CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. ATHANASIOS RANTOS

présentées le 20 septembre 2022 (1)

Affaire C‑252/21

Meta Platforms Inc., anciennement Facebook Inc.,

Meta Platforms Ireland Limited, anciennement Facebook Ireland Ltd.,

Facebook Deutschland GmbH

contre

Bundeskartellamt

en présence de :

Verbraucherzentrale Bundesverband e.V.

[demande de décision préjudicielle formée par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne)]

« Renvoi préjudiciel – Règlement (UE) 2016/679 – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Réseaux sociaux – Article 4, point 11 – Notion de “consentement” de la personne concernée – Consentement donné à une entreprise responsable du traitement en position dominante – Article 6, paragraphe 1, sous b) à f) – Licéité du traitement – Traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement – Article 9, paragraphe 1, et article 9, paragraphe 2, sous e) – Catégories particulières de données à caractère personnel – Données à caractère personnel qui sont manifestement rendues publiques par la personne concernée – Articles 51 à 66 – Compétences de l’autorité nationale de la concurrence – Articulation avec les compétences des autorités de contrôle de la protection des données personnelles – Adoption de mesures au titre du droit de la concurrence par une autorité sise dans un État membre autre que celui de l’autorité chef de file pour le contrôle de la protection des données »

Introduction

1. La présente demande de décision préjudicielle a été introduite par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) dans le cadre d’un litige opposant des sociétés du groupe Meta Platforms (2) au Bundeskartellamt (autorité fédérale de la concurrence, Allemagne), au sujet de la décision par laquelle ce dernier a interdit au requérant au principal le traitement des données prévu par les conditions de service de son réseau social Facebook ainsi que la mise en œuvre de ces conditions de service et a imposé des mesures visant à la cessation de ces activités (3).

2. Les questions préjudicielles concernent, pour l’essentiel, d’une part, la compétence d’une autorité nationale de la concurrence, telle que le Bundeskartellamt, d’examiner, à titre principal ou incident, des comportements d’une entreprise à la lumière de certaines dispositions du règlement (UE) 2016/679 (4) et, d’autre part, l’interprétation de celles-ci s’agissant, notamment, du traitement de données à caractère personnel sensibles, des conditions pertinentes de la licéité du traitement des données à caractère personnel et de la manifestation d’un consentement libre à l’égard d’une entreprise en position dominante.

Le cadre juridique

Le droit de l’Union

3. L’article 4 du RGPD prévoit :

« Aux fins du présent règlement, on entend par :

[...]

11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

[...] »

4. L’article 6, paragraphe 1, de ce règlement, intitulé « Licéité du traitement », est libellé comme suit :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ;

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

5. L’article 9, paragraphes 1 et 2, dudit règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose :

« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

[...]

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;

[...] »

6. L’article 51 du même règlement, intitulé « Autorité de contrôle », qui fait partie du chapitre VI de celui-ci, lui-même intitulé « Autorités de contrôle indépendantes », énonce :

« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union [...]

2. Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

[...] »

Le droit allemand

7. L’article 19, paragraphe 1, du Gesetz gegen Wettbewerbsbeschränkungen (loi contre les restrictions à la concurrence, ci-après le « GWB ») dispose :

« L’exploitation abusive d’une position dominante sur le marché par une ou plusieurs entreprises est interdite. » (5)

8. L’article 50f du GWB prévoit :

« (1) Les autorités de concurrence, les autorités de régulation, le responsable fédéral de la protection des données et de la liberté de l’information, les responsables régionaux de la protection des données ainsi que les autorités compétentes au sens de l’article 2 de l’EU‑Verbraucherschutzdurchführungsgesetz [loi sur la mise en œuvre du droit de la protection des consommateurs de l’Union européenne] peuvent, indépendamment de la procédure choisie, échanger entre eux des informations, y compris des données à caractère personnel et des secrets commerciaux et d’affaires, dans la mesure où cela est nécessaire à l’accomplissement de leurs missions respectives ainsi qu’utiliser ces informations dans le cadre de leurs procédures. [...] »

Le litige au principal, les questions préjudicielles et la procédure devant la Cour

9. Meta Platforms gère l’offre du réseau social en ligne « Facebook » dans l’Union européenne (à l’adresse www.facebook.com), ainsi que d’autres services en ligne, parmi lesquels Instagram et WhatsApp. Le modèle économique des réseaux sociaux gérés par Meta Platforms consiste essentiellement, d’une part, à offrir des services de réseau social gratuits pour les utilisateurs privés et, d’autre part, à vendre de la publicité en ligne, faite sur mesure pour les utilisateurs individuels du réseau social et qui vise à montrer à l’utilisateur les produits et les services qui pourraient l’intéresser en raison, notamment, de ses attitudes personnelles de consommation, de ses intérêts, de son pouvoir d’achat et de sa situation personnelle. Le fondement technique de ce type de publicité est l’établissement automatisé de profils très détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe (6).

10. En vue de la collecte et du traitement des données des utilisateurs, Meta Platforms se fonde sur le contrat d’utilisation conclu avec ses utilisateurs par l’activation du bouton « s’inscrire », par laquelle ces utilisateurs acceptent ainsi les conditions de service de Facebook. L’acceptation de ces conditions de service est une condition essentielle pour l’utilisation du réseau social Facebook (7). L’élément au cœur de la présente affaire porte sur la pratique consistant, premièrement, en la collecte de données issues d’autres services propres au groupe, ainsi que de sites Internet et d’applications tierces, à travers des interfaces intégrées à ces derniers ou à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur, deuxièmement, en la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné et, troisièmement, en l’utilisation desdites données (ci-après la « pratique litigieuse »).

11. Le Bundeskartellamt a engagé une procédure à l’encontre de Meta Platforms à la suite de laquelle, par la décision litigieuse, il a interdit à celui-ci le traitement des données prévu par les conditions de service de Facebook ainsi que la mise en œuvre de ces conditions et lui a imposé des mesures visant à la cessation de ces activités. Le Bundeskartellamt a motivé sa décision notamment par le fait que le traitement en question constituait une exploitation abusive de la position dominante de cette société sur le marché des réseaux sociaux pour les utilisateurs privés en Allemagne, au sens de l’article 19 du GWB (8).

12. Le 11 février 2019, Meta Platforms a formé un recours contre la décision litigieuse devant l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) (9), la juridiction de renvoi, lequel nourrit, en substance, des doutes, d’une part, quant à la possibilité pour des autorités nationales de la concurrence de contrôler la conformité d’un traitement de données avec les exigences formulées dans le RGPD, ainsi que de constater et de sanctionner la violation des dispositions de celui-ci et, d’autre part, quant à l’interprétation et à l’application de certaines dispositions de ce règlement.

13. C’est dans ces conditions que l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) a) Est-il compatible avec les articles 51 et suivants du [RGPD] qu’une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD, dans une situation où une entreprise établie en dehors de l’Union européenne possède, dans ledit État membre, une succursale qui assiste, dans le domaine de la publicité, de la communication et des relations publiques, l’établissement principal de cette entreprise qui se trouve dans un autre État membre et qui est le responsable à titre exclusif pour le traitement des données à caractère personnel pour l’ensemble du territoire de l’Union européenne, constate, dans le cadre du contrôle des pratiques abusives au regard du droit de la concurrence, une violation du RGPD par des conditions contractuelles de l’établissement principal concernant le traitement des données, ainsi que par la mise en œuvre de ces conditions, et ordonne la cessation de cette infraction ?

b) Dans l’affirmative, est-il compatible avec l’article 4, paragraphe 3, TUE que l’autorité de contrôle chef de file, dans l’État membre de l’établissement principal, soumette, conformément à l’article 56, paragraphe 1, du RGPD, les conditions contractuelles de ce dernier concernant le traitement des données à une procédure d’examen ?

En cas de réponse affirmative à la première question :

2) a) Lorsqu’un utilisateur d’Internet soit consulte simplement des sites Internet ou des applications en rapport avec les critères de l’article 9, paragraphe 1, du RGPD, tels que des applications de flirt, des applications de rencontres pour homosexuels, des sites Internet de partis politiques, des sites Internet ayant trait à la santé, soit y insère des données, par exemple en s’inscrivant ou en effectuant des commandes, et qu’une autre entreprise, telle que Facebook Ireland, collecte, à travers des interfaces intégrées telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires, les données concernant la consultation de ces sites Internet et applications par l’utilisateur et les données insérées par ce dernier, les met en relation avec les données du compte [Facebook] de l’utilisateur et les utilise, cette collecte et/ou cette mise en relation et/ou cette utilisation constituent-elles un traitement de données [à caractère personnel] sensibles au sens de cette disposition ?

b) Dans l’affirmative, en consultant ces pages Internet et applications et/ou en insérant des données et/ou en activant des boutons de sélection d’un opérateur comme Facebook Ireland, intégrés dans ces sites Internet ou applications (« plugins sociaux » tels que « J’aime », « partager » ou « login Facebook » ou « Account Kit »), l’utilisateur rend-il manifestement publiques les données concernant la consultation en tant que telle et/ou les données qu’il a insérées, au sens de l’article 9, paragraphe 2, sous e), du RGPD ?

3) Une entreprise comme Facebook Ireland, qui exploite un réseau social financé par la publicité et qui propose, dans ses conditions de service, la personnalisation des contenus et de la publicité, la sécurité du réseau, l’amélioration du produit ainsi que l’utilisation homogène et fluide de tous les produits propres au groupe, peut-elle se prévaloir de la justification tirée du caractère nécessaire à l’exécution du contrat, conformément à l’article 6, paragraphe 1, sous b), du RGPD, ou de la prise en compte d’intérêts légitimes, conformément à l’article 6, paragraphe 1, sous f), du RGPD, lorsqu’elle collecte, met en relation avec le compte [Facebook] de l’utilisateur et utilise, à ces fins, des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?

4) En pareil cas

– le fait que l’utilisateur soit mineur, aux fins de la personnalisation des contenus et de la publicité, de l’amélioration du produit, de la sécurité du réseau et de la communication non commerciale avec l’utilisateur,

– la mise à la disposition des annonceurs, des développeurs et autres partenaires de mesures, d’analyses et d’autres services professionnels, afin qu’ils puissent évaluer leurs prestations et les améliorer,

– la mise à disposition d’une communication commerciale avec l’utilisateur, afin que l’entreprise puisse améliorer ses produits et effectuer une promotion commerciale directe,

– la recherche et l’innovation pour des finalités sociales, en vue de promouvoir l’état de la technique et la compréhension scientifique à l’égard de thématiques sociales importantes et en vue d’influencer positivement la société et le monde,

– l’information des autorités compétentes pour l’exercice de poursuites pénales et pour l’exécution de peines, et la réponse à des demandes légales visant à éviter, découvrir et poursuivre des infractions, des violations des conditions de service et des politiques ainsi que d’autres comportements nuisibles,

peuvent-ils également constituer un intérêt légitime au sens de l’article 6, paragraphe 1, sous f), du RGPD, lorsque l’entreprise, à cet effet, collecte, met en relation avec le compte [Facebook] de l’utilisateur et utilise des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?

5) En pareil cas, la collecte de données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, la mise en relation avec le compte [Facebook] de l’utilisateur et l’utilisation de ces données ou bien l’utilisation de données déjà autrement et légalement collectées et mises en relation peuvent-elles, le cas échéant, également être justifiées au titre de l’article 6, paragraphe 1, sous c), d) et e), du RGPD, par exemple en vue de répondre à une demande juridiquement valable de fournir certaines données [sous c)], en vue de lutter contre des comportements nuisibles et de promouvoir la sécurité [sous d)], aux fins de la recherche pour le bien de la société et en vue de promouvoir la protection, l’intégrité et la sécurité [sous e)] ?

