RGPD, est soumise, à tout le moins, à des obligations d’information, de renseignement et de coopération à l’égard des autorités compétentes au sens de ce règlement, en application des normes nationales qui règlent ses compétences (principe de l’autonomie procédurale des États membres) et dans le respect des principes d’équivalence et d’effectivité (28).
30. Il s’ensuit, à mon avis, que, lorsque l’autorité de contrôle chef de file compétente s’est prononcée sur l’application de certaines dispositions du RGPD à l’égard d’une pratique identique ou similaire, l’autorité de la concurrence ne pourra pas, en principe, s’écarter de l’interprétation de cette autorité, qui est seule compétente pour l’application de ce règlement (29), et devra, dans la mesure du possible et dans le respect, notamment, des droits de la défense des personnes concernées, se conformer aux éventuelles décisions adoptées par celle-ci concernant le même comportement (30) et, en cas de doutes dans le cas d’espèce sur l’interprétation donnée par l’autorité compétente, la consulter ou, le cas échéant, lorsque celle-ci se trouve dans un autre État membre, consulter l’autorité de contrôle nationale (31).
31. En outre, en l’absence d’une décision de l’autorité de contrôle compétente, il incombe néanmoins à l’autorité de la concurrence d’informer celle-ci (32) et de coopérer avec elle lorsque cette autorité a entamé l’examen de la même pratique ou a manifesté l’intention de le faire, et éventuellement d’attendre l’issue de l’examen effectué par cette dernière avant d’entamer sa propre appréciation, dans la mesure où cela est approprié et ne préjuge pas notamment du respect, par l’autorité de la concurrence, d’un délai d’enquête raisonnable et des droits de la défense des personnes concernées (33).
32. En l’espèce, il me semble que le fait d’avoir entamé une coopération avec les autorités de contrôle responsables au niveau national (34) et d’avoir également contacté, de façon informelle, l’autorité de contrôle chef de file irlandaise, circonstances évoquées par le Bundeskartellamt et qu’il appartient à la juridiction de renvoi de vérifier, peut suffire pour en conclure que cette autorité a rempli ses obligations de diligence et de coopération loyale (35).
33. En conclusion, je propose de répondre à la septième question préjudicielle que les articles 51 à 66 du RGPD doivent être interprétés en ce sens qu’une autorité de la concurrence, dans le cadre de ses pouvoirs au sens des règles en matière de concurrence, peut examiner, à titre incident, la conformité des pratiques examinées avec les règles du RGPD, tout en tenant compte de toute décision ou enquête de l’autorité de contrôle compétente au titre du RGPD et en informant l’autorité de contrôle nationale et, le cas échéant, en la consultant.
Sur la deuxième question préjudicielle
34. Par sa deuxième question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 9, paragraphe 1, du RGPD doit être interprété en ce sens que la pratique litigieuse, lorsqu’elle concerne la consultation de pages Internet et d’applications tierces (36), relève du traitement de données à caractère personnel sensibles énumérées (37), qui est interdit (38) [deuxième question, sous a)] et, dans l’affirmative, si l’article 9, paragraphe 2, point e), de ce règlement doit être interprété en ce sens qu’un utilisateur rend manifestement publiques au sens de cette disposition les données qui sont, d’une part, révélées en consultant des pages Internet et des applications ou, d’autre part, celles qui sont insérées par ou qui résultent de l’activation de boutons de sélection intégrés dans ces pages Internet ou applications (39) [deuxième question, sous b)].
35. En ce qui concerne, en premier lieu, la deuxième question, sous a), je rappelle que, en vertu de l’article 9, paragraphe 1, du RGPD, le traitement des données à caractère personnel sensibles est interdit. La protection particulière de ces données est motivée, comme il ressort du considérant 51 de ce règlement, par le fait qu’elles sont, par nature, particulièrement sensibles du point de vue des libertés fondamentales et des droits fondamentaux et que leur traitement pourrait engendrer des risques importants pour ces libertés et ces droits. En outre, en dépit du caractère quelque peu obscur du libellé de cette disposition (40), il ne me semble pas que, comme le suppose la juridiction de renvoi, elle introduise une différence substantielle entre des données personnelles qui sont sensibles parce qu’elles « révèlent » une certaine situation et des données qui sont sensibles en elles-mêmes (41).
