HOTĂRÂREA CURȚII (Marea Cameră)

4 iulie 2023(*)

CUPRINS

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Rețele sociale online – Abuz de poziție dominantă al operatorului unei astfel de rețele – Abuz care constă în prelucrarea datelor cu caracter personal ale utilizatorilor acestei rețele prevăzută de condițiile generale de utilizare a acesteia – Competențele unei autorități de concurență a unui stat membru de a constata neconformitatea acestei prelucrări cu regulamentul menționat – Corelare cu competențele autorităților naționale de supraveghere a protecției datelor cu caracter personal – Articolul 4 alineatul (3) TUE – Principiul cooperării loiale – Articolul 6 alineatul (1) primul paragraf literele (a)-(f) din Regulamentul 2016/679 – Legalitatea prelucrării – Articolul 9 alineatele (1) și (2) – Prelucrare a unor categorii speciale de date cu caracter personal – Articolul 4 punctul 11 – Noțiunea de «consimțământ»”

În cauza C‑252/21,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania), prin decizia din 24 martie 2021, primită de Curte la 22 aprilie 2021, în procedura

Meta Platforms Inc., fostă Facebook Inc.,

Meta Platforms Ireland Ltd, fostă Facebook Ireland Ltd,

Facebook Deutschland GmbH

împotriva

Bundeskartellamt,

cu participarea:

Verbraucherzentrale Bundesverband eV,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnul L. Bay Larsen, vicepreședinte, doamnele A. Prechal și K. Jürimäe, domnii C. Lycourgos, M. Safjan, doamna L. S. Rossi (raportoare), domnul D. Gratsias și doamna M. L. Arastey Sahún, președinți de cameră, domnii J.‑C. Bonichot, S. Rodin, F.  Biltgen, M. Gavalec, Z. Csehi și doamna O. Spineanu‑Matei, judecători,

avocat general: domnul A. Rantos,

grefier: domnul D. Dittert, șef de unitate,

având în vedere procedura scrisă și în urma ședinței din 10 mai 2022,

luând în considerare observațiile prezentate:

–        pentru Meta Platforms Inc., fostă Facebook Inc., Meta Platforms Ireland Ltd, fostă Facebook Ireland Ltd, și Facebook Deutschland GmbH, de M. Braun, M. Esser, L. Hesse, J. Höft și H.‑G. Kamann, Rechtsanwälte;

–        pentru Bundeskartellamt, de J. Nothdurft, K. Ost, I. Sewczyk și J. Topel, în calitate de agenți;

–        pentru Verbraucherzentrale Bundesverband eV, de S. Louven, Rechtsanwalt;

–        pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

–        pentru guvernul ceh, de M. Smolek și J. Vláčil, în calitate de agenți;

–        pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de E. De Bonis și P. Gentili, avvocati dello Stato;

–        pentru guvernul austriac, de A. Posch, J. Schmoll și G. Kunnert, în calitate de agenți;

–        pentru Comisia Europeană, de F. Erlbacher, H. Kranenborg și G. Meessen, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 20 septembrie 2022,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 4 alineatul (3) TUE, precum și a articolului 6 alineatul (1), a articolului 9 alineatele (1) și (2), a articolului 51 alineatul (1) și a articolului 56 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).

2        Această cerere a fost formulată în cadrul unui litigiu între Meta Platforms Inc., fostă Facebook Inc., Meta Platforms Ireland Ltd, fostă Facebook Ireland Ltd, și Facebook Deutschland GmbH, pe de o parte, și Bundeskartellamt (Oficiul Federal al Concurenței, Germania), pe de altă parte, în legătură cu decizia acestuia din urmă de a interzice societăților respective să prelucreze anumite date cu caracter personal după cum prevăd condițiile generale de utilizare a rețelei sociale Facebook (denumite în continuare „condițiile generale”).

 Cadrul juridic

 Dreptul Uniunii

 Regulamentul (CE) nr. 1/2003

3        Articolul 5 din Regulamentul (CE) nr. 1/2003 al Consiliului din 16 decembrie 2002 privind punerea în aplicare a normelor de concurență prevăzute la articolele [101] și [102 TFUE] (JO 2003, L 1, p. 1, Ediție specială, 08/vol. 1, p. 167), intitulat „Competențele autorităților de concurență ale statelor membre”, prevede:

„Autoritățile de concurență ale statelor membre sunt competente să aplice articolele [101 și 102 TFUE] în cazuri individuale. În acest scop, acționând din oficiu sau ca urmare a unei plângeri, ele pot lua următoarele decizii:

–        să solicite încetarea unei încălcări;

–        să dispună măsuri provizorii;

–        să accepte angajamente;

–        să impună amenzi, penalități cu titlu cominatoriu sau orice alte sancțiuni prevăzute de dreptul lor național.

Atunci când, pe baza informațiilor de care dispun, condițiile de interdicție nu sunt îndeplinite, ele pot decide de asemenea că nu există motive pentru a interveni.”

 RGPD

4        Considerentele (1), (4), (38), (42), (43), (46), (47), (49) și (51) ale RGPD au următorul cuprins:

„(1)      Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene («carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(4)      Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.

[…]

(38)      Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

[…]

(42)      În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și‑a dat consimțământul pentru operațiunea de prelucrare. […] Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

(43)      Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator, în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Consimțământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

[…]

(46)      Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui, în principiu, să fie efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

(47)      Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. […] În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. […] Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.

[…]

(49)      Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme sau accesibile prin intermediul acestora […] constituie un interes legitim al operatorului de date în cauză.