6) Un consentement valable et libre, notamment au sens de l’article 4, point 11, du RGPD, peut-il être donné à une entreprise ayant une position dominante sur le marché, telle que Facebook Ireland, conformément à l’article 6, paragraphe 1, sous a), et à l’article 9, paragraphe 2, sous a), du RGPD ?

En cas de réponse négative à la première question :

7) a) Une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD et qui examine une violation de l’interdiction des pratiques abusives en matière de droit de la concurrence commise par une entreprise ayant une position dominante sur le marché et ne consistant pas en une violation du RGPD par ses conditions de traitement des données et par la mise en œuvre de celles-ci, peut-elle établir, par exemple dans le cadre de la mise en balance des intérêts, si les conditions de traitement des données de l’entreprise en question et leur mise en œuvre sont conformes au RGPD ?

b) Si oui : cela s’applique-t-il, eu égard à l’article 4, paragraphe 3, TUE, également lorsque, en même temps, les conditions de traitement des données de cette même entreprise sont soumises à une procédure d’examen par l’autorité de contrôle chef de file compétente en vertu de l’article 56, paragraphe 1, du RGPD ?

En cas de réponse affirmative à la question 7, il est nécessaire de répondre aux questions 3 à 5 en ce qui concerne les données issues de l’utilisation du service Instagram propre à l’entreprise. »

14. Des observations écrites ont été déposées par Meta Platforms, les gouvernements allemand, tchèque, italien et autrichien, le Bundeskartellamt, le Verbraucherzentrale Bundesverband e.V. (association de consommateurs, Allemagne), ainsi que par la Commission européenne. Ces parties ont également présenté des observations orales lors de l’audience de plaidoiries qui s’est tenue le 10 mai 2022.

Analyse

15. Les questions préjudicielles qui font l’objet de la présente affaire, relatives à l’interprétation de plusieurs dispositions du RGPD, concernent, pour l’essentiel, premièrement, la compétence d’une autorité de la concurrence pour constater et sanctionner une violation des règles en matière de traitement de données à caractère personnel et ses obligations de coopération avec l’autorité chef de file au sens du RGPD (première et septième questions préjudicielles), deuxièmement, l’interdiction du traitement de données à caractère personnel sensibles et les conditions applicables au consentement à leur utilisation (deuxième question préjudicielle), troisièmement, la licéité du traitement des données à caractère personnel à la lumière de certaines justifications (troisième à cinquième questions préjudicielles) et, quatrièmement, la validité d’un consentement au traitement des données à caractère personnel donné à une entreprise en position dominante (sixième question préjudicielle).

16. Dans les points suivants, je traiterai les première et septième questions préjudicielles d’abord et, ensuite, les autres questions préjudicielles, dans l’ordre dans lequel elles ont été posées, en regroupant les troisième à cinquième questions préjudicielles.

Sur la première question préjudicielle

17. Par sa première question préjudicielle, la juridiction de renvoi demande, en substance, si, lorsqu’elle poursuit des infractions aux règles de concurrence, une autorité de la concurrence peut, d’une part, se prononcer, à titre principal (10), sur la violation des règles relatives au traitement de données du RGPD par une entreprise dont l’établissement principal responsable à titre exclusif du traitement des données à caractère personnel pour l’ensemble de l’Union se trouve dans un autre État membre et, d’autre part, ordonner la cessation de cette infraction [première question, sous a)] et, dans l’affirmative, si l’autorité de contrôle chef de file compétente en vertu de l’article 56, paragraphe 1, du RGPD peut encore soumettre à une procédure d’examen les conditions de traitement des données de cette entreprise [première question, sous b)].

18. Néanmoins, sous réserve de vérification par la juridiction de renvoi, il me semble que, dans la décision litigieuse, le Bundeskartellamt n’a pas sanctionné une violation du RGPD par Meta Platforms, mais a procédé, aux seules fins de l’application des règles de concurrence, à l’examen d’une violation alléguée de l’interdiction d’abus de position dominante par celle-ci en tenant compte, entre autres, de la non-conformité du comportement de cette entreprise aux dispositions du RGPD.

19. Partant, à mon avis, dans la mesure où elle concerne la possibilité pour une autorité de la concurrence de se prononcer, à titre principal, sur la violation des règles du RGPD et d’ordonner la cessation de cette infraction au sens de ce règlement, la première question, sous a), est inopérante (11).

20. Il s’ensuit que la première question, sous b), qui est subordonnée à la réponse affirmative à la première question, sous a), est également inopérante (12).

Sur la septième question préjudicielle

21. Par sa septième question préjudicielle, la juridiction de renvoi demande, en substance, si une autorité de la concurrence peut, lorsqu’elle poursuit des infractions aux règles de concurrence, établir, à titre incident (13), si les conditions de traitement des données et leur mise en œuvre sont conformes au RGPD [septième question, sous a)] et, dans l’affirmative, si un examen par l’autorité de la concurrence est également possible lorsque ces conditions sont soumises, en même temps, à une procédure d’examen par l’autorité de contrôle chef de file compétente [septième question, sous b)].

22. En ce qui concerne, en premier lieu, la septième question sous a), il me semble que si une autorité de la concurrence n’est pas compétente pour constater une violation du RGPD (14), ce dernier ne s’oppose pas, en principe, à ce que, dans l’exercice de leurs propres compétences et pouvoirs, d’autres autorités que les autorités de contrôle puissent tenir compte, à titre incident, de la compatibilité d’un comportement avec les dispositions du RGPD. Cela est notamment le cas, à mon avis, en ce qui concerne l’exercice par une autorité de la concurrence des pouvoirs qui lui sont conférés par l’article 102 TFUE et par l’article 5, premier alinéa, du règlement (CE) n^o 1/2003 (15) ou par toute autre norme nationale correspondante (16).

23. En effet, lors de l’exercice de ses compétences, une autorité de la concurrence doit apprécier, notamment, si le comportement examiné consiste à avoir recours à des moyens autres de ceux qui relèvent d’une concurrence par les mérites, compte tenu du contexte juridique et économique dans lequel s’inscrit ce comportement (17). À cet égard, la conformité ou la non-conformité dudit comportement aux dispositions du RGPD, non en lui-même, mais compte tenu de toutes les circonstances de l’espèce, peut constituer un indice important pour établir si ce comportement constitue un recours à des moyens qui gouvernent une compétition normale, tout en étant précisé que le caractère abusif ou non abusif d’un comportement au regard de l’article 102 TFUE ne ressort pas de sa conformité ou de son absence de conformité avec le RGPD ou avec d’autres règles juridiques (18).

24. Partant, j’estime que l’examen d’un abus d’une position dominante sur le marché peut justifier qu’une autorité de la concurrence interprète des normes ne relevant pas du droit de la concurrence, telles que celles du RGPD (19), tout en précisant qu’un tel examen est effectué de manière incidente (20) et ne préjuge pas de l’application faite par des autorités de contrôle compétentes de ce règlement (21).

25. S’agissant, en second lieu, de la septième question, sous b), la juridiction de renvoi soulève la question de savoir quelles sont, dans le cadre de l’application du principe de coopération loyale inscrit à l’article 4, paragraphe 3, TUE, les obligations qu’a, à l’égard de l’autorité de contrôle chef de file compétente au sens du RGPD, une autorité de la concurrence lorsqu’elle interprète des dispositions de ce règlement et, plus précisément, lorsque le même comportement que celui qui est examiné par l’autorité de la concurrence fait l’objet d’un examen de la part de l’autorité de contrôle chef de file compétente.

26. En l’espèce, l’examen, bien qu’incident, d’un comportement d’une entreprise à la lumière des normes du RGPD par une autorité de la concurrence comporte le risque de divergences entre celle-ci et les autorités de contrôle quant à l’interprétation de ce règlement, ce qui est, en principe, susceptible de porter atteinte à l’interprétation uniforme du RGPD (22).

27. Le droit de l’Union ne prévoit pas de règles détaillées quant à la coopération entre une autorité de la concurrence et les autorités de contrôle au sens du RGPD dans une telle situation. Plus particulièrement, ni le mécanisme de coopération entre les autorités compétentes au sens du RGPD lors de l’application de celui-ci (23) ni d’autres règles précises sur la coopération entre des autorités administratives, telles que celles relatives à la coopération entre les autorités de la concurrence et à la coopération entre celles-ci et la Commission lors de l’application des règles de concurrence (24) ne sont applicables en l’espèce.

28. Cela dit, lorsqu’elle interprète le RGPD, une autorité de la concurrence est néanmoins tenue par le principe de coopération loyale consacré à l’article 4, paragraphe 3, TUE, en vertu duquel l’Union et les États membres, y compris leurs autorités administratives (25), se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des traités. En particulier, le troisième alinéa de cette disposition prévoit que les États membres facilitent l’accomplissement par l’Union de sa mission et s’abstiennent de toute mesure susceptible de mettre en péril la réalisation des objectifs de l’Union (26). En outre, à l’instar de toute autorité administrative chargée de l’application du droit de l’Union, une autorité de la concurrence est tenue par le principe de bonne administration en tant que principe général du droit de l’Union, qui inclut notamment une obligation étendue de diligence et de sollicitude à la charge des autorités nationales (27).

29. Ainsi, en l’absence de règles précises quant aux mécanismes de coopération, qu’il incombe éventuellement au législateur de l’Union d’adopter, une autorité de la concurrence, lorsqu’elle interprète des dispositions du RGPD, est soumise, à tout le moins, à des obligations d’information, de renseignement et de coopération à l’égard des autorités compétentes au sens de ce règlement, en application des normes nationales qui règlent ses compétences (principe de l’autonomie procédurale des États membres) et dans le respect des principes d’équivalence et d’effectivité (28).

30. Il s’ensuit, à mon avis, que, lorsque l’autorité de contrôle chef de file compétente s’est prononcée sur l’application de certaines dispositions du RGPD à l’égard d’une pratique identique ou similaire, l’autorité de la concurrence ne pourra pas, en principe, s’écarter de l’interprétation de cette autorité, qui est seule compétente pour l’application de ce règlement (29), et devra, dans la mesure du possible et dans le respect, notamment, des droits de la défense des personnes concernées, se conformer aux éventuelles décisions adoptées par celle-ci concernant le même comportement (30) et, en cas de doutes dans le cas d’espèce sur l’interprétation donnée par l’autorité compétente, la consulter ou, le cas échéant, lorsque celle-ci se trouve dans un autre État membre, consulter l’autorité de contrôle nationale (31).

31. En outre, en l’absence d’une décision de l’autorité de contrôle compétente, il incombe néanmoins à l’autorité de la concurrence d’informer celle-ci (32) et de coopérer avec elle lorsque cette autorité a entamé l’examen de la même pratique ou a manifesté l’intention de le faire, et éventuellement d’attendre l’issue de l’examen effectué par cette dernière avant d’entamer sa propre appréciation, dans la mesure où cela est approprié et ne préjuge pas notamment du respect, par l’autorité de la concurrence, d’un délai d’enquête raisonnable et des droits de la défense des personnes concernées (33).

32. En l’espèce, il me semble que le fait d’avoir entamé une coopération avec les autorités de contrôle responsables au niveau national (34) et d’avoir également contacté, de façon informelle, l’autorité de contrôle chef de file irlandaise, circonstances évoquées par le Bundeskartellamt et qu’il appartient à la juridiction de renvoi de vérifier, peut suffire pour en conclure que cette autorité a rempli ses obligations de diligence et de coopération loyale (35).