36. En l’espèce, il est à mon avis évident que la pratique litigieuse constitue un traitement de données à caractère personnel qui est, en principe, susceptible d’entrer dans le champ d’application de cette disposition et d’être interdit, lorsque les données traitées « révèlent » l’une des situations sensibles énumérées par celle-ci. Il convient donc d’établir si et dans quelle mesure la consultation de sites Internet et d’applications ou l’insertion de données sur ceux-ci peuvent être « révélatrices » d’une des situations sensibles visées par la disposition en question.
37. À cet égard, je doute qu’il soit pertinent (et toujours possible) de distinguer entre, d’une part, un simple intérêt de la personne concernée pour certaines informations et, d’autre part, l’appartenance de celle-ci à une des catégories visées par la disposition en question (42). Si les positions des parties au principal sont opposées à cet égard (43), j’estime qu’une réponse à cette question ne peut qu’être recherchée au cas par cas et au regard de chacune des activités composant la pratique litigieuse.
38. Si, ainsi que le relève le gouvernement allemand, la simple collecte de données à caractère personnel sensibles relatives à la consultation d’un site Internet ou d’une application n’est pas, à elle seule, nécessairement un traitement de données à caractère personnel sensibles au sens de cette disposition (44), la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné ou leur utilisation sont des comportements qui, en revanche, pourraient plus facilement être susceptibles de constituer un tel traitement. L’élément décisif aux fins de l’application de l’article 9, paragraphe 1, du RGPD est, à mon avis, la possibilité que les données traitées permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération des données à caractère personnel sensibles effectuée par cette disposition (45).
39. Dans ce contexte, pour pouvoir déterminer si un traitement de données entre dans le champ d’application de cette disposition, il pourrait être utile de distinguer, le cas échéant, d’une part, le traitement des données qui peuvent être prima facie classées dans la catégorie des données à caractère personnel sensibles et qui permettent à elles seules un profilage de la personne concernée et, d’autre part, le traitement des données qui ne sont pas elles-mêmes sensibles, mais qui requièrent une activité ultérieure de regroupement afin de tirer des conclusions plausibles pour le profilage de la personne concernée.
40. Cela étant, il convient de préciser que l’existence d’une catégorisation au sens de cette disposition est indépendante de la question de savoir si cette catégorisation est vraie ou correcte (46). Ce qui compte est la possibilité qu’une telle catégorisation engendre un risque important pour les libertés fondamentales et les droits fondamentaux de la personne concernée, ainsi que cela est rappelé au considérant 51 du RGPD, possibilité qui est indépendante de sa véracité.
41. S’agissant, enfin, de la demande de la juridiction de renvoi visant à savoir si le but de l’utilisation est pertinent aux fins de l’appréciation en question (47), j’estime, contrairement à ce que soutient le requérant au principal, que, en principe, il n’est pas requis que le responsable du traitement traite ces données « en sachant et en ayant l’intention d’en tirer directement des catégories particulières d’informations ». En effet, l’objectif de la disposition en question est, en substance, de prévenir, de façon objective, des risques importants pour les libertés fondamentales et les droits fondamentaux des personnes concernées, engendrés par le traitement des données à caractère personnel sensibles, indépendamment de tout élément subjectif tel que l’intention du responsable du traitement.
42. En ce qui concerne, en second lieu, la deuxième question, sous b), je rappelle que, en vertu de l’article 9, paragraphe 2, sous e), du RGPD, l’interdiction du traitement de données à caractère personnel sensibles ne s’applique pas si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée. En outre, la référence, dans le libellé de cette disposition, à l’adverbe « manifestement » et le fait que ladite disposition constitue une exception au principe d’interdiction du traitement des données à caractère personnel sensibles (48) imposent une application particulièrement stricte de cette exception, en raison des risques importants pesant sur les droits fondamentaux et les libertés fondamentales des personnes concernées (49). Pour que cette exception puisse s’appliquer, l’utilisateur doit avoir, à mon avis, pleine conscience que, par un acte explicite (50), il rend publiques des données à caractère personnel (51).