[…]

(51)      Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului «origine rasială» în prezentul regulament neimplicând o acceptare de către Uniune[a] [Europeană] a teoriilor care urmăresc să stabilească existența unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.”

5        Articolul 4 din acest regulament prevede:

„În sensul prezentului regulament:

1.      «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]

2.      «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7.      «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

[…]

11.      «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

[…]

23.      «prelucrare transfrontalieră» înseamnă:

(a)      fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; […]

(b)      fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre;

[…]”

6        Articolul 5 din regulamentul menționat, intitulat „Principii legate de prelucrarea datelor cu caracter personal ”, prevede la alineatele (1) și (2):

„(1)      Datele cu caracter personal sunt:

(a)      prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

(b)      colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […]

(c)      adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

[…]

(2)      Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

7        Articolul 6 din același regulament, intitulat „Legalitatea prelucrării”, prevede următoarele:

„(1)      Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)      persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)      prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)      prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)      prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e)      prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)      prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

[…]

(3)      Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a)      dreptul Uniunii sau

(b)      dreptul intern care se aplică operatorului.

[…]

[…] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.”

8        Articolul 7 din RGPD, intitulat „Condiții privind consimțământul”, prevede:

„(1)      În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

[…]

(4)      Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.”

9        Articolul 9 din acest regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, prevede:

„(1)      Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

(2)      Alineatul (1) nu se aplică în următoarele situații:

(a)      persoana vizată și‑a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;

[…]

(e)      prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f)      prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;

[…]”

10      Articolul 13 din regulamentul menționat, privind „[i]nformații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (1) următoarele:

„În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

[…]

(c)      scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d)      în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;

[…]”

11      Capitolul VI din RGPD, referitor la „[a]utorități de supraveghere independente”, cuprinde articolele 51-59 din acest regulament.

12      Articolul 51 din regulamentul menționat, intitulat „Autoritatea de supraveghere”, prevede la alineatele (1) și (2):

„(1)      Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii […]

(2)      Fiecare autoritate de supraveghere contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia [Europeană], în conformitate cu capitolul VII.”

13      Potrivit articolului 55 din același regulament, intitulat „Competența”:

„(1)      Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.

(2)      În cazul în care prelucrarea este efectuată de autorități publice sau de organisme private care acționează pe baza literei (c) sau (e) de la articolul 6 alineatul (1), este [competentă] autoritatea de supraveghere din statul membru respectiv. În astfel de cazuri, nu se aplică articolul 56.”

14      Articolul 56 din RGPD, intitulat „Competența autorității de supraveghere principale”, prevede la alineatul (1):

„Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.”

15      Articolul 57 din acest regulament, intitulat „Sarcini”, prevede la alineatul (1):

„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a)      monitorizează și asigură aplicarea prezentului regulament;

[…]

(g)      cooperează, inclusiv prin schimb de informații, cu alte autorități de supraveghere și își oferă asistență reciprocă pentru a asigura coerența aplicării și respectării prezentului regulament;

[…]”

16      Articolul 58 din regulamentul menționat stabilește la alineatul (1) lista competențelor de investigare pe care le are fiecare autoritate de supraveghere și prevede la alineatul (5) că „fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament”.

17      Secțiunea 1, intitulată „Cooperare”, din capitolul VII din RGPD, care poată denumirea de „Cooperare și coerență”, cuprinde articolele 60-62 din acest regulament. Articolul 60, privind „[c]ooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”, prevede la alineatul (1):

„Autoritatea de supraveghere principală cooperează cu celelalte autorități de supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un consens. Autoritatea de supraveghere principală și autoritățile de supraveghere vizate își comunică reciproc toate informațiile relevante.”

18      Articolul 61 din RGPD, intitulat „Asistență reciprocă”, prevede la alineatul (1):

„Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de supraveghere, cum ar fi cereri privind autorizări și consultări prealabile, inspecții și investigații.”

19      Articolul 62 din acest regulament, intitulat „Operațiuni comune ale autorităților de supraveghere”, prevede la alineatele (1) și (2):

„(1)      După caz, autoritățile de supraveghere desfășoară operațiuni comune, inclusiv investigații comune și măsuri comune de aplicare a legii, în care sunt implicați membri sau personal din autoritățile de supraveghere ale altor state membre.

(2)      În cazul în care operatorul sau persoana împuternicită de operator deține sedii în mai multe state membre sau dacă un număr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate în mod semnificativ de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operațiunile comune. […]”

20      Secțiunea 2, intitulată „Asigurarea coerenței”, din capitolul VII din RGPD cuprinde articolele 63-67 din acest regulament. Articolul 63, intitulat „Mecanismul pentru asigurarea coerenței”, are următorul cuprins:

„Pentru a contribui la aplicarea coerentă a prezentului regulament în întreaga Uniune, autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.”

21      În temeiul articolului 64 alineatul (2) din acest regulament:

„Orice autoritate de supraveghere, președintele [C]omitetului [European pentru Protecția Datelor] sau Comisia poate solicita ca orice chestiune de aplicare generală sau care produce efecte în mai mult de un stat membru să fie examinată de [C]omitet[ul] [European pentru Protecția Datelor] în vederea obținerii unui aviz, în special în cazul în care o autoritate de supraveghere competentă nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 61 sau privind operațiunile comune în conformitate cu articolul 62.”