33. En conclusion, je propose de répondre à la septième question préjudicielle que les articles 51 à 66 du RGPD doivent être interprétés en ce sens qu’une autorité de la concurrence, dans le cadre de ses pouvoirs au sens des règles en matière de concurrence, peut examiner, à titre incident, la conformité des pratiques examinées avec les règles du RGPD, tout en tenant compte de toute décision ou enquête de l’autorité de contrôle compétente au titre du RGPD et en informant l’autorité de contrôle nationale et, le cas échéant, en la consultant.

Sur la deuxième question préjudicielle

34. Par sa deuxième question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 9, paragraphe 1, du RGPD doit être interprété en ce sens que la pratique litigieuse, lorsqu’elle concerne la consultation de pages Internet et d’applications tierces (36), relève du traitement de données à caractère personnel sensibles énumérées (37), qui est interdit (38) [deuxième question, sous a)] et, dans l’affirmative, si l’article 9, paragraphe 2, point e), de ce règlement doit être interprété en ce sens qu’un utilisateur rend manifestement publiques au sens de cette disposition les données qui sont, d’une part, révélées en consultant des pages Internet et des applications ou, d’autre part, celles qui sont insérées par ou qui résultent de l’activation de boutons de sélection intégrés dans ces pages Internet ou applications (39) [deuxième question, sous b)].

35. En ce qui concerne, en premier lieu, la deuxième question, sous a), je rappelle que, en vertu de l’article 9, paragraphe 1, du RGPD, le traitement des données à caractère personnel sensibles est interdit. La protection particulière de ces données est motivée, comme il ressort du considérant 51 de ce règlement, par le fait qu’elles sont, par nature, particulièrement sensibles du point de vue des libertés fondamentales et des droits fondamentaux et que leur traitement pourrait engendrer des risques importants pour ces libertés et ces droits. En outre, en dépit du caractère quelque peu obscur du libellé de cette disposition (40), il ne me semble pas que, comme le suppose la juridiction de renvoi, elle introduise une différence substantielle entre des données personnelles qui sont sensibles parce qu’elles « révèlent » une certaine situation et des données qui sont sensibles en elles-mêmes (41).

36. En l’espèce, il est à mon avis évident que la pratique litigieuse constitue un traitement de données à caractère personnel qui est, en principe, susceptible d’entrer dans le champ d’application de cette disposition et d’être interdit, lorsque les données traitées « révèlent » l’une des situations sensibles énumérées par celle-ci. Il convient donc d’établir si et dans quelle mesure la consultation de sites Internet et d’applications ou l’insertion de données sur ceux-ci peuvent être « révélatrices » d’une des situations sensibles visées par la disposition en question.

37. À cet égard, je doute qu’il soit pertinent (et toujours possible) de distinguer entre, d’une part, un simple intérêt de la personne concernée pour certaines informations et, d’autre part, l’appartenance de celle-ci à une des catégories visées par la disposition en question (42). Si les positions des parties au principal sont opposées à cet égard (43), j’estime qu’une réponse à cette question ne peut qu’être recherchée au cas par cas et au regard de chacune des activités composant la pratique litigieuse.

38. Si, ainsi que le relève le gouvernement allemand, la simple collecte de données à caractère personnel sensibles relatives à la consultation d’un site Internet ou d’une application n’est pas, à elle seule, nécessairement un traitement de données à caractère personnel sensibles au sens de cette disposition (44), la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné ou leur utilisation sont des comportements qui, en revanche, pourraient plus facilement être susceptibles de constituer un tel traitement. L’élément décisif aux fins de l’application de l’article 9, paragraphe 1, du RGPD est, à mon avis, la possibilité que les données traitées permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération des données à caractère personnel sensibles effectuée par cette disposition (45).

39. Dans ce contexte, pour pouvoir déterminer si un traitement de données entre dans le champ d’application de cette disposition, il pourrait être utile de distinguer, le cas échéant, d’une part, le traitement des données qui peuvent être prima facie classées dans la catégorie des données à caractère personnel sensibles et qui permettent à elles seules un profilage de la personne concernée et, d’autre part, le traitement des données qui ne sont pas elles-mêmes sensibles, mais qui requièrent une activité ultérieure de regroupement afin de tirer des conclusions plausibles pour le profilage de la personne concernée.

40. Cela étant, il convient de préciser que l’existence d’une catégorisation au sens de cette disposition est indépendante de la question de savoir si cette catégorisation est vraie ou correcte (46). Ce qui compte est la possibilité qu’une telle catégorisation engendre un risque important pour les libertés fondamentales et les droits fondamentaux de la personne concernée, ainsi que cela est rappelé au considérant 51 du RGPD, possibilité qui est indépendante de sa véracité.

41. S’agissant, enfin, de la demande de la juridiction de renvoi visant à savoir si le but de l’utilisation est pertinent aux fins de l’appréciation en question (47), j’estime, contrairement à ce que soutient le requérant au principal, que, en principe, il n’est pas requis que le responsable du traitement traite ces données « en sachant et en ayant l’intention d’en tirer directement des catégories particulières d’informations ». En effet, l’objectif de la disposition en question est, en substance, de prévenir, de façon objective, des risques importants pour les libertés fondamentales et les droits fondamentaux des personnes concernées, engendrés par le traitement des données à caractère personnel sensibles, indépendamment de tout élément subjectif tel que l’intention du responsable du traitement.

42. En ce qui concerne, en second lieu, la deuxième question, sous b), je rappelle que, en vertu de l’article 9, paragraphe 2, sous e), du RGPD, l’interdiction du traitement de données à caractère personnel sensibles ne s’applique pas si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée. En outre, la référence, dans le libellé de cette disposition, à l’adverbe « manifestement » et le fait que ladite disposition constitue une exception au principe d’interdiction du traitement des données à caractère personnel sensibles (48) imposent une application particulièrement stricte de cette exception, en raison des risques importants pesant sur les droits fondamentaux et les libertés fondamentales des personnes concernées (49). Pour que cette exception puisse s’appliquer, l’utilisateur doit avoir, à mon avis, pleine conscience que, par un acte explicite (50), il rend publiques des données à caractère personnel (51).

43. En l’espèce, il me semble qu’un comportement consistant en la consultation de sites Internet et d’applications, en l’insertion de données dans ces sites et ces applications et en l’activation de boutons de sélection intégrés dans ceux-ci ne peut pas, en principe, être assimilé à un comportement qui rend manifestement publiques les données à caractère personnel sensibles de l’utilisateur au sens de l’article 9, paragraphe 2, sous e), du RGPD.

44. Plus particulièrement, je relève, que, en principe, la consultation de sites Internet et d’applications ne rend les données de consultation accessibles qu’au gestionnaire de la page Internet ou de l’application en question et aux tiers auxquels celui-ci transmet ces informations, tel que le requérant au principal (52). De même, si, par l’insertion de données dans des sites Internet et des applications, la personne concernée pourrait donner, de façon directe et volontaire, des informations sur certaines données à caractère personnel sensibles, je note également que ces informations ne sont accessibles qu’au gestionnaire du site ou de l’application en question et aux tiers auxquels celui-ci transmet lesdites informations. J’exclus donc que de tels comportements puissent témoigner de la volonté de rendre ces données disponibles à la collectivité (53). En outre, s’il est évident que, par l’activation de boutons de sélection intégrés dans des sites Internet ou des applications (54), la personne concernée exprime clairement la volonté de partager certaines informations avec un public externe au site Internet ou à l’application en question, je suis d’avis que, comme le souligne le Bundeskartellamt, par ce comportement, la personne en question est consciente de partager des informations avec un cercle déterminé de personnes, souvent défini par l’utilisateur lui-même (55), et non avec la collectivité (56).

45. S’agissant, enfin, de la pertinence d’un éventuel consentement donné par l’utilisateur au sens de l’article 5, paragraphe 3, de la directive 2002/58 à ce que des données personnelles puissent être collectées au moyen de témoins de connexion (cookies) ou de technologies similaires, évoqué par la juridiction de renvoi, j’estime que ce consentement, au vu de son objectif spécifique, ne peut, à lui seul, justifier le traitement de données à caractère personnel sensibles collectées par ces moyens (57). En effet, ledit consentement, nécessaire pour l’installation d’un moyen technique de captation de certaines activités de l’utilisateur (58), ne concerne pas le traitement des données à caractère personnel sensibles et ne peut être assimilé à la volonté de rendre manifestement publiques ces données au sens de l’article 9, paragraphe 2, sous e), du RGPD (59).

46. En conclusion, je propose de répondre à la deuxième question préjudicielle que, d’une part, l’article 9, paragraphe 1, du RGPD doit être interprété en ce sens que l’interdiction de traitement des données à caractère personnel sensibles peut inclure le traitement de données effectué par un opérateur d’un réseau social en ligne consistant en la collecte des données d’un utilisateur lorsqu’il consulte d’autres sites Internet ou applications ou y insère ces données, la mise en relation desdites données avec le compte utilisateur du réseau social et leur utilisation, pourvu que les informations traitées, individuellement considérées ou regroupées, permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération par cette disposition des données à caractère personnel sensibles et que, d’autre part, l’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens qu’un utilisateur ne rend pas manifestement publiques des données du fait que celles-ci ont été révélées en consultant des pages Internet et des applications ou ont été insérées dans ces pages Internet ou applications ou qu’elles résultent de l’activation de boutons de sélection intégrés dans celles-ci.

Sur les troisième à cinquième questions préjudicielles

47. Par ses troisième à cinquième questions préjudicielles, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, sous b), c), d), e) et f), du RGPD doit être interprété en ce sens que la pratique litigieuse (60) entre dans le champ d’application d’une des justifications prévues par ces dispositions, et plus particulièrement :

– le caractère nécessaire à l’exécution du contrat (61) ou la prise en compte d’intérêts légitimes (62), compte tenu du fait que Meta Platforms exploite un réseau social financé par la publicité et qui propose, dans ses conditions de service, la personnalisation des contenus et de la publicité, la sécurité du réseau, l’amélioration du produit ainsi que l’utilisation homogène et fluide de tous les produits propres au groupe (troisième question préjudicielle) ;

– la prise en compte de ces intérêts légitimes (63) dans le contexte de certains situations (64) (quatrième question préjudicielle) ;

– la nécessité de répondre à une demande juridiquement valable de fournir certaines données (65), la nécessité de lutter contre des comportements nuisibles et de promouvoir la sécurité (66) ou des fins de recherche pour le bien de la société et la nécessité de promouvoir la protection, l’intégrité et la sécurité (67) (cinquième question préjudicielle).

48. À titre liminaire, nonobstant quelques interrogations quant à la recevabilité des quatrième et cinquième questions préjudicielles (68), je propose de répondre conjointement aux troisième à cinquième questions préjudicielles, dans la mesure où les indications que je fournirai ci-après, principalement à l’égard de la troisième question préjudicielle, pourront être également utiles à la juridiction de renvoi lors de l’application des dispositions qui font l’objet des quatrième et cinquième questions préjudicielles.

49. À titre principal, je relève que, conformément à l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base d’un fondement légitime prévu par la loi. À cet égard, l’article 6, paragraphe 1, du RGPD précise que le traitement de ces données n’est licite que si l’une des six conditions énoncées par cette disposition est remplie (69).