43. En l’espèce, il me semble qu’un comportement consistant en la consultation de sites Internet et d’applications, en l’insertion de données dans ces sites et ces applications et en l’activation de boutons de sélection intégrés dans ceux-ci ne peut pas, en principe, être assimilé à un comportement qui rend manifestement publiques les données à caractère personnel sensibles de l’utilisateur au sens de l’article 9, paragraphe 2, sous e), du RGPD.
44. Plus particulièrement, je relève, que, en principe, la consultation de sites Internet et d’applications ne rend les données de consultation accessibles qu’au gestionnaire de la page Internet ou de l’application en question et aux tiers auxquels celui-ci transmet ces informations, tel que le requérant au principal (52). De même, si, par l’insertion de données dans des sites Internet et des applications, la personne concernée pourrait donner, de façon directe et volontaire, des informations sur certaines données à caractère personnel sensibles, je note également que ces informations ne sont accessibles qu’au gestionnaire du site ou de l’application en question et aux tiers auxquels celui-ci transmet lesdites informations. J’exclus donc que de tels comportements puissent témoigner de la volonté de rendre ces données disponibles à la collectivité (53). En outre, s’il est évident que, par l’activation de boutons de sélection intégrés dans des sites Internet ou des applications (54), la personne concernée exprime clairement la volonté de partager certaines informations avec un public externe au site Internet ou à l’application en question, je suis d’avis que, comme le souligne le Bundeskartellamt, par ce comportement, la personne en question est consciente de partager des informations avec un cercle déterminé de personnes, souvent défini par l’utilisateur lui-même (55), et non avec la collectivité (56).
45. S’agissant, enfin, de la pertinence d’un éventuel consentement donné par l’utilisateur au sens de l’article 5, paragraphe 3, de la directive 2002/58 à ce que des données personnelles puissent être collectées au moyen de témoins de connexion (cookies) ou de technologies similaires, évoqué par la juridiction de renvoi, j’estime que ce consentement, au vu de son objectif spécifique, ne peut, à lui seul, justifier le traitement de données à caractère personnel sensibles collectées par ces moyens (57). En effet, ledit consentement, nécessaire pour l’installation d’un moyen technique de captation de certaines activités de l’utilisateur (58), ne concerne pas le traitement des données à caractère personnel sensibles et ne peut être assimilé à la volonté de rendre manifestement publiques ces données au sens de l’article 9, paragraphe 2, sous e), du RGPD (59).
46. En conclusion, je propose de répondre à la deuxième question préjudicielle que, d’une part, l’article 9, paragraphe 1, du RGPD doit être interprété en ce sens que l’interdiction de traitement des données à caractère personnel sensibles peut inclure le traitement de données effectué par un opérateur d’un réseau social en ligne consistant en la collecte des données d’un utilisateur lorsqu’il consulte d’autres sites Internet ou applications ou y insère ces données, la mise en relation desdites données avec le compte utilisateur du réseau social et leur utilisation, pourvu que les informations traitées, individuellement considérées ou regroupées, permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération par cette disposition des données à caractère personnel sensibles et que, d’autre part, l’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens qu’un utilisateur ne rend pas manifestement publiques des données du fait que celles-ci ont été révélées en consultant des pages Internet et des applications ou ont été insérées dans ces pages Internet ou applications ou qu’elles résultent de l’activation de boutons de sélection intégrés dans celles-ci.