22      Articolul 65 din regulamentul menționat, intitulat „Soluționarea litigiilor de către comitet”, prevede la alineatul (1):

„Pentru a asigura aplicarea corectă și coerentă a prezentului regulament în cazuri individuale, [C]omitetul [European pentru Protecția Datelor] adoptă o decizie obligatorie în următoarele cazuri:

(a)      atunci când, în unul dintre cazurile menționate la articolul 60 alineatul (4), o autoritate de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a autorității principale sau autoritatea principală a respins o astfel de obiecție ca nefiind relevantă sau motivată. Decizia obligatorie se referă la toate chestiunile vizate de obiecția relevantă și motivată, în special la chestiunea dacă prezentul regulament a fost încălcat;

(b)      în cazul în care există opinii divergente cu privire la care dintre autoritățile de supraveghere vizate deține competența pentru sediul principal;

[…]”

 Dreptul german

23      Articolul 19 alineatul (1) din Gesetz gegen Wettbewerbsbeschränkungen (Legea împotriva restricțiilor aduse concurenței), în versiunea sa din 26 iunie 2013 (BGBl. 2013 I, p. 1750, 3245), care a fost ultima dată modificată prin articolul 2 din legea din 16 iulie 2021 (BGBl. 2021 I, p. 2959) (denumită în continuare „GWB”), prevede:

„Abuzul de poziție dominantă pe piață săvârșit de una sau mai multe întreprinderi este interzis.”

24      Potrivit articolului 32 alineatul (1) din GWB:

„Autoritatea de concurență poate obliga întreprinderile sau asociațiile de întreprinderi să înceteze încălcarea unei dispoziții cuprinse în această parte sau la articolele 101 ori 102 din Tratatul privind funcționarea Uniunii Europene.”

25      Articolul 50f din GWB prevede la alineatul (1):

„Autoritățile de concurență, autoritățile de reglementare, responsabilul federal pentru protecția datelor și libertatea de informare, responsabilii regionali pentru protecția datelor, precum și autoritățile competente în sensul articolului 2 din EU‑Verbraucherschutzdurchführungsgesetz [(Legea privind punerea în aplicare a dreptului Uniunii Europene privind protecția consumatorilor)] pot, indiferent de procedura aleasă, să facă schimb de informații, inclusiv de date cu caracter personal și de secrete comerciale și de afaceri, în măsura în care acest lucru este necesar pentru îndeplinirea sarcinilor lor, precum și să utilizeze informațiile respective în cadrul procedurilor lor. […]”

 Litigiul principal și întrebările preliminare

26      Meta Platforms Ireland gestionează oferta rețelei sociale online Facebook în Uniune și promovează, în special la adresa www.facebook.com, servicii care sunt gratuite pentru utilizatorii privați. Alte întreprinderi din grupul Meta oferă, în Uniune, alte servicii online, printre care Instagram, WhatsApp, Oculus și – până la 13 martie 2020 – Masquerade.

27      Modelul de afaceri al rețelei sociale online Facebook se bazează pe finanțarea prin publicitate online, care este adaptată utilizatorilor individuali ai rețelei sociale, în special în funcție de atitudinile lor de consum, de interesele, de puterea lor de cumpărare și de situația lor personală. O astfel de publicitate este posibilă din punct de vedere tehnic prin alcătuirea automată a unor profiluri foarte detaliate ale utilizatorilor rețelei și ale serviciilor online oferite la nivelul grupului Meta. În acest scop, pe lângă datele pe care utilizatorii le furnizează în mod direct cu ocazia înregistrării la serviciile online în cauză, sunt colectate și alte date despre utilizatorii menționați și despre dispozitivele lor din cadrul și din afara rețelei sociale și a serviciilor online furnizate de grupul Meta și sunt asociate cu diferitele conturi de utilizator. Aceste date, în ansamblu, permit să se desprindă concluzii detaliate cu privire la preferințele și interesele acelorași utilizatori.

28      Pentru prelucrarea datelor menționate, Meta Platforms Ireland se întemeiază pe contractul de utilizare la care aderă utilizatorii rețelei sociale Facebook prin activarea butonului „Înregistrare” și prin care aceștia acceptă condițiile generale stabilite de această societate. Acceptarea acestor condiții este necesară pentru a putea utiliza rețeaua socială Facebook. În ceea ce privește prelucrarea datelor cu caracter personal, condițiile generale fac trimitere la politicile de utilizare a datelor și a modulelor cookie stabilite de societatea respectivă. În temeiul acestora, Meta Platforms Ireland colectează date referitoare la utilizatori și la dispozitive privind activitățile utilizatorilor în cadrul și în afara rețelei sociale și asociază aceste date conturilor Facebook ale utilizatorilor respectivi. În ceea ce privește aceste din urmă date, referitoare la activitățile desfășurate în afara rețelei sociale (denumite în continuare și „datele off Facebook”), este vorba, pe de o parte, despre date privind consultarea unor pagini de internet și a unor aplicații terțe, care sunt conectate la Facebook prin intermediul interfețelor de programare – „Facebook Business Tools” – și, pe de altă parte, despre datele referitoare la utilizarea celorlalte servicii online care aparțin grupului Meta, printre care Instagram, WhatsApp, Oculus și – până la 13 martie 2020 – Masquerade.

29      Oficiul Federal al Concurenței a inițiat o procedură împotriva Meta Platforms, Meta Platforms Ireland și Facebook Deutschland, în urma căreia, prin decizia din 6 februarie 2019, întemeiată pe articolul 19 alineatul (1) și pe articolul 32 din GWB, le‑a interzis în esență ca, în condițiile generale, să subordoneze utilizarea rețelei sociale Facebook de către utilizatori privați care au reședința în Germania de prelucrarea datelor lor off Facebook și să prelucreze, fără consimțământul lor, aceste date pe baza condițiilor generale în vigoare la acel moment. În plus, le‑a impus să adapteze aceste condiții generale astfel încât să reiasă cu claritate că datele menționate nu vor fi colectate, nici asociate cu conturile de utilizatori Facebook, nici utilizate fără consimțământul utilizatorului în cauză și a clarificat faptul că un asemenea consimțământ nu este valid atunci când reprezintă o condiție pentru utilizarea rețelei sociale.