50. En l’espèce, tout d’abord, j’estime que les troisième à cinquième questions préjudicielles appellent une analyse détaillée, au cas par cas, des différentes clauses des conditions de service Facebook dans le contexte de la pratique litigieuse, car il n’est pas possible d’établir si, à l’égard de cette pratique, « une entreprise comme [Meta Platforms] » peut se prévaloir, dans sa globalité, de toutes les (ou de certaines des) justifications inscrites à l’article 6, paragraphe 1, du RGPD, même s’il ne saurait être exclu que ladite pratique ou certaines de ses activités puissent, dans certains cas, entrer dans le champ d’application de cet article (70).

51. Ensuite, le traitement envisagé par les dispositions citées est effectué, en l’espèce, sur le fondement des conditions générales du contrat imposées par le responsable du traitement, en l’absence du consentement de la personne concernée (71), voire contre sa volonté, ce qui appelle, selon moi, une interprétation stricte des justifications en question, notamment afin d’éviter un contournement de la condition du consentement (72).

52. Enfin, je rappelle que, conformément à l’article 5, paragraphe 2, du RGPD, c’est sur le responsable du traitement que pèse la charge de la preuve que les données à caractère personnel sont traitées selon la norme de ce règlement et que, conformément à l’article 13, paragraphe 1, sous c), dudit règlement, il incombe au responsable du traitement des données à caractère personnel de préciser les finalités du traitement auquel sont destinées les données ainsi que la base juridique du traitement.

Sur la troisième question préjudicielle

53. En premier lieu, selon l’article 6, paragraphe 1, sous b), du RGPD, le traitement de données à caractère personnel est licite dans la mesure où il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (73).

54. À cet égard, je rappelle que la notion de « nécessité » n’est pas définie dans la législation de l’Union, mais constitue néanmoins, selon la jurisprudence, une notion autonome du droit de l’Union (74). Pour que le traitement soit nécessaire à l’exécution du contrat, il ne suffit pas qu’il soit effectué à l’occasion de l’exécution du contrat, qu’il soit mentionné dans le contrat (75) ou même qu’il soit simplement utile à l’exécution du contrat (76). Selon la jurisprudence de la Cour, le traitement doit être objectivement nécessaire à l’exécution du contrat en ce sens qu’il ne doit pas exister d’autres solutions réalistes et moins intrusives (77), compte tenu également des attentes raisonnables de la personne concernée (78). Cela comporte également le fait que, lorsque le contrat consiste en plusieurs services ou éléments distincts d’un même service qui peuvent être exécutés indépendamment les uns des autres, l’applicabilité de l’article 6, paragraphe 1, sous b), du RGPD devrait être évaluée dans le contexte de chacun de ces services séparément (79).

55. Dans le cadre de cette justification, la juridiction de renvoi mentionne la personnalisation des contenus et l’utilisation homogène et fluide des produits (ou plutôt des services) propres au groupe.

56. En ce qui concerne la personnalisation des contenus, il me semble que si une telle activité peut, dans une certaine mesure, être dans l’intérêt de l’utilisateur, en ce qu’elle permet de présenter, notamment dans le « fil d’actualité », des contenus qui, conformément à une évaluation automatisée, correspondent aux intérêts de l’utilisateur, il n’est pas évident qu’elle soit également nécessaire à la prestation du service du réseau social en cause, de telle sorte que le traitement des données à caractère personnel à ces fins ne requiert pas le consentement de cet utilisateur (80). Aux fins de cet examen, il conviendrait également de tenir compte de ce que la pratique litigieuse vise le traitement non pas de données relatives au comportement de l’utilisateur à l’intérieur de la page ou de l’application Facebook, mais de données provenant de sources extérieures et donc potentiellement illimitées. Je me demande donc dans quelle mesure ce traitement pourrait correspondre aux attentes d’un utilisateur moyen et, plus généralement, quel est le « degré de personnalisation » auquel celui-ci peut s’attendre du service dans lequel il s’enregistre (81).

57. En ce qui concerne l’utilisation homogène et fluide des services propres au groupe, j’observe qu’un lien entre les différents services offerts par le requérant au principal, par exemple entre Facebook et Instagram, peut, certes, être utile à l’utilisateur, ou même parfois souhaité par ce dernier. Toutefois, je doute qu’un traitement des données à caractère personnel issues d’autres services du groupe (notamment d’Instagram) soit nécessaire à la prestation des services Facebook (82).

58. En second lieu, selon l’article 6, paragraphe 1, sous f), du RGPD, le traitement de données à caractère personnel est licite dans la mesure où il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

59. Selon la jurisprudence de la Cour, la disposition en question prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits fondamentaux et les libertés fondamentales de la personne concernée par la protection des données ne prévalent pas (83).

60. S’agissant, tout d’abord, de la poursuite d’un intérêt légitime, je rappelle que le RGPD et la jurisprudence reconnaissent un large éventail d’intérêts considérés comme étant légitimes (84), tout en précisant que, conformément à l’article 13, paragraphe 1, sous d), du RGPD, il incombe au responsable du traitement d’indiquer les intérêts légitimes poursuivis dans le cadre de l’article 6, paragraphe 1, point f), du RGPD (85).

61. S’agissant, ensuite, de la condition relative à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, selon la jurisprudence de la Cour, les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (86). Il faut donc qu’il y ait un lien étroit entre le traitement et l’intérêt poursuivi, en l’absence d’alternatives plus respectueuses de la protection des données à caractère personnel, car il ne suffit pas que le traitement relève d’une simple utilité pour le responsable du traitement.

62. S’agissant, enfin, de la mise en balance, d’une part, des intérêts du responsable du traitement et, d’autre part, des intérêts ou des libertés fondamentales et des droits fondamentaux de la personne concernée, selon la jurisprudence de la Cour, il incombe à la juridiction de renvoi d’effectuer une pondération entre les intérêts en jeu (87). En outre, ainsi que cela est énoncé au considérant 47 du RGPD, dans le cadre de cette pondération, il est indispensable de tenir compte des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement et de déterminer si la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.

63. Dans le cadre de cette justification, la juridiction de renvoi mentionne la personnalisation de la publicité, la sécurité du réseau et l’amélioration du produit.

64. En ce qui concerne, tout d’abord, la personnalisation de la publicité, il ressort du considérant 47 du RGPD que le traitement de données à caractère personnel à des fins de prospection (direct marketing) peut être considéré comme étant réalisé pour répondre à un intérêt légitime du responsable du traitement. Toutefois, s’agissant de la nécessité du traitement, il convient de relever que les données en question proviennent de sources extérieures à Facebook et il se pose donc la question de savoir quel est le « degré de personnalisation » de la publicité objectivement nécessaire à cet égard. S’agissant de la mise en balance des intérêts en jeu, il convient, à mon avis, de tenir compte de la nature de l’intérêt légitime en question (en l’espèce, un intérêt purement économique), ainsi que de l’impact du traitement sur l’utilisateur, y compris de ses attentes raisonnables, et des éventuelles mesures de sauvegarde mises en place par le responsable du traitement (88).

65. Des considérations similaires peuvent être avancées, ensuite, en ce qui concerne la sécurité du réseau. En effet, si une telle justification peut constituer un intérêt légitime du responsable du traitement (89), il est moins évident de conclure que le traitement est nécessaire en l’espèce, compte tenu également de ce que les données en question proviennent de sources extérieures à Facebook (90). En tout état de cause, je rappelle qu’il incombe au responsable du traitement de préciser les fins de sécurité sur lesquelles s’appuie éventuellement chaque traitement.

66. En ce qui concerne, enfin, l’amélioration du produit, si des améliorations liées à la sécurité, qui relèvent de la justification spécifique examinée ci-dessus, sont exclues, il me semble qu’une telle justification devrait plutôt être dans l’intérêt de l’utilisateur que dans celui du responsable du traitement des données. Dans cette perspective, il est difficile de comprendre dans quelle mesure elle pourrait constituer un intérêt légitime du responsable et échapper au consentement de l’utilisateur. Pour ce qui concerne la condition de la nécessité et la mise en balance des droits et des intérêts en jeu, je renvoie aux considérations qui précèdent.

Sur les quatrième et cinquième questions préjudicielles

67. La quatrième question préjudicielle, qui constitue, en substance, une extension de la seconde partie de la troisième question préjudicielle, vise à savoir si la récurrence de certaines situations énumérées comporte l’existence d’un intérêt légitime au sens de l’article 6, paragraphe 1, sous f), du RGPD, tandis que, par sa cinquième question préjudicielle, la juridiction de renvoi cherche à savoir si la nécessité de répondre à une demande juridiquement valable de fournir certaines données, celle de lutter contre des comportements nuisibles et de promouvoir la sécurité ou des fins de recherche pour le bien de la société et celle de promouvoir la protection, l’intégrité et la sécurité constituent des justifications applicables à la pratique litigieuse (91).

68. Indépendamment de la recevabilité de ces questions (92), j’estime, de manière générale, qu’il ne saurait être exclu, quant à la quatrième question préjudicielle, que certaines clauses caractérisant la pratique litigieuse puissent être justifiées par des intérêts légitimes dans les circonstances évoquées par la juridiction de renvoi (93) et, quant à la cinquième question préjudicielle, que, dans certaines situations, la pratique litigieuse puisse être justifiée sur le fondement des dispositions citées.

69. Toutefois, il ne ressort pas de la décision de renvoi si, et dans quelle mesure, Meta Platforms Ireland a indiqué, pour chaque finalité de traitement et typologie de données traitées, les intérêts légitimes concrètement poursuivis ou les autres justifications éventuellement pertinentes en l’espèce (94). Il incombe donc à la juridiction de renvoi, compte tenu des indications qui précèdent, d’examiner dans quelle mesure, dans les circonstances évoquées par cette juridiction, la pratique litigieuse est justifiée par l’existence d’intérêts légitimes de Meta Platforms Ireland au traitement des données au sens de l’article 6, paragraphe 1, sous f), du RGPD ou par une autre des conditions énoncées à l’article 6, paragraphe 1, sous c), d) et e), de ce règlement.

Sur la réponse aux troisième à cinquième questions préjudicielles

70. En conclusion, je propose de répondre aux troisième à cinquième questions préjudicielles que l’article 6, paragraphe 1, sous b), c), d), e) et f), du RGPD doit être interprété en ce sens que la pratique litigieuse ou certaines des activités la composant peuvent relever des exceptions prévues par ces dispositions, pour autant que chaque modalité de traitement de données examinée remplit les conditions prévues par la justification concrètement avancée par le responsable du traitement et que, partant :

– le traitement est objectivement nécessaire à la prestation des services relatifs au compte Facebook ;

– le traitement est nécessaire à la réalisation d’un intérêt légitime évoqué par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées et n’affecte pas de manière disproportionnée les droits fondamentaux et les libertés fondamentales de la personne concernée ;

– le traitement est nécessaire afin de répondre à une demande juridiquement valable de fournir certaines données, de lutter contre des comportements nuisibles et de promouvoir la sécurité ou à des fins de recherche pour le bien de la société et de promouvoir la protection, l’intégrité et la sécurité.

Sur la sixième question préjudicielle

71. Par sa sixième question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens qu’un consentement valable et libre au sens de l’article 4, point 11, de ce règlement peut être donné à une entreprise ayant une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés.

72. À titre liminaire, je rappelle que l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD prévoient l’obligation d’un consentement de la personne concernée, respectivement en ce qui concerne le traitement des données personnelles en général et le traitement des données à caractère personnel sensibles. En outre, selon l’article 4, point 11, du RGPD, aux fins de ce règlement, on entend par « consentement » de la personne concernée toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle cette personne accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (95).