Sur les troisième à cinquième questions préjudicielles
47. Par ses troisième à cinquième questions préjudicielles, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, sous b), c), d), e) et f), du RGPD doit être interprété en ce sens que la pratique litigieuse (60) entre dans le champ d’application d’une des justifications prévues par ces dispositions, et plus particulièrement :
– le caractère nécessaire à l’exécution du contrat (61) ou la prise en compte d’intérêts légitimes (62), compte tenu du fait que Meta Platforms exploite un réseau social financé par la publicité et qui propose, dans ses conditions de service, la personnalisation des contenus et de la publicité, la sécurité du réseau, l’amélioration du produit ainsi que l’utilisation homogène et fluide de tous les produits propres au groupe (troisième question préjudicielle) ;
– la prise en compte de ces intérêts légitimes (63) dans le contexte de certains situations (64) (quatrième question préjudicielle) ;
– la nécessité de répondre à une demande juridiquement valable de fournir certaines données (65), la nécessité de lutter contre des comportements nuisibles et de promouvoir la sécurité (66) ou des fins de recherche pour le bien de la société et la nécessité de promouvoir la protection, l’intégrité et la sécurité (67) (cinquième question préjudicielle).
48. À titre liminaire, nonobstant quelques interrogations quant à la recevabilité des quatrième et cinquième questions préjudicielles (68), je propose de répondre conjointement aux troisième à cinquième questions préjudicielles, dans la mesure où les indications que je fournirai ci-après, principalement à l’égard de la troisième question préjudicielle, pourront être également utiles à la juridiction de renvoi lors de l’application des dispositions qui font l’objet des quatrième et cinquième questions préjudicielles.
49. À titre principal, je relève que, conformément à l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base d’un fondement légitime prévu par la loi. À cet égard, l’article 6, paragraphe 1, du RGPD précise que le traitement de ces données n’est licite que si l’une des six conditions énoncées par cette disposition est remplie (69).
50. En l’espèce, tout d’abord, j’estime que les troisième à cinquième questions préjudicielles appellent une analyse détaillée, au cas par cas, des différentes clauses des conditions de service Facebook dans le contexte de la pratique litigieuse, car il n’est pas possible d’établir si, à l’égard de cette pratique, « une entreprise comme [Meta Platforms] » peut se prévaloir, dans sa globalité, de toutes les (ou de certaines des) justifications inscrites à l’article 6, paragraphe 1, du RGPD, même s’il ne saurait être exclu que ladite pratique ou certaines de ses activités puissent, dans certains cas, entrer dans le champ d’application de cet article (70).
51. Ensuite, le traitement envisagé par les dispositions citées est effectué, en l’espèce, sur le fondement des conditions générales du contrat imposées par le responsable du traitement, en l’absence du consentement de la personne concernée (71), voire contre sa volonté, ce qui appelle, selon moi, une interprétation stricte des justifications en question, notamment afin d’éviter un contournement de la condition du consentement (72).
52. Enfin, je rappelle que, conformément à l’article 5, paragraphe 2, du RGPD, c’est sur le responsable du traitement que pèse la charge de la preuve que les données à caractère personnel sont traitées selon la norme de ce règlement et que, conformément à l’article 13, paragraphe 1, sous c), dudit règlement, il incombe au responsable du traitement des données à caractère personnel de préciser les finalités du traitement auquel sont destinées les données ainsi que la base juridique du traitement.
Sur la troisième question préjudicielle
53. En premier lieu, selon l’article 6, paragraphe 1, sous b), du RGPD, le traitement de données à caractère personnel est licite dans la mesure où il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (73).
54. À cet égard, je rappelle que la notion de « nécessité » n’est pas définie dans la législation de l’Union, mais constitue néanmoins, selon la jurisprudence, une notion autonome du droit de l’Union (74). Pour que le traitement soit nécessaire à l’exécution du contrat, il ne suffit pas qu’il soit effectué à l’occasion de l’exécution du contrat, qu’il soit mentionné dans le contrat (75) ou même qu’il soit simplement utile à l’exécution du contrat (76). Selon la jurisprudence de la Cour, le traitement doit être objectivement nécessaire à l’exécution du contrat en ce sens qu’il ne doit pas exister d’autres solutions réalistes et moins intrusives (77), compte tenu également des attentes raisonnables de la personne concernée (78). Cela comporte également le fait que, lorsque le contrat consiste en plusieurs services ou éléments distincts d’un même service qui peuvent être exécutés indépendamment les uns des autres, l’applicabilité de l’article 6, paragraphe 1, sous b), du RGPD devrait être évaluée dans le contexte de chacun de ces services séparément (79).