30      Oficiul Federal al Concurenței și‑a motivat decizia prin faptul că prelucrarea datelor utilizatorilor în cauză, astfel cum este prevăzută de condițiile generale și realizată de Meta Platforms Ireland, constituia o exploatare abuzivă a poziției dominante a acestei societăți pe piața rețelelor sociale pentru utilizatorii privați din Germania, în sensul articolului 19 alineatul (1) din GWB. În special, potrivit Oficiului Federal al Concurenței, aceste condiții generale, ca emanație a respectivei poziții dominante, ar fi abuzive din moment ce prelucrarea datelor off Facebook pe care o prevăd nu ar fi conformă cu valorile care stau la baza RGPD și în special nu ar putea fi justificată în raport cu articolul 6 alineatul (1) și cu articolul 9 alineatul (2) din acest regulament.

31      La 11 februarie 2019, Meta Platforms, Meta Platforms Ireland și Facebook Deutschland au introdus o acțiune împotriva deciziei Oficiului Federal al Concurenței la Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania).

32      La 31 iulie 2019, Meta Platforms Ireland a introdus noi condiții generale prin care se indica în mod expres că utilizatorul, în loc să plătească pentru utilizarea produselor Facebook, declară că acceptă anunțurile publicitare.

33      În plus, începând cu 28 ianuarie 2020, Meta Platforms oferă la nivel mondial „Off‑Facebook‑Activity”, care le permite utilizatorilor rețelei sociale Facebook să primească un rezumat al informațiilor care îi privesc, pe care societățile din grupul Meta le obțin în legătură cu activitățile lor pe alte pagini de internet și aplicații și să disocieze, dacă doresc, aceste date de contul lor „Facebook.com”, atât pentru trecut, cât și pentru viitor.

34      Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) are îndoieli, în primul rând, cu privire la posibilitatea autorităților naționale de concurență de a monitoriza, în cadrul exercitării competențelor lor, conformitatea unei prelucrări a datelor cu caracter personal cu cerințele prevăzute în RGPD, în al doilea rând, în ceea ce privește posibilitatea unui operator al unei rețele sociale online de a prelucra datele cu caracter personal sensibile ale persoanei vizate, în sensul articolului 9 alineatele (1) și (2) din acest regulament, în al treilea rând, în ceea ce privește legalitatea prelucrării datelor cu caracter personal ale utilizatorului în cauză de către un astfel de operator, în conformitate cu articolul 6 alineatul (1) din regulamentul menționat și, în al patrulea rând, în ceea ce privește validitatea, în raport cu articolul 6 alineatul (1) primul paragraf litera (a) și cu articolul 9 alineatul (2) litera (a) din același regulament, a consimțământului dat unei întreprinderi care are o poziție dominantă pe piața națională a rețelelor sociale online, în scopul unei astfel de prelucrări.

35      În acest context, considerând că soluționarea litigiului principal depinde de răspunsul care trebuie dat la aceste întrebări, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      a)      Este compatibil cu articolul 51 și următoarele din RGPD faptul că o autoritate națională de concurență a unui stat membru precum Oficiul Federal al Concurenței, care nu este o autoritate de supraveghere în sensul articolului 51 și următoarele din RGPD și în al cărei stat membru o întreprindere stabilită în afara Uniunii Europene deține o filială care furnizează sediului principal situat într‑un alt stat membru al acestei întreprinderi – care este unica responsabilă pentru prelucrarea datelor cu caracter personal pentru întregul teritoriu al Uniunii Europene – servicii de sprijin în domeniul publicității, al comunicării și al relațiilor publice, constată, în cadrul controlului practicilor abuzive în raport cu dreptul concurenței, o încălcare a RGPD prin condițiile contractuale ale sediului principal care privesc prelucrarea datelor și prin punerea în aplicare a acestora și emite o decizie privind încetarea acestei încălcări?

b)      În cazul unui răspuns afirmativ, este compatibil cu articolul 4 alineatul (3) TUE faptul că, în același timp, autoritatea principală de supraveghere din statul membru al sediului principal, în sensul articolului 56 alineatul (1) din RGPD, supune condițiile contractuale de prelucrare a datelor ale acestui sediu unei proceduri de examinare?

În cazul unui răspuns afirmativ la întrebarea 1:

2)      a)      Atunci când un utilizator de internet fie doar consultă site‑uri sau aplicații care au legătură cu criteriile prevăzute la articolul 9 alineatul (1) din RGPD, cum ar fi aplicații de flirt, site‑uri de întâlniri pentru homosexuali, site‑uri ale partidelor politice, site‑uri de sănătate, fie introduce date pe aceste site‑uri, cum ar fi cu ocazia înregistrării sau a comenzilor, iar o […] întreprindere precum [Meta Platforms Ireland], colectează date referitoare la consultarea site‑urilor și a aplicațiilor de către utilizator și pe cele introduse de el pe site‑urile respective, prin intermediul interfețelor integrate în site‑uri și în aplicații, precum «Facebook Business Tools» sau prin intermediul modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, asociază aceste date cu datele contului Facebook.com al utilizatorului și le utilizează, colectarea și/sau asocierea și/sau utilizarea reprezintă o prelucrare a unor date sensibile în sensul acestei dispoziții?

b)      În cazul unui răspuns afirmativ, consultarea acestor site‑uri și aplicații și/sau introducerea unor date și/sau acționarea butoanelor integrate în aceste site‑uri sau aplicații («plug‑inuri sociale» precum «Îmi place», «distribuie» sau «conectare Facebook» ori «account Kit») ale unui furnizor precum [Meta Platforms Ireland] echivalează cu a face publice în mod manifest datele referitoare la consultare ca atare și/sau la datele introduse de utilizator în sensul articolului 9 alineatul (2) litera (e) din RGPD?