73. En ce qui concerne, plus particulièrement, la condition de la « liberté » du consentement, qui est la seule qui est mise en question en l’espèce, je relève que, conformément au considérant 42 du RGPD, le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix (96) ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice (97). En outre, ainsi que cela est prévu à l’article 7, paragraphe 1, du RGPD (et rappelé au considérant 42 de celui-ci), lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de démontrer que cette personne a donné son consentement au traitement de données à caractère personnel la concernant.

74. Pour ce qui est pertinent en l’espèce, je rappelle, tout d’abord, que, comme le souligne le considérant 43, première phrase, du RGPD, le consentement ne constitue pas un fondement juridique valable au traitement de données à caractère personnel lorsqu’il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement (98), ensuite, que, aux termes de l’article 7, paragraphe 4, du RGPD, au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution de ce contrat (99) et, enfin, que, conformément au considérant 43, seconde phrase, du RGPD, le consentement est également présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations du traitement des données à caractère personnel, bien que cela soit approprié dans le cas d’espèce (100).

75. En l’espèce, j’estime qu’une éventuelle position dominante sur le marché dans le chef du responsable du traitement des données personnelles exploitant un réseau social joue un rôle dans l’appréciation de l’existence d’un consentement libre de la part de l’utilisateur de ce réseau. En effet, l’existence d’une situation de puissance de marché du responsable du traitement des données personnelles est susceptible de créer un déséquilibre manifeste des rapports de force, dans le sens indiqué au point 74 des présentes conclusions (101). Toutefois, il convient de préciser, d’une part, que, pour qu’une telle situation de puissance de marché soit pertinente sous l’angle de l’application du RGPD, elle ne doit pas être nécessairement assimilée au seuil de position dominante au sens de l’article 102 TFUE (102) et, d’autre part, que cette seule circonstance ne saurait priver, en principe, un consentement de toute validité (103).

76. Partant, la validité d’un consentement devra être examinée au cas par cas, à la lumière des autres facteurs évoqués aux points 73 et 74 des présentes conclusions et compte tenu de toutes les circonstances de l’espèce et de ce que la charge de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant pèse sur le responsable du traitement.

77. En conclusion, je propose de répondre à la sixième question préjudicielle que l’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens que la seule circonstance que l’entreprise qui exploite un réseau social jouit d’une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés ne saurait, à elle seule, priver le consentement de l’utilisateur de ce réseau au traitement de ses données personnelles de son caractère valable au sens de l’article 4, point 11, du RGPD. Une telle circonstance joue néanmoins un rôle dans l’appréciation de la liberté du consentement au sens de cette disposition, qu’il incombe au responsable du traitement de démontrer, compte tenu, le cas échéant, de l’existence d’un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, de l’éventuelle obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires à la prestation des services en cause, de la nécessité que le consentement soit spécifique pour chaque finalité de traitement et de la nécessité d’éviter que le retrait du consentement engendre un préjudice pour l’utilisateur qui retire son consentement.

Conclusion

78. Au vu des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) de la manière suivante :

1) Les articles 51 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

une autorité de la concurrence, dans le cadre de ses pouvoirs au sens des règles en matière de concurrence, peut examiner, à titre incident, la conformité des pratiques examinées avec les règles de ce règlement, tout en tenant compte de toute décision ou enquête de l’autorité de contrôle compétente au titre dudit règlement et en informant l’autorité de contrôle nationale et, le cas échéant, en la consultant.

2) L’article 9, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

l’interdiction de traitement des données à caractère personnel sensibles peut inclure le traitement de données effectué par un opérateur d’un réseau social en ligne consistant en la collecte des données d’un utilisateur lorsqu’il consulte d’autres sites Internet ou applications ou y insère ces données, la mise en relation desdites données avec le compte utilisateur du réseau social et leur utilisation, pourvu que les informations traitées, individuellement considérées ou regroupées, permettent le profilage de l’utilisateur selon les catégories qui ressortent de l’énumération des données à caractère personnel sensibles effectuée par cette disposition.

L’article 9, paragraphe 2, sous e), de ce règlement

doit être interprété en ce sens que :

un utilisateur ne rend pas manifestement publiques des données, du fait que celles-ci ont été révélées en consultant des pages Internet et des applications ou ont été insérées dans ces pages Internet ou applications ou qu’elles résultent de l’activation de boutons de sélection intégrés dans celles-ci.

3) L’article 6, paragraphe 1, sous b), c), d), e) et f), du règlement 2016/679

doit être interprété en ce sens que :

la pratique consistant, premièrement, en la collecte de données issues d’autres services propres au groupe, ainsi que de sites Internet et d’applications tierces, à travers des interfaces intégrées à ces derniers ou à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur, deuxièmement, en la mise en relation de ces données avec le compte Facebook de l’utilisateur concerné et, troisièmement, en l’utilisation desdites données ou certaines des activités composant cette pratique peuvent relever des exceptions prévues par ces dispositions, pour autant que chaque modalité de traitement de données examinée remplit les conditions prévues par la justification concrètement avancée par le responsable du traitement et que, partant :

– le traitement est objectivement nécessaire à la prestation des services relatifs au compte Facebook ;

4) L’article 6, paragraphe 1, sous a), et l’article 9, paragraphe 2, sous a), du règlement 2016/679

doivent être interprétés en ce sens que :

la seule circonstance que l’entreprise qui exploite un réseau social jouit d’une position dominante sur le marché national des réseaux sociaux en ligne pour des utilisateurs privés ne saurait, à elle seule, priver un consentement donné par l’utilisateur de ce réseau au traitement de ses données personnelles de son caractère valable au sens de l’article 4, point 11, de ce règlement. Une telle circonstance joue néanmoins un rôle dans l’appréciation de la liberté du consentement au sens de cette disposition, qu’il incombe au responsable du traitement de démontrer, compte tenu, le cas échéant, de l’existence d’un déséquilibre manifeste des rapports de force entre la personne concernée et le responsable du traitement, de l’éventuelle obligation de consentir au traitement de données à caractère personnel autres que celles strictement nécessaires à la prestation des services en cause, de la nécessité que le consentement soit spécifique pour chaque finalité de traitement et de la nécessité d’éviter que le retrait du consentement engendre un préjudice pour l’utilisateur qui retire son consentement.

1 Langue originale : le français.

2 À savoir Meta Platforms Inc., anciennement Facebook Inc., Meta Platforms Ireland Limited, anciennement Facebook Ireland Ltd., et Facebook Deutschland GmbH (ci-après « Meta Platforms » ou le « requérant au principal »).

3 Décision B6-22/16, du 6 février 2019 (ci-après la « décision litigieuse »).

4 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

5 Dans la version en vigueur jusqu’au 18 janvier 2021.

6 À cette fin, Meta Platforms collecte, outre les données que les utilisateurs fournissent directement lors de leur inscription aux services en ligne concernés, d’autres données relatives aux utilisateurs et aux appareils, à l’intérieur et à l’extérieur du réseau social et des services en ligne fournis par le groupe, et relie ces données aux différents comptes des utilisateurs concernés. Lesdites données, dans leur globalité, permettent de tirer des conclusions détaillées sur les préférences et les intérêts des utilisateurs.

7 S’agissant, plus particulièrement, du traitement des données à caractère personnel, les conditions de service renvoient aux politiques d’utilisation des données et des témoins de connexion (cookies) fixées par Meta Platforms. En vertu de ces dernières, Meta Platforms collecte des données relatives aux utilisateurs et à leurs appareils portant sur leurs activités à l’intérieur et à l’extérieur du réseau social et les impute à leurs comptes Facebook. Les activités qui ont lieu en dehors du réseau social consistent, d’une part, en la consultation de pages Internet et d’applications tierces, qui sont reliées à Facebook à travers des interfaces de programmation (à savoir les « Outils Facebook Business ») et, d’autre part, en l’utilisation des autres services en ligne appartenant au groupe Meta Platforms, parmi lesquels Instagram et WhatsApp.

8 Selon le Bundeskartellamt, ce traitement, en tant qu’émanation de puissance sur le marché, a violé les dispositions du RGPD et n’était pas justifié au regard de l’article 6, paragraphe 1, et de l’article 9, paragraphe 2, de ce règlement.

9 Par ailleurs, le 31 juillet 2019, à l’initiative de la Commission européenne et d’associations de protection des consommateurs nationales des États membres, Meta Platforms a introduit de nouvelles conditions de service indiquant expressément que l’utilisateur, au lieu de payer pour l’utilisation des produits Facebook, déclare consentir aux annonces publicitaires. En outre, depuis le 28 janvier 2020, Meta Platforms propose, au niveau mondial, l’activité en dehors de Facebook appelée « Off-Facebook activity », laquelle permet aux utilisateurs de Facebook de recevoir un résumé des informations les concernant, obtenues en relation avec leurs activités sur d’autres pages Internet et applications, et de dissocier, s’ils le souhaitent, ces données de leur compte Facebook, tant pour le passé que pour le futur.

10 Il me semble que les termes « constate [...] une violation du RGPD [...] et ordonne la cessation de cette infraction » qui figurent dans la première question préjudicielle doivent être interprétés en ce sens.

11 En tout état de cause, étant donné que le RGPD prévoit une harmonisation complète du droit de la protection des données, dont l’élément central est un mécanisme harmonisé de mise en œuvre fondé sur le principe du « guichet unique » prévu aux articles 51 à 67 de ce règlement, il me semble évident qu’une autorité autre que les autorités de contrôle au sens dudit règlement (telle qu’une autorité de la concurrence) n’est compétente ni pour constater, à titre principal, la violation de ce même règlement ni pour appliquer les sanctions prévues.

12 En tout état de cause, compte tenu du fait qu’une autorité de la concurrence n’est compétente ni pour constater, à titre principal, la violation de ce règlement ni pour appliquer les sanctions prévues, j’estime qu’une éventuelle décision en ce sens d’une autorité de la concurrence ne saurait empiéter sur les compétences des autorités de contrôle au sens du RGPD.

13 Il me semble que c’est en ce sens qu’il convient d’interpréter les termes « peut-elle établir, par exemple dans le cadre de la mise en balance des intérêts, si les conditions de traitement des données de l’entreprise en question et leur mise en œuvre sont conformes au RGPD » qui figurent dans la septième question préjudicielle.

14 Voir note en bas de page 11 des présentes conclusions.

15 Règlement du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles [101 et 102 TFUE] (JO 2003, L 1, p. 1).

16 À l’instar de l’article 19 du GWB, sur lequel s’appuie la décision litigieuse.

17 Voir, à titre d’exemple, arrêt du 6 septembre 2017, Intel/Commission (C‑413/14 P, EU:C:2017:632, point 136 et jurisprudence citée). Par ailleurs, la Cour a précisé que le champ d’application de l’article 102 TFUE est de portée générale et ne saurait être limité par l’existence d’un cadre réglementaire adopté par le législateur de l’Union, en l’espèce, le cadre règlementaire en matière de communications électroniques (voir, en ce sens, arrêt du 10 juillet 2014, Telefónica et Telefónica de España/Commission, C‑295/12 P, EU:C:2014:2062, point 128).