55. Dans le cadre de cette justification, la juridiction de renvoi mentionne la personnalisation des contenus et l’utilisation homogène et fluide des produits (ou plutôt des services) propres au groupe.
56. En ce qui concerne la personnalisation des contenus, il me semble que si une telle activité peut, dans une certaine mesure, être dans l’intérêt de l’utilisateur, en ce qu’elle permet de présenter, notamment dans le « fil d’actualité », des contenus qui, conformément à une évaluation automatisée, correspondent aux intérêts de l’utilisateur, il n’est pas évident qu’elle soit également nécessaire à la prestation du service du réseau social en cause, de telle sorte que le traitement des données à caractère personnel à ces fins ne requiert pas le consentement de cet utilisateur (80). Aux fins de cet examen, il conviendrait également de tenir compte de ce que la pratique litigieuse vise le traitement non pas de données relatives au comportement de l’utilisateur à l’intérieur de la page ou de l’application Facebook, mais de données provenant de sources extérieures et donc potentiellement illimitées. Je me demande donc dans quelle mesure ce traitement pourrait correspondre aux attentes d’un utilisateur moyen et, plus généralement, quel est le « degré de personnalisation » auquel celui-ci peut s’attendre du service dans lequel il s’enregistre (81).
57. En ce qui concerne l’utilisation homogène et fluide des services propres au groupe, j’observe qu’un lien entre les différents services offerts par le requérant au principal, par exemple entre Facebook et Instagram, peut, certes, être utile à l’utilisateur, ou même parfois souhaité par ce dernier. Toutefois, je doute qu’un traitement des données à caractère personnel issues d’autres services du groupe (notamment d’Instagram) soit nécessaire à la prestation des services Facebook (82).
58. En second lieu, selon l’article 6, paragraphe 1, sous f), du RGPD, le traitement de données à caractère personnel est licite dans la mesure où il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
59. Selon la jurisprudence de la Cour, la disposition en question prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits fondamentaux et les libertés fondamentales de la personne concernée par la protection des données ne prévalent pas (83).
60. S’agissant, tout d’abord, de la poursuite d’un intérêt légitime, je rappelle que le RGPD et la jurisprudence reconnaissent un large éventail d’intérêts considérés comme étant légitimes (84), tout en précisant que, conformément à l’article 13, paragraphe 1, sous d), du RGPD, il incombe au responsable du traitement d’indiquer les intérêts légitimes poursuivis dans le cadre de l’article 6, paragraphe 1, point f), du RGPD (85).
61. S’agissant, ensuite, de la condition relative à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, selon la jurisprudence de la Cour, les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (86). Il faut donc qu’il y ait un lien étroit entre le traitement et l’intérêt poursuivi, en l’absence d’alternatives plus respectueuses de la protection des données à caractère personnel, car il ne suffit pas que le traitement relève d’une simple utilité pour le responsable du traitement.
62. S’agissant, enfin, de la mise en balance, d’une part, des intérêts du responsable du traitement et, d’autre part, des intérêts ou des libertés fondamentales et des droits fondamentaux de la personne concernée, selon la jurisprudence de la Cour, il incombe à la juridiction de renvoi d’effectuer une pondération entre les intérêts en jeu (87). En outre, ainsi que cela est énoncé au considérant 47 du RGPD, dans le cadre de cette pondération, il est indispensable de tenir compte des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement et de déterminer si la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.
63. Dans le cadre de cette justification, la juridiction de renvoi mentionne la personnalisation de la publicité, la sécurité du réseau et l’amélioration du produit.
