CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Demande de décision préjudicielle présentée par l’Oberlandesgericht Düsseldorf (Allemagne) le 22 avril 2021 – Facebook Inc. e.a./Bundeskartellamt

(Affaire C-252/21)

Langue de procédure : l’allemand

Juridiction de renvoi

Oberlandesgericht Düsseldorf

Parties dans la procédure au principal

Parties requérantes : Facebook Inc., Facebook Ireland Ltd., Facebook Deutschland GmbH

Partie défenderesse : Bundeskartellamt

Autre partie à la procédure : Verbraucherzentrale Bundesverband e.V.

Questions préjudicielles

a) Est-il compatible avec les articles 51 et suivants du règlement (UE) 2016/679 ¹ (ci-après le « RGPD »)qu’une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD, dans une situation où une entreprise établie en-dehors de l’Union européenne possède, dans ledit État membre, une succursale qui assiste, dans le domaine de la publicité, de la communication et des relations publiques, l’établissement principal de cette entreprise qui se trouve dans un autre État membre et qui est le responsable à titre exclusif pour le traitement des données à caractère personnel pour l’ensemble du territoire de l’Union européenne, constate, dans le cadre du contrôle des pratiques abusives au regard du droit de la concurrence, une violation du RGPD par des conditions contractuelles de l’établissement principal concernant le traitement des données, ainsi que par la mise en œuvre de ces conditions, et ordonne la cessation de cette infraction ?

b) Dans l’affirmative, est-il compatible avec l’article 4, paragraphe 3, TUE, que l’autorité de contrôle chef de file, dans l’État membre de l’établissement principal, soumette, conformément à l’article 56, paragraphe 1, RGPD, les conditions contractuelles de ce dernier concernant le traitement des données à une procédure d’examen ?

En cas de réponse affirmative à la première question :

a) Lorsqu’un utilisateur d’Internet soit consulte simplement des sites Internet ou des applications en rapport avec les critères de l’article 9, paragraphe 1, RGPD, tels que des applications de flirt, des applications de rencontres pour homosexuels, des sites Internet de partis politiques, des sites Internet ayant trait à la santé, soit y insère des données, par exemple en s’inscrivant ou en effectuant des commandes, et une autre entreprise, telle que Facebook Ireland, collecte, à travers des interfaces intégrées telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires, les données concernant la consultation de ces sites Internet et applications par l’utilisateur et les données insérées par ce dernier, les met en relation avec les données du compte Facebook.com de l’utilisateur et les utilise, cette collecte et/ou cette mise en relation et/ou cette utilisation constituent-elles un traitement de données sensibles au sens de cette disposition ?

b) Dans l’affirmative, en consultant ces pages Internet et applications et/ou en insérant des données et/ou en activant des boutons de sélection d’un opérateur comme Facebook Ireland, intégrés dans ces sites Internet ou applications (« plugins sociaux » tels que « J’aime », « partager » ou « login Facebook » ou « Account Kit »), l’utilisateur rend-il manifestement publiques les données concernant la consultation en tant que telle et/ou les données qu’il a insérées, au sens de l’article 9, paragraphe 2, sous e), RGPD ?

Une entreprise comme Facebook Ireland, qui exploite un réseau social financé par la publicité et qui propose, dans ses conditions de service, la personnalisation des contenus et de la publicité, la sécurité du réseau, l’amélioration du produit ainsi que l’utilisation homogène et fluide de tous les produits propres au groupe, peut-elle se prévaloir de la justification tirée du caractère nécessaire à l’exécution du contrat, conformément à l’article 6, paragraphe 1, sous b), RGPD, ou de la prise en compte d’intérêts légitimes, conformément à l’article 6, paragraphe 1, sous f), RGPD, lorsqu’elle collecte, met en relation avec le compte Facebook.com de l’utilisateur et utilise, à ces fins, des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?

En pareil cas

– le fait que l’utilisateur soit mineur, aux fins de la personnalisation des contenus et de la publicité, de l’amélioration du produit, de la sécurité du réseau et de la communication non commerciale avec l’utilisateur,

– la mise à la disposition des annonceurs, des développeurs et autres partenaires de mesures, d’analyses et d’autres services professionnels, afin qu’ils puissent évaluer leurs prestations et les améliorer,

– la mise à disposition d’une communication commerciale avec l’utilisateur, afin que l’entreprise puisse améliorer ses produits et effectuer une promotion commerciale directe,

– la recherche et l’innovation pour des finalités sociales, en vue de promouvoir l’état de la technique et la compréhension scientifique à l’égard de thématiques sociales importantes et en vue d’influencer positivement la société et le monde,

– l’information des autorités compétentes pour l’exercice de poursuites pénales et pour l’exécution de peines, et la réponse à des demandes légales visant à éviter, découvrir et poursuivre des infractions, des violations des conditions de service et des politiques ainsi que d’autres comportements nuisibles,

peuvent-ils également constituer un intérêt légitime au sens de l’article 6, paragraphe 1, sous b), RGPD, lorsque l’entreprise, à cet effet, collecte, met en relation avec le compte Facebook.com de l’utilisateur et utilise des données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, ou à travers des technologies d’enregistrement similaires ?

En pareil cas, la collecte de données issues d’autres services propres au groupe et de sites Internet et d’applications tiers, à travers des interfaces intégrées à ces derniers, telles que les « Outils Facebook Business », ou bien à travers des cookies enregistrés dans l’ordinateur ou le terminal mobile de l’utilisateur d’Internet, la mise en relation avec le compte Facebook.com de l’utilisateur et l’utilisation de ces données ou bien l’utilisation de données déjà autrement et légalement collectées et mises en relation peuvent elles, le cas échéant, également être justifiées au titre de l’article 6, paragraphe 1, sous c), d) et e), RGPD, par exemple en vue de répondre à une demande juridiquement valable de fournir certaines données [sous c)], en vue de lutter contre des comportements nuisibles et de promouvoir la sécurité [sous d)], aux fins de la recherche pour le bien de la société et en vue de promouvoir la protection, l’intégrité et la sécurité [sous e)] ?

Un consentement valable et libre, notamment au sens de l’article 4, point 11, RGPD, peut-il être donné à une entreprise ayant une position dominante sur le marché, telle que Facebook Ireland, conformément à l’article 6, paragraphe 1, sous a), et à l’article 9, paragraphe 2, sous a), RGPD ?

En cas de réponse négative à la première question :

a) Une autorité de la concurrence nationale d’un État membre, telle que le Bundeskartellamt, qui n’est pas une autorité de contrôle au sens des articles 51 et suivants du RGPD et qui examine une violation de l’interdiction des pratiques abusives en matière de droit de la concurrence commise par une entreprise ayant une position dominante sur le marché et ne consistant pas en une violation du RGPD par ses conditions de traitement des données et par la mise en œuvre de celles-ci, peut-elle établir, par exemple dans le cadre de la mise en balance des intérêts, si les conditions de traitement des données de l’entreprise en question et leur mise en œuvre sont conformes au RGPD ?

b) Si oui : cela s’applique-t-il, eu égard à l’article 4, paragraphe 3, TUE, également lorsque, en même temps, les conditions de traitement des données de cette même entreprise sont soumises à une procédure d’examen par l’autorité de contrôle chef de file compétente en vertu de l’article 56, paragraphe 1, RGPD ?

En cas de réponse affirmative à la question 7, il est nécessaire de répondre aux questions 3 à 5 en ce qui concerne les données issues de l’utilisation du service Instagram propre à l’entreprise.

____________

¹ Règlement du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).