18 En effet, à la lumière des objectifs différents des deux catégories de normes, il est évident qu’un comportement concernant le traitement de données peut constituer une violation des règles de concurrence même lorsqu’il est conforme au RGPD et, inversement, un comportement illégal au sens de celui-ci n’amène pas forcément à conclure qu’il comporte une violation des règles de concurrence. À cet égard, la Cour a précisé que la conformité d’un comportement avec une législation spécifique n’exclut pas l’applicabilité, à ce même comportement, des articles 101 et 102 TFUE [voir, notamment, arrêt du 6 décembre 2012, AstraZeneca/Commission (C‑457/10 P, EU:C:2012:770, point 132), dans lequel la Cour a également rappelé que les abus de position dominante consistent, dans la majorité des cas, en des comportements par ailleurs légaux au regard de branches du droit autres que le droit de la concurrence]. En effet, si seules les pratiques à la fois objectivement restrictives de la concurrence et juridiquement illégales étaient considérées comme étant abusives au sens de l’article 102 TFUE, cela impliquerait qu’un comportement, au seul motif de sa légalité, bien que potentiellement nuisible à la concurrence, ne pourrait être sanctionné au titre de l’article 102 TFUE, ce qui compromettrait l’objectif de cette disposition consistant à établir un régime assurant que la concurrence ne soit pas faussée dans le marché intérieur (voir, en ce sens, mes conclusions dans l’affaire Servizio Elettrico Nazionale e.a., C‑377/20, EU:C:2021:998, point 37). Selon la jurisprudence de la Cour, ce n’est que si un comportement anticoncurrentiel est imposé aux entreprises par une législation nationale ou si celle-ci crée un cadre juridique qui lui-même élimine toute possibilité de comportement concurrentiel de leur part que les articles 101 et 102 TFUE ne sont pas d’application, tandis que ces articles peuvent s’appliquer s’il s’avère que la législation nationale laisse subsister la possibilité d’une concurrence susceptible d’être empêchée, restreinte ou faussée par des comportements autonomes des entreprises (voir, en ce sens, arrêt du 14 octobre 2010, Deutsche Telekom/Commission, C‑280/08 P, EU:C:2010:603, point 80 et jurisprudence citée).

19 En effet, une interprétation selon laquelle il serait interdit aux autorités de la concurrence d’interpréter, dans l’exercice de leurs compétences, les dispositions du RGPD serait de nature à remettre en question l’application effective du droit de la concurrence de l’Union.

20 Par ailleurs, le caractère incident de l’interprétation par l’autorité de la concurrence du RGPD n’empêche pas que cette interprétation soit sujette à un contrôle juridictionnel devant les juridictions nationales compétentes en matière de concurrence qui, en cas de difficultés d’interprétation, pourraient être amenées à saisir la Cour d’une demande de décision préjudicielle, comme en l’espèce en ce qui concerne les deuxième à sixième questions préjudicielles.

21 En effet, l’interprétation du RGPD par l’autorité de la concurrence aux seules fins de l’application des normes (et éventuellement de l’imposition des sanctions) prévues par le droit de la concurrence ne saurait priver les autorités de contrôle de leurs compétences et pouvoirs dans le cadre de ce règlement. En outre, la possibilité d’interprétation à titre incident dudit règlement par l’autorité de la concurrence ne suscite pas davantage de difficultés quant à son application, qui est réservée aux autorités de contrôle, ni quant à l’imposition de mesures correctives ou de sanctions, puisque les mesures ou les sanctions éventuellement imposées par une autorité de la concurrence sont fondées sur des règles, des objectifs et des intérêts légitimes différents de ceux protégés par le même règlement [pour cette raison, d’ailleurs, dans une telle situation, l’imposition de sanctions de la part de l’autorité de la concurrence et de celle de contrôle au sens du RGPD ne tombe pas, à mon avis, sous le principe du ne bis in idem (voir, par analogie, arrêt du 22 mars 2022, bpost, C‑117/20, EU:C:2022:202, points 42 à 50)].

22 Par ailleurs, le risque d’interprétation divergente est inhérent à tout domaine régi par une réglementation dont l’autorité de la concurrence doit, ou peut, tenir compte afin d’apprécier la légalité d’un certain comportement au regard du droit de la concurrence.

23 Les chapitres VI et VII du RGPD instituent notamment des mécanismes de « guichet unique » d’échange d’informations et d’assistance mutuelle entre les autorités de contrôle.

24 Voir règlement n^o 1/2003 et directive (UE) 2019/1 du Parlement européen et du Conseil, du 11 décembre 2018, visant à doter les autorités de concurrence des États membres des moyens de mettre en œuvre plus efficacement les règles de concurrence et à garantir le bon fonctionnement du marché intérieur (JO 2019, L 11, p. 3).

25 Voir notamment, en ce sens, arrêts du 14 novembre 1989, Italie/Commission (14/88, EU:C:1989:421, point 20), et du 11 juin 1991, Athanasopoulos e.a. (C‑251/89, EU:C:1991:242, point 57).

26 Par ailleurs, le mécanisme de coopération entre les autorités de contrôle institué par le RGPD peut lui-même être considéré comme étant une lex specialis qui complète et précise le principe général de coopération loyale énoncé à l’article 4, paragraphe 3, TUE (voir notamment, en doctrine, Hijmans, H., « Article 51 Supervisory authority », The EU General Data Protection Regulation (GDPR) : A Commentary, Oxford, 2020, p. 869). Il en va de même des autres instruments de coopération préexistants à celui prévu par le RGPD, tel que le système de coopération entre les autorités de la concurrence (voir notamment chapitre IV du règlement n^o 1/2003).

27 Voir, en ce sens, conclusions de l’avocat général Trstenjak dans l’affaire Gorostiaga Atxalandabaso/Parlement (C‑308/07 P, EU:C:2008:498, point 89).

28 Voir, notamment, arrêt du 2 juin 2022, Skeyes (C‑353/20, EU:C:2022:423, point 52 et jurisprudence citée). À mon avis, des indications quant aux démarches à suivre pourront, le cas échéant, être tirées du système de coopération institué par le RGPD ainsi que de celui institué dans le domaine de la concurrence, tout en étant précisé que, en l’absence de dispositions ad hoc, le devoir de diligence pesant sur l’autorité de la concurrence ne va pas jusqu’à soumettre celle-ci à des obligations détaillées telles que, notamment, celles prévues dans le cadre de la procédure de coopération et de contrôle de la cohérence réglée au chapitre VII du RGPD (par exemple, il ne saurait être attendu de l’autorité de la concurrence qu’elle envoie un projet de décision à l’autorité de contrôle compétente au sens de ce règlement afin d’obtenir l’avis de celle-ci).

29 Voir notamment par analogie, s’agissant d’un domaine couvert par la réglementation de l’Union en matière pharmaceutique, arrêt du 23 janvier 2018, F. Hoffmann-La Roche e.a. (C‑179/16, EU:C:2018:25, points 58 à 64).

30 En d’autres termes, cette décision fait elle-même partie du cadre juridique et factuel que l’autorité de concurrence est tenue d’examiner, tout en restant libre d’en tirer ses conclusions sous l’angle de l’application du droit de la concurrence (voir note en bas de page 18 des présentes conclusions).

31 Étant donné le rôle et les fonctions des autorités de contrôle nationales dans le système de coopération institué par le RGPD, j’estime qu’une interaction avec l’autorité de contrôle nationale peut, à elle seule, suffire à remplir les obligations de diligence et de coopération loyale de l’autorité de la concurrence, en particulier lorsque celle-ci n’a pas la possibilité (compte tenu des procédures de droit national applicables) ou les moyens (en particulier linguistiques) pour interagir de façon satisfaisante avec l’autorité de contrôle chef de file d’un autre État membre.

32 Ou, le cas échéant, lorsque cette autorité est dans un autre État membre, l’autorité de contrôle nationale (voir note en bas de page 31 des présentes conclusions).

33 Tout en rappelant que l’interprétation donnée par une autorité de la concurrence de certaines dispositions du RGPD dans l’exercice de ses pouvoirs ne préjuge pas de l’interprétation et de l’application de celles-ci par les autorités de contrôle compétentes au sens de ce règlement (voir note en bas de page 21 des présentes conclusions).

34 Le Bundeskartellamt fait valoir, à cet égard, qu’il s’est appuyé sur le droit allemand de la concurrence, qui lui permet d’avoir des échanges avec les autorités de contrôle nationales au sens du RGPD.

35 Cela d’autant plus si, ainsi que le fait valoir le Bundeskartellamt, l’autorité de contrôle fédérale allemande et l’autorité de contrôle chef de file irlandaise lui ont confirmé que cette dernière n’avait entamé aucune procédure à l’égard des mêmes pratiques que celles examinées par celui-ci.

36 La juridiction de renvoi se réfère notamment à la consultation par l’utilisateur de pages Internet ou d’applications et à l’insertion de données sur ces pages ou applications (telles que des applications de flirt ou de rencontres pour homosexuels, ou de sites de partis politiques ou ayant trait à la santé), qui génèrent des données protégées par la disposition en question.

37 Ci-après les « données à caractère personnel sensibles ». Il s’agit du traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

38 Je relève, incidemment, que le Bundeskartellamt nourrit des doutes quant à la pertinence de cette question pour la solution du litige, du fait que, dans sa décision, celui-ci aurait tenu compte d’un consentement au sens de l’article 6, paragraphe 1, sous a), du RGPD et non d’un consentement au titre de l’article 9, paragraphe 2, sous a), de ce dernier.

39 La juridiction de renvoi se réfère, à cet égard, aux « plugins » sociaux, tels que les boutons « j’aime » ou « partager », au « login Facebook » (c’est-à-dire à la possibilité de s’identifier en utilisant les identifiants de connexion liés au compte Facebook) et à l’« account kit » (c’est-à-dire à la possibilité de s’identifier sur une application ou un site, non nécessairement connexe à Facebook, avec un numéro de téléphone ou une adresse e-mail, sans avoir besoin d’un mot de passe).

40 Je remarque également une incohérence importante entre la version française du RGPD qui, dans la première phrase de cette disposition, se réfère à un traitement des données à caractère personnel qui « révèle » certaines situations sensibles et la version allemande (ainsi que, notamment, les versions grecque et italienne) qui se réfère à un traitement des données à caractère personnel qui « révèlent » ces situations. Sauf erreur de ma part, la version française de cette disposition est en contradiction avec la plupart des autres versions linguistiques. D’ailleurs, dans le contexte de ladite disposition, il me semble plus logique de lier le verbe « révéler » aux données, car dans la suite de celle-ci ce sont les données qui font l’objet de l’analyse et non le traitement. Cela ressort également du texte français du libellé du considérant 51 du RGPD, qui précise que les données à caractère personnel sensibles « devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique » (mise en italique par mes soins).

41 À mon avis, il ne serait pas conforme à l’esprit de l’article 9, paragraphe 1, du RGPD (et de ce règlement), qui est de protéger certaines données sensibles de la personne, de distinguer, par exemple, entre, d’une part, l’origine raciale ou ethnique, qui comporterait l’interdiction de traiter non seulement des données qui l’indiquent directement, mais également celles qui révèlent cette situation et, d’autre part, des données génétiques, dont l’interdiction de traitement ne s’étendrait pas aux données qui révèlent cette situation, en ajoutant qu’il ne serait pas toujours évident de distinguer entre, d’une part, des données qui révèlent certaines situations (par exemple l’origine raciale ou ethnique) et, d’autre part, des données concernant d’autres situations (par exemple la santé). À cet égard, je remarque que si l’article 9, paragraphe 1, du RGPD se réfère notamment à des données concernant la santé, l’article 4, point 15, de celui-ci définit les « données concernant la santé » comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (mise en italique par mes soins). Ainsi que le laisse entendre le gouvernement allemand, il se peut que cette incohérence dans le libellé de la disposition en question ne constitue qu’un essai non particulièrement réussi de distinguer entre des pures données ayant une teneur informationnelle directe et des « métadonnées » pour lesquelles une teneur informationnelle correspondante n’apparaît que dans un contexte concret, au moyen d’une évaluation ou d’un rattachement.