64. En ce qui concerne, tout d’abord, la personnalisation de la publicité, il ressort du considérant 47 du RGPD que le traitement de données à caractère personnel à des fins de prospection (direct marketing) peut être considéré comme étant réalisé pour répondre à un intérêt légitime du responsable du traitement. Toutefois, s’agissant de la nécessité du traitement, il convient de relever que les données en question proviennent de sources extérieures à Facebook et il se pose donc la question de savoir quel est le « degré de personnalisation » de la publicité objectivement nécessaire à cet égard. S’agissant de la mise en balance des intérêts en jeu, il convient, à mon avis, de tenir compte de la nature de l’intérêt légitime en question (en l’espèce, un intérêt purement économique), ainsi que de l’impact du traitement sur l’utilisateur, y compris de ses attentes raisonnables, et des éventuelles mesures de sauvegarde mises en place par le responsable du traitement (88).
65. Des considérations similaires peuvent être avancées, ensuite, en ce qui concerne la sécurité du réseau. En effet, si une telle justification peut constituer un intérêt légitime du responsable du traitement (89), il est moins évident de conclure que le traitement est nécessaire en l’espèce, compte tenu également de ce que les données en question proviennent de sources extérieures à Facebook (90). En tout état de cause, je rappelle qu’il incombe au responsable du traitement de préciser les fins de sécurité sur lesquelles s’appuie éventuellement chaque traitement.
66. En ce qui concerne, enfin, l’amélioration du produit, si des améliorations liées à la sécurité, qui relèvent de la justification spécifique examinée ci-dessus, sont exclues, il me semble qu’une telle justification devrait plutôt être dans l’intérêt de l’utilisateur que dans celui du responsable du traitement des données. Dans cette perspective, il est difficile de comprendre dans quelle mesure elle pourrait constituer un intérêt légitime du responsable et échapper au consentement de l’utilisateur. Pour ce qui concerne la condition de la nécessité et la mise en balance des droits et des intérêts en jeu, je renvoie aux considérations qui précèdent.
Sur les quatrième et cinquième questions préjudicielles
67. La quatrième question préjudicielle, qui constitue, en substance, une extension de la seconde partie de la troisième question préjudicielle, vise à savoir si la récurrence de certaines situations énumérées comporte l’existence d’un intérêt légitime au sens de l’article 6, paragraphe 1, sous f), du RGPD, tandis que, par sa cinquième question préjudicielle, la juridiction de renvoi cherche à savoir si la nécessité de répondre à une demande juridiquement valable de fournir certaines données, celle de lutter contre des comportements nuisibles et de promouvoir la sécurité ou des fins de recherche pour le bien de la société et celle de promouvoir la protection, l’intégrité et la sécurité constituent des justifications applicables à la pratique litigieuse (91).
68. Indépendamment de la recevabilité de ces questions (92), j’estime, de manière générale, qu’il ne saurait être exclu, quant à la quatrième question préjudicielle, que certaines clauses caractérisant la pratique litigieuse puissent être justifiées par des intérêts légitimes dans les circonstances évoquées par la juridiction de renvoi (93) et, quant à la cinquième question préjudicielle, que, dans certaines situations, la pratique litigieuse puisse être justifiée sur le fondement des dispositions citées.
69. Toutefois, il ne ressort pas de la décision de renvoi si, et dans quelle mesure, Meta Platforms Ireland a indiqué, pour chaque finalité de traitement et typologie de données traitées, les intérêts légitimes concrètement poursuivis ou les autres justifications éventuellement pertinentes en l’espèce (94). Il incombe donc à la juridiction de renvoi, compte tenu des indications qui précèdent, d’examiner dans quelle mesure, dans les circonstances évoquées par cette juridiction, la pratique litigieuse est justifiée par l’existence d’intérêts légitimes de Meta Platforms Ireland au traitement des données au sens de l’article 6, paragraphe 1, sous f), du RGPD ou par une autre des conditions énoncées à l’article 6, paragraphe 1, sous c), d) et e), de ce règlement.