3)      O întreprindere precum [Meta Platforms Ireland], care exploatează o rețea socială digitală, finanțată din publicitate, care, în condițiile sale de utilizare, pune la dispoziție personalizarea conținuturilor și a publicității, securitatea rețelei, îmbunătățirea produselor și utilizarea coerentă și uniformă a tuturor produselor grupului, poate invoca justificarea întemeiată pe necesitatea executării contractului în conformitate cu articolul 6 alineatul (1) litera (b) din RGPD sau pe realizarea unor interese legitime în conformitate cu articolul 6 alineatul (1) litera (f) din RGPD atunci când, în aceste scopuri, întreprinderea respectivă colectează date din alte servicii ale grupului și de pe site‑uri și aplicații terțe prin intermediul interfețelor integrate în acestea precum «Facebook Business Tools» sau al modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, le asociază cu contul Facebook.com al utilizatorului și le utilizează?

4)      Într‑o astfel de situație, pot constitui de asemenea interese legitime în sensul articolului 6 alineatul (1) [litera (f)] din RGPD:

–        faptul că utilizatorii sunt minori, pentru personalizarea conținuturilor și a publicității, îmbunătățirea produselor, securitatea rețelei și comunicarea cu utilizatorul în alte scopuri decât cele legate de marketing;

–        furnizarea de măsurători, de analize și de alte servicii pentru întreprinderi destinate clienților din domeniul publicității, dezvoltatorilor și altor parteneri pentru ca aceștia să își poată evalua și îmbunătăți prestațiile;

–        furnizarea de comunicări de marketing către utilizator pentru a permite întreprinderii să își îmbunătățească produsele și să desfășoare marketing direct;

–        cercetarea și inovarea în scopuri sociale, în vederea promovării evoluției tehnologiei sau a înțelegerii în mod științific a unor aspecte sociale importante și pentru a influența pozitiv societatea și lumea;

–        informarea autorităților de aplicare a legii și de executare și răspunsul la cererile legale în vederea prevenirii, depistării și urmăririi penale a infracțiunilor, a utilizării ilicite, a încălcărilor condițiilor de utilizare și a politicilor întreprinderii, precum și a oricărui alt comportament prejudiciabil,

atunci când, în aceste scopuri, întreprinderea colectează date din alte servicii ale grupului și de pe site‑uri și aplicații terțe prin intermediul interfețelor integrate în acestea precum «Facebook Business Tools» sau al modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, le asociază cu contul Facebook.com al utilizatorului și le utilizează?

5)      Într‑un astfel de caz, colectarea datelor provenite din alte servicii ale grupului și de pe site‑uri și aplicații terțe prin intermediul interfețelor integrate în acestea precum «Facebook Business Tools» sau al modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului de internet ori al unor tehnologii de stocare similare, asocierea cu contul Facebook.com al utilizatorului și utilizarea acestor date sau utilizarea unor date colectate din altă parte și asociate în mod legal pot fi justificate într‑un caz concret, inclusiv în conformitate cu articolul 6 alineatul (1) literele (c), (d) și (e) din RGPD, de exemplu pentru a răspunde unei cereri valabile din punct de vedere legal privind furnizarea anumitor date [litera (c)], pentru combaterea unui comportament prejudiciabil și pentru promovarea securității [litera (d)], pentru cercetarea în beneficiul societății și pentru promovarea protecției, a integrității și a securității [litera (e)]?

6)      Poate fi exprimat un consimțământ valabil și în special liber în sensul articolului 4 punctul 11 din RGPD, în conformitate cu articolul 6 alineatul (1) litera (a) și cu articolul 9 alineatul (2) litera (a) din RGPD, față de o întreprindere aflată în poziție dominantă precum [Meta Platforms Ireland]?

În cazul unui răspuns negativ la întrebarea 1:

7)      a)      O autoritate națională de concurență a unui stat membru, precum Oficiul Federal al Concurenței, care nu este o autoritate de supraveghere în sensul articolului 51 și următoarele din RGPD și care examinează o încălcare săvârșită de o întreprindere aflată în poziție dominantă a interdicției practicilor abuzive în temeiul dreptului concurenței, care nu constă într‑o încălcare a RGPD prin condițiile sale de prelucrare a datelor și prin punerea în aplicare a acestora, poate face constatări, de exemplu, în cadrul evaluării comparative a intereselor, cu privire la conformitatea cu RGPD a condițiilor de prelucrare a datelor întreprinderii respective și a punerii în aplicare a acestora?

b)      În cazul unui răspuns afirmativ, acest aspect este valabil în raport cu articolul 4 alineatul (3) TUE inclusiv atunci când, în același timp, autoritatea de supraveghere principală, competentă în temeiul articolului 56 alineatul (1) din RGPD, supune condițiile de prelucrare a datelor ale acestei întreprinderi unei proceduri de examinare?