42 En principe, ainsi que le fait valoir le requérant au principal, ces deux aspects sont différents. En effet, le simple fait qu’un utilisateur a accédé à un site Internet ou a interagi avec celui-ci ne révèle pas nécessairement en soi des informations sur ses croyances, sa santé, ses opinions politiques, etc., car l’intérêt pour un site Internet ne révèle pas automatiquement l’adhésion aux idées propagées ou aux catégories représentées par ce site. C’est notamment le cas de la consultation d’un site d’un parti politique ou qui propose une idéologie politique particulière, consultation qui ne comporte pas nécessairement le partage de cette idéologie, mais peut être effectuée par curiosité, voire par esprit critique à l’égard de ladite idéologie.

43 Selon Meta Platforms, le fait qu’un utilisateur a accédé à un site Internet ou a interagi avec celui-ci ne révèle pas en soi des informations sensibles, car même si un intérêt pour un site Internet était observé ou utilisé, cela ne constituerait pas un traitement de données à caractère personnel sensibles. Ce ne serait le cas que si les utilisateurs étaient catégorisés à travers ces données. Partant, les données faisant l’objet de la pratique litigieuse ne relèveraient de la protection prévue par l’article 9, paragraphe 1, du RGPD que si elles se rapportaient à l’une des catégories visées par celle-ci et sont traitées subjectivement, en connaissance de cause et dans l’intention d’en tirer ces catégories d’information. Selon l’interprétation, à mon avis trop rigide, du Bundeskartellamt, en revanche, le simple fait que la personne concernée consulte une page Internet déterminée ou utilise une application déterminée dont l’objet principal relève des domaines énumérés à l’article 9, paragraphe 1, du RGPD ouvre déjà le champ de la protection conférée par cette disposition. La protection des données à caractère personnel sensibles ne dépendrait pas de l’intention du responsable du traitement d’utiliser ces données, les droits de la personne concernée étant déjà affectés par le fait que lesdites données sont soustraites à sa sphère d’influence.

44 En effet, ainsi que l’a reconnu le Comité européen de la protection des données (CEPD), le simple fait qu’un fournisseur de médias sociaux traite de grandes quantités de données qui pourraient potentiellement être utilisées pour déduire des catégories particulières de données ne signifie pas automatiquement que le traitement relève de l’article 9 du RGPD [voir CEPD, lignes directrices 8/2020, du 13 avril 2021, sur le ciblage des utilisateurs de médias sociaux (ci-après les « lignes directrices CEPD 8/2020 »), point 124].

45 Une telle interprétation permettrait, à mon avis, d’éviter la situation, déplorée par le requérant au principal, dans laquelle, en substance, le responsable du traitement violerait par défaut le RGPD puisqu’il ne pourrait pas empêcher la réception éventuelle (notamment par des moyens automatisés) d’informations ayant un lien indirect avec les catégories de données sensibles, sans préjudice de l’obligation, qui incombe au responsable du traitement, de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.

46 Voir, en ce sens, lignes directrices CEPD 8/2020, point 125.

47 La juridiction de renvoi mentionne, à cet égard, la personnalisation du réseau social et de la publicité, la sécurité du réseau, l’amélioration des services, la fourniture de services de mesure et d’analyse pour les annonceurs, la recherche pour le bien de tous, le fait de répondre à des demandes légales, la conformité à des obligations légales, la protection d’intérêts vitaux des utilisateurs et des tiers, les tâches accomplies dans l’intérêt du public.

48 Voir, par analogie, arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, point 89 et jurisprudence citée), concernant l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11).

49 Voir également avis 6/2014, p. 10 et 11, du groupe de travail « Article 29 », organe consultatif indépendant institué en vertu de l’article 29 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), et remplacé, depuis l’adoption du RGPD, par le CEPD.

50 Cette condition est, à mon avis, très proche de celle du consentement de la personne concernée.

51 Je rappelle que, conformément à l’article 5, paragraphe 2, du RGPD, c’est sur le responsable du traitement que pèse la charge de la preuve que les données à caractère personnel sont traitées selon la norme du RGPD.

52 Par ailleurs, si un utilisateur attentif est probablement conscient du fait que les informations de connexion sont accessibles au gestionnaire du site Internet ou de l’application en question, il n’est pas si évident, à mon avis, qu’il soit également conscient que ces informations sont également accessibles au gestionnaire de son compte Facebook.

53 L’utilisateur est, tout au plus, conscient de sa « relation » avec le gestionnaire du site ou de l’application et les tiers auxquels celui-ci transmet ces informations, mais il se peut qu’il ne soit pas même conscient de cette relation, car, selon les circonstances, il pourrait avoir l’impression de révéler des informations, éventuellement de manière anonymisée, à un simple appareil.

54 Il s’agit des boutons tels que « j’aime », « je partage », etc. (voir note en bas de page 39 des présentes conclusions).

55 Par exemple, Facebook offre à l’utilisateur, dans ses préférences, plusieurs options de partage des informations disponibles sur son compte Facebook.

56 Certes, il ne saurait être exclu que, dans des cas particuliers, l’utilisateur, par ces actes, veuille effectivement transmettre des informations le concernant à un nombre indéterminé de personnes. Par exemple, il est possible que l’utilisateur ait paramétré les options de partage de son compte Facebook de manière à ce que des contenus présents sur son profil soient accessibles à tous les utilisateurs de ce réseau social, ce dont il est conscient. Toutefois, même dans de telles circonstances, il ne va pas de soi que l’utilisateur, par un tel comportement, ait voulu sans aucun doute exprimer l’intention de rendre manifestement publiques les données à caractère personnel en question, vu le caractère strict de l’exception en question (voir point 42 des présentes conclusions).

57 Voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 87 à 89).

58 Notamment des « témoins de connexion (cookies) » (voir le considérant 25 de la directive 2002/58).

59 Par ailleurs, ce consentement ne peut pas davantage être assimilé à un consentement explicite au traitement desdites données au sens de l’article 9, paragraphe 2, sous a), du RGPD. Un consentement au profilage au sens de l’article 22, paragraphe 1, sous c), du RGPD, dont l’objet est évidemment limité aux traitements de profilage, ne pourrait pas davantage avoir de pertinence.

60 En ce qui concerne la cinquième question préjudicielle, la juridiction de renvoi a inclus dans la pratique litigieuse – outre la collecte, la mise en relation avec le compte Facebook de l’utilisateur et l’utilisation de données issues d’autres services propres au groupe, ainsi que de sites Internet et d’applications tiers (voir point 10 des présentes conclusions) – également « l’utilisation de données déjà autrement et légalement collectées et mises en relation avec le compte Facebook de l’utilisateur ».

61 Article 6, paragraphe 1, sous b), du RGPD.

62 Article 6, paragraphe 1, sous f), du RGPD.

63 Article 6, paragraphe 1, sous f), du RGPD.

64 À savoir la qualité de mineurs des utilisateurs, la fourniture de services de mesure, d’analyse et d’autres services commerciaux, la fourniture de communications marketing aux utilisateurs, la recherche et l’innovation à des fins sociales, ainsi que le partage d’informations avec les autorités répressives et la réponse aux demandes légales.

65 Article 6, paragraphe 1, sous c), du RGPD.

66 Article 6, paragraphe 1, sous d), du RGPD.

67 Article 6, paragraphe 1, sous e), du RGPD.

68 En effet, la quatrième question préjudicielle semble inviter la Cour à se prononcer sur l’application, plutôt que sur l’interprétation, de l’article 6, paragraphe 1, sous f), du RGPD et la cinquième question préjudicielle ne précise pas les motifs pour lesquels la juridiction de renvoi nourrit de doutes au sujet de l’interprétation de l’article 6, paragraphe 1, sous c), d) et e), de ce règlement.

69 Voir CEPD, lignes directrices 2/2019, du 8 octobre 2019, sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées (ci-après les « lignes directrices CEPD 2/2019 »), point 1.

70 À cet égard, si les parties au principal sont, en substance, d’accord sur la prémisse selon laquelle, aux fins de l’application des justifications en question, une analyse au cas par cas est demandée, leurs positions divergent quant aux conséquences pratiques de cette prémisse. Le Bundeskartellamt souligne qu’il incombe au responsable du traitement d’établir de manière circonstanciée quelles données seront traitées concrètement dans quel scénario d’utilisation et fait valoir, notamment, que le requérant au principal s’est borné à exposer que l’ensemble du traitement des données provenant des sources en dehors de Facebook serait nécessaire à chacune des fins du traitement des données qui sont énoncées dans les conditions de service. Meta Platforms Ireland, en revanche, considère que, sans examiner les particularités de chaque traitement, le Bundeskartellamt ne pouvait pas exclure que la pratique litigieuse puisse être fondée sur les justifications en question et il ne pouvait donc pas conclure que cette pratique serait incompatible avec le RGPD.

71 Le consentement de l’utilisateur est prévu à l’article 6, paragraphe 1, sous a), du RGPD.

72 À cet égard, les lignes directrices CEPD 2/2019, au point 16, précisent notamment que les principes de limitation de la finalité [article 5, paragraphe 1, sous b), du RGPD] et de minimisation des données [article 5, paragraphe 1, sous c), du RGPD] sont particulièrement importants dans les contrats de services en ligne, qui ne font généralement pas l’objet d’une négociation individuelle, en vertu du risque accru que les responsables du traitement cherchent à inclure des conditions visant à maximiser la collecte et les utilisations possibles des données, sans préciser ces finalités de manière adéquate ni prévoir des obligations de minimisation des données.

73 Selon les lignes directrices CEPD 2/2019, point 2, cette disposition renforce la liberté d’entreprise, qui est garantie à l’article 16 de la Charte, et reflète le fait que, parfois, les obligations contractuelles envers la personne concernée ne peuvent être exécutées sans que cette dernière fournisse certaines données à caractère personnel. Je précise que le second cas de figure prévu par cette disposition, relatif à la nécessité du traitement pour l’exécution de mesures précontractuelles prises à la demande de la personne concernée, n’est pas pertinent en l’espèce. Il en va de même de la question de l’existence d’un contrat valide au regard tant du droit des contrats applicable ainsi que des autres exigences légales, y compris celles concernant les contrats conclus avec des consommateurs [voir notamment la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO 1993, L 95, p. 29)], qui ne fait pas l’objet du renvoi préjudiciel.

74 Voir, en ce qui concerne la norme correspondant à l’article 6, paragraphe 1, sous b), du RGPD, énoncée à l’article 7, sous e), de la directive 95/46, arrêt du 16 décembre 2008, Huber (C‑524/06, EU:C:2008:724, point 52).

75 D’ailleurs, si le simple fait de mentionner ou de faire référence au traitement de données à caractère personnel dans un contrat ne suffit pas à faire entrer le traitement en question dans le champ d’application de l’article 6, paragraphe 1, point b), du RGPD, le traitement peut être objectivement nécessaire même s’il n’est pas expressément mentionné dans le contrat, sans préjudice des obligations du responsable du traitement en matière de transparence (voir lignes directrices CEPD 2/2019, point 27).

76 Voir lignes directrices CEPD 2/2019, point 25.

77 Voir, en ce sens, arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert (C‑92/09 et C‑93/09, EU:C:2010:662, point 86), ainsi que lignes directrices CEPD 2/2019, point 25. À cet égard, ces lignes directrices, aux points 27 à 32, se réfèrent notamment à ce que le traitement soit objectivement nécessaire à une finalité qui fait partie intégrante de la prestation de ce service contractuel à la personne concernée, le responsable du traitement devant être en mesure de démontrer en quoi l’objet principal du contrat spécifique conclu avec la personne concernée ne peut être effectivement exécuté en l’absence du traitement spécifique des données à caractère personnel concernées. Au point 33, lesdites lignes directrices fournissent des questions-guides à cet égard.