Sur la réponse aux troisième à cinquième questions préjudicielles
70. En conclusion, je propose de répondre aux troisième à cinquième questions préjudicielles que l’article 6, paragraphe 1, sous b), c), d), e) et f), du RGPD doit être interprété en ce sens que la pratique litigieuse ou certaines des activités la composant peuvent relever des exceptions prévues par ces dispositions, pour autant que chaque modalité de traitement de données examinée remplit les conditions prévues par la justification concrètement avancée par le responsable du traitement et que, partant :
– le traitement est objectivement nécessaire à la prestation des services relatifs au compte Facebook ;
– le traitement est nécessaire à la réalisation d’un intérêt légitime évoqué par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées et n’affecte pas de manière disproportionnée les droits fondamentaux et les libertés fondamentales de la personne concernée ;
– le traitement est nécessaire afin de répondre à une demande juridiquement valable de fournir certaines données, de lutter contre des comportements nuisibles et de promouvoir la sécurité ou à des fins de recherche pour le bien de la société et de promouvoir la protection, l’intégrité et la sécurité.
Sur la sixième question préjudicielle
71. Par sa sixième question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens qu’un consentement valable et libre au sens de l’article 4, point 11, de ce règlement peut être donné à une entreprise ayant une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés.
72. À titre liminaire, je rappelle que l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD prévoient l’obligation d’un consentement de la personne concernée, respectivement en ce qui concerne le traitement des données personnelles en général et le traitement des données à caractère personnel sensibles. En outre, selon l’article 4, point 11, du RGPD, aux fins de ce règlement, on entend par « consentement » de la personne concernée toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle cette personne accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (95).
73. En ce qui concerne, plus particulièrement, la condition de la « liberté » du consentement, qui est la seule qui est mise en question en l’espèce, je relève que, conformément au considérant 42 du RGPD, le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix (96) ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice (97). En outre, ainsi que cela est prévu à l’article 7, paragraphe 1, du RGPD (et rappelé au considérant 42 de celui-ci), lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de démontrer que cette personne a donné son consentement au traitement de données à caractère personnel la concernant.
74. Pour ce qui est pertinent en l’espèce, je rappelle, tout d’abord, que, comme le souligne le considérant 43, première phrase, du RGPD, le consentement ne constitue pas un fondement juridique valable au traitement de données à caractère personnel lorsqu’il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement (98), ensuite, que, aux termes de l’article 7, paragraphe 4, du RGPD, au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution de ce contrat (99) et, enfin, que, conformément au considérant 43, seconde phrase, du RGPD, le consentement est également présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations du traitement des données à caractère personnel, bien que cela soit approprié dans le cas d’espèce (100).
75. En l’espèce, j’estime qu’une éventuelle position dominante sur le marché dans le chef du responsable du traitement des données personnelles exploitant un réseau social joue un rôle dans l’appréciation de l’existence d’un consentement libre de la part de l’utilisateur de ce réseau. En effet, l’existence d’une situation de puissance de marché du responsable du traitement des données personnelles est susceptible de créer un déséquilibre manifeste des rapports de force, dans le sens indiqué au point 74 des présentes conclusions (101). Toutefois, il convient de préciser, d’une part, que, pour qu’une telle situation de puissance de marché soit pertinente sous l’angle de l’application du RGPD, elle ne doit pas être nécessairement assimilée au seuil de position dominante au sens de l’article 102 TFUE (102) et, d’autre part, que cette seule circonstance ne saurait priver, en principe, un consentement de toute validité (103).
76. Partant, la validité d’un consentement devra être examinée au cas par cas, à la lumière des autres facteurs évoqués aux points 73 et 74 des présentes conclusions et compte tenu de toutes les circonstances de l’espèce et de ce que la charge de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant pèse sur le responsable du traitement.