În cazul unui răspuns afirmativ la a șaptea întrebarea, este necesar să se răspundă la întrebările a treia‑a cincea în ceea ce privește datele provenite din utilizarea serviciului Instagram al grupului.”

 Cu privire la întrebări preliminare

 Cu privire la prima și la a șaptea întrebare

36      Prin intermediul primei și al celei de a șaptea întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 51 și următoarele din RGPD trebuie interpretate în sensul că o autoritate de concurență a unui stat membru poate constata, în cadrul examinării unui abuz de poziție dominantă al unei întreprinderi, în sensul articolului 102 TFUE, că nu sunt conforme cu RGPD condițiile generale de utilizare a acestei întreprinderi referitoare la prelucrarea datelor cu caracter personal și punerea lor în aplicare și, în cazul unui răspuns afirmativ, dacă articolul 4 alineatul (3) TUE trebuie interpretat în sensul că o astfel de constatare, de natură incidentală, efectuată de autoritatea de concurență este posibilă și atunci când aceste condiții sunt supuse, în același timp, unei proceduri de examinare de către autoritatea de supraveghere principală competentă, în temeiul articolului 56 alineatul (1) din RGPD.

37      Pentru a răspunde la această întrebare, trebuie amintit de la bun început că articolul 55 alineatul (1) din RGPD stabilește competența de principiu a fiecărei autorități de supraveghere de a îndeplini sarcinile și de a exercita competențele care îi sunt conferite în conformitate cu acest regulament pe teritoriul statului membru de care aparține (Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 47, precum și jurisprudența citată).

38      Printre sarcinile cu care sunt învestite aceste autorități de supraveghere figurează cea de a monitoriza aplicarea RGPD și de a asigura respectarea acestuia, prevăzută la articolul 51 alineatul (1) și la articolul 57 alineatul (1) litera (a) din regulamentul menționat, în scopul de a proteja drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și de a facilita libera circulație a unor astfel de date în cadrul Uniunii. În plus, în conformitate cu articolul 51 alineatul (2) și cu articolul 57 alineatul (1) litera (g) din regulamentul menționat, autoritățile de supraveghere menționate cooperează între ele, inclusiv prin schimbul de informații, și își oferă asistență reciprocă pentru a asigura coerența aplicării și respectării acestui regulament.

39      În vederea îndeplinirii acestor sarcini, articolul 58 din RGPD conferă autorităților de supraveghere respective, la alineatul (1), competențe de investigare, la alineatul (2), competența de a adopta măsuri corective și, la alineatul (5), competența de a aduce în fața autorităților judiciare cazurile de încălcare a acestui regulament și, după caz, de a iniția sau de a se implica în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor acestui regulament.

40      Fără a aduce atingere normei de competență enunțate la articolul 55 alineatul (1) din RGPD, articolul 56 alineatul (1) din acest regulament prevede, pentru „prelucrările transfrontaliere”, în sensul articolului 4 punctul 23 din acesta, mecanismul „ghișeului unic”, întemeiat pe o repartizare a competențelor între o „autoritate de supraveghere principală” și celelalte autorități de supraveghere vizate, precum și pe o cooperare între toate aceste autorități în conformitate cu procedura de cooperare prevăzută la articolul 60 din regulamentul menționat.

41      Pe de altă parte, articolul 61 alineatul (1) din RGPD obligă autoritățile de supraveghere printre altele să își furnizeze reciproc informații relevante și asistență pentru a pune în aplicare acest regulament în mod coerent în ansamblul Uniunii. Articolul 63 din regulamentul amintit precizează că acesta este scopul pentru care este prevăzut mecanismul pentru asigurarea coerenței, stabilit la articolele 64 și 65 din acesta (Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 52, precum și jurisprudența citată).

42      În consecință, trebuie arătat că normele de cooperare prevăzute în RGPD nu se adresează autorităților naționale de concurență, ci reglementează cooperarea dintre autoritățile naționale de supraveghere vizate și autoritatea de supraveghere principală, precum și, dacă este cazul, cooperarea acestor autorități cu Comitetul European pentru Protecția Datelor și cu Comisia.

43      În fapt, nici RGPD, nici alt instrument de drept al Uniunii nu prevăd norme specifice în ceea ce privește cooperarea dintre o autoritate națională de concurență și autoritățile naționale de supraveghere vizate sau autoritatea de supraveghere principală. În plus, nicio dispoziție din acest regulament nu interzice autorităților naționale de concurență să constate, în cadrul exercitării funcțiilor lor, neconformitatea cu acest regulament a unei prelucrări de date, efectuată de o întreprindere în poziție dominantă și care poate să constituie un abuz de această poziție.

44      În această privință, este necesar să se precizeze, în primul rând, că autoritățile de supraveghere, pe de o parte, și autoritățile naționale de concurență, pe de altă parte, exercită funcții diferite și urmăresc obiective, precum și sarcini care le sunt proprii.

45      Astfel, pe de o parte, după cum s‑a arătat la punctul 38 din prezenta hotărâre, în temeiul articolului 51 alineatele (1) și (2), precum și al articolului 57 alineatul (1) literele (a) și (g) din RGPD, autoritatea de supraveghere are ca sarcină principală monitorizarea aplicării acestui regulament și asigurarea respectării sale, contribuind în același timp la aplicarea sa coerentă în Uniune, în scopul de a proteja drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și de a facilita libera circulație a unor astfel de date în cadrul Uniunii. În acest scop, așa cum s‑a amintit la punctul 39 din prezenta hotărâre, autoritatea de supraveghere dispune de diferite competențe care îi sunt conferite în temeiul articolului 58 din RGPD.