78 Voir lignes directrices CEPD 2/2019, point 32.

79 Voir lignes directrices CEPD 2/2019, point 37.

80 À cet égard, le gouvernement autrichien observe, de manière pertinente, que, auparavant, le requérant au principal permettait aux utilisateurs de Facebook de choisir entre une présentation chronologique ou une présentation personnalisée des contenus du fil d’actualité, ce qui démontre qu’une modalité alternative est envisageable.

81 Sous réserve de l’appréciation de la juridiction de renvoi, je ne crois pas que la collecte et l’utilisation des données à caractère personnel en dehors de Facebook puissent être nécessaires à la prestation des services proposés dans le cadre du profil Facebook, de telle sorte que le consentement donné initialement pour l’accès au réseau social (à savoir l’ouverture d’un profil Facebook) puisse validement couvrir le traitement des données à caractère personnel de l’utilisateur en dehors de Facebook. En effet, dans une telle circonstance, l’utilisation des services en question serait subordonnée à un consentement qui n’est pas nécessaire à l’exécution du contrat et, conformément à l’article 7, paragraphe 4, du RGPD, la juridiction de renvoi devra tenir le plus grand compte de cette circonstance (qui, conformément au considérant 43 du RGPD, constitue une présomption de non-validité du consentement qu’il incombe au responsable du traitement de renverser au sens de l’article 7, paragraphe 1, du RGPD). En outre, un tel consentement ne respecterait pas davantage, à mon avis, la règle qui impose un consentement distinct à l’égard de différentes opérations de traitement des données à caractère personnel (voir troisième partie du point 74 des présentes conclusions), puisque rien ne lie le consentement initial de l’utilisateur à l’ouverture du compte Facebook à un éventuel consentement de celui-ci au traitement de données à caractère personnel en dehors de Facebook. Par ailleurs, même dans le cas d’un éventuel consentement ultérieur, donné spécifiquement pour l’utilisation des données en dehors de Facebook, il est important d’examiner si le responsable du traitement offre le choix d’un service équivalent n’impliquant pas de consentir au traitement de données à caractère personnel à des fins complémentaires [voir CEPD, lignes directrices 5/2020, du 4 mai 2020, sur le consentement au sens du règlement (UE) 2016/679 (ci-après les « lignes directrices CEPD 5/2020 »), point 37, qui précisent également, au point 38, que le responsable du traitement ne peut pas renvoyer à un service équivalent presté par un autre opérateur].

82 Ainsi que le relève le gouvernement autrichien, il me semble décisif de constater, à cet égard, que les différents produits du groupe peuvent être utilisés indépendamment les uns des autres et que l’utilisation de chaque service est fondée sur un contrat d’utilisation distinct. Par ailleurs, comme l’observe le Bundeskartellamt, plutôt qu’être considérée comme étant nécessaire au fonctionnement des services propres au groupe, l’utilisation homogène et fluide de ces services devrait être considérée comme constituant un intérêt de l’utilisateur, de sorte que, en principe, il paraîtrait plus opportun que ce soit au choix de celui-ci.

83 Voir, par analogie, arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 28), concernant la norme correspondant à l’article 6, paragraphe 1, sous f), du RGPD, énoncée à l’article 7, sous f), de la directive 95/46.

84 Comme relevé dans les conclusions de l’avocat général Bobek dans l’affaire Fashion ID (C‑40/17, EU:C:2018:1039, point 122), la notion d’« intérêt légitime » dans le cadre de la directive 95/46 paraissait être assez souple et ouverte. En effet, ainsi que le fait valoir le requérant au principal, la Cour a reconnu plusieurs intérêts comme étant légitimes [voir notamment arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 81), du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, point 55), du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 29), du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 53), du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, point 59), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, points 108 et 109)]. La même conclusion est à tirer, à mon avis, du RGPD, dont le considérant 47 mentionne notamment, à titre illustratif, la situation où la personne concernée est un client du responsable du traitement ou est à son service et le traitement de données à caractère personnel à des fins de prévention de fraude ou à des fins de prospection, et dont le considérant 49 mentionne la sécurité du réseau et des informations ainsi que des services offerts.

85 Ce qui comporte, à mon avis, l’exigence de préciser quelle opération de traitement est fondée sur quel intérêt légitime.

86 Voir arrêts du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 30), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 110).

87 Voir, en ce sens, arrêts du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 31), et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 111). La Cour a rappelé, à cet égard, que l’article 7, sous f), de la directive 95/46 [qui correspond à l’article 6, paragraphe 1, sous f), du RGPD] s’opposait à ce qu’un État membre exclue de façon catégorique et généralisée la possibilité pour certaines catégories de données à caractère personnel d’être traitées, sans permettre une pondération des droits et des intérêts opposés en cause dans un cas particulier, en précisant qu’un État membre ne saurait ainsi prescrire, pour ces catégories, de manière définitive, le résultat de la pondération des droits et des intérêts opposés, sans permettre un résultat différent en raison de circonstances particulières d’un cas concret (arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 62 et jurisprudence citée).

88 L’avis 6/2014 du groupe de travail « Article 29 » fournit des considérations intéressantes à cet égard à son paragraphe III.3.4.

89 En effet, selon le considérant 49 du RGPD, le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s’agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants. Je relève également que, conformément à l’article 32 du RGPD, entre autres, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et que, conformément à l’article 5, paragraphe 1, sous f), de ce règlement, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel.

90 Il convient donc de vérifier dans quelle mesure le traitement de données à caractère personnel externes au site ou à l’application Facebook se révèle nécessaire pour la sécurité de ce dernier. Si la juridiction de renvoi relève, à cet égard, la possibilité de l’utilisation des données WhatsApp en fonction anti-spam (en utilisant des informations issues des comptes WhatsApp qui envoient du spam pour prendre des mesures contre les comptes Facebook correspondants) et de données Instagram pour relever des comportements douteux ou illicites, je doute que le requérant au principal puisse s’arroger le droit de traiter des données à caractère personnel à des fins de « police » au sens large, vu que, selon la jurisprudence de la Cour, dans le domaine (différent, mais connexe) des données relatives aux communications électroniques, même des mesures législatives prévoyant, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ne sont pas compatibles avec la directive 2002/58 [voir arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 168)]. Par ailleurs, dans l’hypothèse où la nécessité de garantir la sécurité du réseau relève d’une exigence légale, le responsable du traitement peut invoquer la justification spécifique prévue à l’article 6, paragraphe 1, sous c), du RGPD.

91 Conformément à l’article 6, paragraphe 1, sous c), d) et e), du RGPD.

92 Voir point 48 des présentes conclusions.

93 Compte tenu du large éventail d’intérêts légitimes reconnus par la jurisprudence (voir point 60 des présentes conclusions). Par exemple, il me semble évident, en principe, que la protection des mineurs puisse justifier l’adoption de mesures de protection appropriées, visant à leur interdire l’accès à des contenus inappropriés ou dangereux.

94 En effet, conformément à l’article 13, paragraphe 1, sous c) et d), du RGPD, il incombe, notamment, au responsable du traitement d’indiquer, pour chaque finalité de traitement, les intérêts légitimes poursuivis par lui-même ou par un tiers.

95 Dans l’arrêt du 11 novembre 2020, Orange Romania (C‑61/19, EU:C:2020:901, point 35 et 36 ainsi que jurisprudence citée), la Cour a précisé que le libellé de l’article 4, point 11, du RGPD, qui définit le « consentement de la personne concernée », apparaît plus strict que celui de l’article 2, sous h), de la directive 95/46, en ce qu’il requiert une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« un acte positif clair » marquant son acceptation du traitement des données à caractère personnel la concernant.

96 Ainsi que le souligne le CEPD, l’adjectif « libre » implique un choix et un contrôle réel pour les personnes concernées (voir lignes directrices CEPD 5/2020, point 13). Le même point précise notamment que le consentement n’a pas été donné librement si, d’une part, la personne concernée se sent contrainte de consentir ou subir des conséquences négatives importantes si elle ne donne pas son consentement et, d’autre part, le consentement est présenté comme une partie non négociable des conditions générales. Partant, le consentement ne sera pas considéré comme étant donné librement si cette personne n’est pas en mesure de refuser ou de le retirer sans subir de préjudice. Dans ce cas, ainsi que le souligne le requérant au principal, le seul inconvénient que la personne concernée doit accepter est que le service puisse, le cas échéant, ne pas avoir la même fonctionnalité ou qualité, dans la mesure où le traitement des données pour lequel le consentement n’a pas été donné est techniquement nécessaire pour cela.

97 À cet égard, les lignes directrices CEPD 5/2020 mentionnent la tromperie, l’intimidation, la coercition ou toute conséquence négative importante si la personne concernée refuse de donner son consentement et rappelle la charge pesant sur le responsable du traitement de prouver que cette personne dispose d’une véritable liberté de choix en ce qui concerne l’octroi et le retrait du consentement (point 47).

98 Outre les situations concernant les relations avec des autorités publiques et les relations de travail, évoquées au considérant 43, qui ne sont pas pertinentes en l’espèce, le point 24 des lignes directrices CEPD 5/2020 évoque notamment des situations où la personne concernée n’est véritablement pas en mesure d’exercer un choix ou dans lesquelles il y a un risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes (par exemple des coûts supplémentaires importants) si elle ne donne pas son consentement.

99 Cette question recoupe, en partie, celle qui fait l’objet de la première partie de la troisième question préjudicielle (voir points 53 à 57 des présentes conclusions). Le considérant 43, seconde phrase, du RGPD précise que, dans une telle situation, le consentement est présumé ne pas avoir été donné librement (selon le point 26 des lignes directrices CEPD 5/2020, ce faisant, le RGPD veille à ce que le traitement de données à caractère personnel pour lequel le consentement est sollicité ne puisse pas devenir directement ou indirectement la contrepartie d’un contrat), l’utilisation du terme « présumé » indiquant clairement que les cas dans lesquels le consentement est valable seront hautement exceptionnels (voir point 35 de ces lignes directrices). En outre, de par l’usage des termes « entre autres », l’article 7, paragraphe 4, du RGPD a été rédigé de façon non exhaustive, ce qui signifie qu’une série d’autres situations peut tomber sous le coup de cette disposition, y compris toute pression ou influence inappropriée exercée sur la personne concernée et l’empêchant d’exercer sa volonté (lignes directrices CEPD 5/2020, point 14).

100 Le considérant 32 du RGPD précise notamment que le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités et que, lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. À cet égard, les lignes directrices CEPD 5/2020 se réfèrent à la « granularité » du consentement en tant qu’obstacle à sa liberté (point 44).

101 Une telle situation favorise notamment l’imposition des conditions qui ne sont pas nécessaires à l’exécution du contrat (voir points 53 à 57 des présentes conclusions).

102 En d’autres termes, ainsi que le relève la Commission, le degré de puissance de marché relative de l’entreprise qui est critique pour la validité du consentement en vertu du RGPD ne peut pas être nécessairement assimilé au seuil de position dominante sur le marché au sens de l’article 102 TFUE.

103 Bien évidemment, si l’existence d’une position dominante ne s’oppose pas, à elle seule, à la possibilité de donner un consentement libre au traitement des données personnelles, l’absence d’une telle position ne suffit pas, à elle seule, à garantir, en toutes circonstances, qu’un tel consentement soit valablement donné.