77. En conclusion, je propose de répondre à la sixième question préjudicielle que l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens que la seule circonstance que l’entreprise qui exploite un réseau social jouit d’une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés ne saurait, à elle seule, priver le consentement de l’utilisateur de ce réseau au traitement de ses données personnelles de son caractère valable au sens de l’article 4, point 11, du RGPD. Une telle circonstance joue néanmoins un rôle dans l’appréciation de la liberté du consentement au sens de cette disposition, qu’il incombe au responsable du traitement de démontrer, compte tenu, le cas échéant, de l’existence d’un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, de l’éventuelle obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires à la prestation des services en cause, de la nécessité que le consentement soit spécifique pour chaque finalité de traitement et de la nécessité d’éviter que le retrait du consentement engendre un préjudice pour l’utilisateur qui retire son consentement.
Conclusion
78. Au vu des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) de la manière suivante :
1) Les articles 51 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
une autorité de la concurrence, dans le cadre de ses pouvoirs au sens des règles en matière de concurrence, peut examiner, à titre incident, la conformité des pratiques examinées avec les règles de ce règlement, tout en tenant compte de toute décision ou enquête de l’autorité de contrôle compétente au titre dudit règlement et en informant l’autorité de contrôle nationale et, le cas échéant, en la consultant.
2) L’article 9, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
l’interdiction de traitement des données à caractère personnel sensibles peut inclure le traitement de données effectué par un opérateur d’un réseau social en ligne consistant en la collecte des données d’un utilisateur lorsqu’il consulte d’autres sites Internet ou applications ou y insère ces données, la mise en relation desdites données avec le compte utilisateur du réseau social et leur utilisation, pourvu que les informations traitées, individuellement considérées ou regroupées, permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération des données à caractère personnel sensibles effectuée par cette disposition.
L’article 9, paragraphe 2, sous e), de ce règlement
doit être interprété en ce sens que :
un utilisateur ne rend pas manifestement publiques des données, du fait que celles-ci ont été révélées en consultant des pages Internet et des applications ou ont été insérées dans ces pages Internet ou applications ou qu’elles résultent de l’activation de boutons de sélection intégrés dans celles-ci.
3) L’article 6, paragraphe 1, sous b), c), d), e) et f), du règlement 2016/679
doit être interprété en ce sens que :
la pratique consistant, premièrement, en la collecte de données issues d’autres services propres au groupe, ainsi que de sites Internet et d’applications tierces, à travers des interfaces intégrées à ces derniers ou à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur, deuxièmement, en la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné et, troisièmement, en l’utilisation desdites données ou certaines des activités composant cette pratique peuvent relever des exceptions prévues par ces dispositions, pour autant que chaque modalité de traitement de données examinée remplit les conditions prévues par la justification concrètement avancée par le responsable du traitement et que, partant :
– le traitement est objectivement nécessaire à la prestation des services relatifs au compte Facebook ;
– le traitement est nécessaire à la réalisation d’un intérêt légitime évoqué par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées et n’affecte pas de manière disproportionnée les droits fondamentaux et les libertés fondamentales de la personne concernée ;
– le traitement est nécessaire afin de répondre à une demande juridiquement valable de fournir certaines données, de lutter contre des comportements nuisibles et de promouvoir la sécurité ou à des fins de recherche pour le bien de la société et de promouvoir la protection, l’intégrité et la sécurité.
4) L’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du règlement 2016/679
doivent être interprétés en ce sens que :
la seule circonstance que l’entreprise qui exploite un réseau social jouit d’une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés ne saurait, à elle seule, priver un consentement donné par l’utilisateur de ce réseau au traitement de ses données personnelles de son caractère valable au sens de l’article 4, point 11, de ce règlement. Une telle circonstance joue néanmoins un rôle dans l’appréciation de la liberté du consentement au sens de cette disposition, qu’il incombe au responsable du traitement de démontrer, compte tenu, le cas échéant, de l’existence d’un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, de l’éventuelle obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires à la prestation des services en cause, de la nécessité que le consentement soit spécifique pour chaque finalité de traitement et de la nécessité d’éviter que le retrait du consentement engendre un préjudice pour l’utilisateur qui retire son consentement.