46      Pe de altă parte, conform articolului 5 din Regulamentul nr. 1/2003, autoritățile naționale de concurență sunt competente să adopte printre altele decizii de constatare a unui abuz de poziție dominantă săvârșit de o întreprindere, în sensul articolului 102 TFUE, al căror obiectiv constă în stabilirea unui sistem care să împiedice denaturarea concurenței pe piața internă, având în vedere de asemenea consecințele unui astfel de abuz pentru consumatori pe această piață.

47      Astfel cum a arătat în esență domnul avocat general la punctul 23 din concluzii, în cadrul adoptării unei asemenea decizii, o autoritate de concurență trebuie să aprecieze, pe baza tuturor împrejurărilor specifice ale cauzei, dacă comportamentul întreprinderii în poziție dominantă are ca efect, prin recurgerea la mijloace diferite de cele care guvernează o concurență normală între produse sau servicii, să împiedice menținerea gradului de concurență existent încă pe piață sau dezvoltarea acestei concurențe (a se vedea în acest sens Hotărârea din 25 martie 2021, Deutsche Telekom/Comisia, C‑152/19 P, EU:C:2021:238, punctele 41 și 42). În această privință, conformitatea sau neconformitatea unui astfel de comportament cu dispozițiile RGPD poate constitui, dacă este cazul, un indiciu important printre împrejurările relevante ale speței pentru a stabili dacă acest comportament constituie recurgerea la mijloace care guvernează o competiție normală, precum și pentru a evalua consecințele unei anumite practici pe piață sau pentru consumatori.

48      Rezultă că, în cadrul examinării unui abuz de poziție dominantă al unei întreprinderi pe o anumită piață, se poate dovedi necesar ca autoritatea de concurență a statului membru în cauză să examineze și conformitatea comportamentului acestei întreprinderi cu alte norme decât cele care intră sub incidența dreptului concurenței, precum normele în materie de protecție a datelor cu caracter personal prevăzute de RGPD.

49      Or, ținând seama de obiectivele diferite urmărite de normele stabilite în materie de concurență, în special articolul 102 TFUE, pe de o parte, și de cele prevăzute în domeniul protecției datelor cu caracter personal în temeiul RGPD, pe de altă parte, este necesar să se constate că, atunci când o autoritate națională de concurență constată o încălcare a acestui regulament în cadrul constatării unui abuz de poziție dominantă, aceasta nu se substituie autorităților de supraveghere. În special, o asemenea autoritate națională de concurență nu monitorizează aplicarea și nici nu asigură respectarea acestui regulament în scopul menționat la articolul 51 alineatul (1) din acesta, și anume în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În plus, prin faptul că se limitează să semnaleze neconformitatea unei prelucrări de date cu RGPD numai în scopul de a constata un abuz de poziție dominantă și prin impunerea unor măsuri privind încetarea acestui abuz pe baza unui temei juridic rezultat din dreptul concurenței, o asemenea autoritate nu îndeplinește niciuna dintre sarcinile care figurează la articolul 57 din acest regulament și nici nu exercită competențele rezervate autorității de supraveghere în temeiul articolului 58 din regulamentul amintit.

50      Pe de altă parte, trebuie să se constate că accesul la datele cu caracter personal, precum și exploatarea acestora au o importanță majoră în cadrul economiei digitale. Această importanță este ilustrată, în cadrul litigiului principal, de modelul economic pe care se întemeiază rețeaua socială Facebook, care prevede, astfel cum s‑a amintit la punctul 27 din prezenta hotărâre, finanțarea prin comercializarea de mesaje publicitare personalizate în funcție de profilurile de utilizator stabilite pe baza datelor cu caracter personal colectate de Meta Platforms Ireland.

51      După cum a subliniat în special Comisia, accesul la datele cu caracter personal și posibilitatea prelucrării acestor date au devenit un parametru semnificativ al concurenței între întreprinderi în economia digitală. Prin urmare, excluderea normelor în materie de protecție a datelor cu caracter personal din cadrul juridic care trebuie luat în considerare de autoritățile de concurență cu ocazia examinării unui abuz de poziție dominantă nu ar respecta realitatea acestei evoluții economice și ar putea să aducă atingere efectivității dreptului concurenței în cadrul Uniunii.

52      Cu toate acestea, în al doilea rând, trebuie arătat că, în ipoteza în care o autoritate națională de concurență consideră necesar să se pronunțe, în cadrul unei decizii privind un abuz de poziție dominantă, asupra conformității sau a neconformității cu RGPD a unei prelucrări de date cu caracter personal efectuate de întreprinderea în discuție, această autoritate și autoritatea de supraveghere vizată sau, dacă este cazul, autoritatea de supraveghere principală competentă în sensul acestui regulament trebuie să coopereze între ele pentru a asigura o aplicare coerentă a regulamentului menționat.

53      Astfel, deși, după cum s‑a arătat la punctele 42 și 43 din prezenta hotărâre, nici RGPD, nici un alt instrument de drept al Uniunii nu prevăd norme specifice în această privință, nu este mai puțin adevărat că, după cum a arătat în esență domnul avocat general la punctul 28 din concluzii, atunci când aplică RGPD, toate autoritățile naționale implicate sunt ținute de principiul cooperării loiale consacrat la articolul 4 alineatul (3) TUE. În temeiul acestui principiu, potrivit unei jurisprudențe constante, în domeniile reglementate de dreptul Uniunii, statele membre, inclusiv autoritățile administrative ale acestora, trebuie să se respecte și să se ajute reciproc în îndeplinirea misiunilor care decurg din tratate, să adopte orice măsură adecvată pentru asigurarea îndeplinirii obligațiilor care rezultă în special din actele instituțiilor Uniunii, precum și să se abțină de la orice măsură care ar putea pune în pericol realizarea obiectivelor Uniunii (a se vedea în acest sens Hotărârea din 7 noiembrie 2013, UPC Nederland, C‑518/11, EU:C:2013:709, punctul 59, precum și Hotărârea din 1 august 2022, Sea Watch, C‑14/21 și C‑15/21, EU:C:2022:604, punctul 156).

54      Astfel, ținând seama de acest principiu, atunci când autoritățile naționale de concurență sunt chemate, în exercitarea competențelor lor, să examineze conformitatea unui comportament al unei întreprinderi cu dispozițiile RGPD, ele trebuie să se pună de acord și să coopereze în mod loial cu autoritățile de supraveghere naționale vizate sau cu autoritatea de supraveghere principală, toate aceste autorități fiind, așadar, obligate, în acest context, să respecte atribuțiile și competențele lor, așa încât obligațiile care decurg din RGPD, precum și obiectivele acestui regulament să fie respectate, iar efectul lor util să fie menținut.

55      Într‑adevăr, examinarea de către o autoritate de concurență a unui comportament al unei întreprinderi în lumina normelor RGPD poate implica riscul unor divergențe între aceasta și autoritățile de supraveghere în ceea ce privește interpretarea regulamentului respectiv.

56      Rezultă că, atunci când, în cadrul examinării prin care se urmărește constatarea unui abuz de poziție dominantă în sensul articolului 102 TFUE săvârșit de o întreprindere, o autoritate națională de concurență consideră că este necesar să examineze conformitatea unui comportament al acestei întreprinderi în lumina dispozițiilor RGPD, autoritatea menționată trebuie să verifice dacă acest comportament sau un comportament similar a făcut deja obiectul unei decizii din partea autorității de supraveghere naționale competente sau a autorității de supraveghere principale sau chiar a Curții. Dacă aceasta este situația, autoritatea națională de concurență nu se poate abate de la aceasta, rămânând totodată liberă să rețină propriile concluzii din perspectiva aplicării dreptului concurenței.

57      Atunci când are îndoieli cu privire la întinderea aprecierii efectuate de autoritatea națională de supraveghere competentă sau de autoritatea de supraveghere principală, atunci când comportamentul în cauză sau un comportament similar face în același timp obiectul unei examinări din partea acestor autorități sau atunci când, în lipsa unei investigații a autorităților menționate, consideră că un comportament al unei întreprinderi nu este conform cu dispozițiile RGPD, autoritatea națională de concurență trebuie să consulte aceste autorități și să le solicite cooperarea pentru a‑și înlătura îndoielile sau pentru a stabili dacă este necesar să aștepte adoptarea unei decizii de către autoritatea de supraveghere în cauză înainte de a începe propria apreciere.

58      La rândul său, atunci când autoritatea de supraveghere este solicitată de o autoritate națională de concurență, ea trebuie să răspundă la această solicitare de informații sau de cooperare într‑un termen rezonabil, comunicând acesteia din urmă informațiile de care dispune care pot permite înlăturarea îndoielilor acestei autorități cu privire la întinderea aprecierii efectuate de autoritatea de supraveghere sau, dacă este cazul, informând autoritatea națională de concurență în cazul în care intenționează să activeze procedura de cooperare cu celelalte autorități de supraveghere vizate sau cu autoritatea de supraveghere principală, în conformitate cu articolul 60 și următoarele din RGPD, pentru a ajunge la o decizie de constatare a conformității sau a neconformității comportamentului în discuție cu acest regulament.

59      În absența unui răspuns din partea autorității de supraveghere solicitate într‑un termen rezonabil, autoritatea națională de concurență își poate continua propria investigație. Situația este aceeași atunci când autoritatea națională de supraveghere competentă și autoritatea de supraveghere principală nu au obiecții cu privire la continuarea unei astfel de investigații fără a aștepta adoptarea unei decizii de către acestea.

60      În speță, din dosarul de care dispune Curtea reiese că, în cursul lunilor octombrie și noiembrie 2018, respectiv înainte de adoptarea deciziei din 6 februarie 2019, Oficiul Federal al Concurenței a contactat Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Comisarul Federal pentru Protecția Datelor și Libertatea de Informare, Germania), Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Comisarul pentru Protecția Datelor și Libertatea de Informare din Hamburg, Germania), competent în privința Facebook Deutschland, și Data Protection Commission (DPC) (Autoritatea pentru Protecția Datelor, Irlanda), pentru a informa aceste autorități cu privire la intervenția sa. În plus, se reține că Oficiul Federal al Concurenței a obținut confirmarea că autoritățile menționate nu au efectuat nicio investigație cu privire la fapte similare celor în discuție în litigiul principal, iar acestea nu au ridicat nicio obiecție cu privire la intervenția sa. În sfârșit, la punctele 555 și 556 din decizia din 6 februarie 2019, Oficiul Federal al Concurenței a făcut referire în mod expres la această cooperare.

61      În aceste condiții și sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, Oficiul Federal al Concurenței pare să își fi îndeplinit obligațiile de cooperare loială cu autoritățile naționale de supraveghere vizate, precum și cu autoritatea de supraveghere principală.

62      Ținând seama de cele ce precedă, este necesar să se răspundă la prima și la a șaptea întrebare că articolul 51 și următoarele din RGPD, precum și articolul 4 alineatul (3) TUE trebuie interpretate în sensul că, sub rezerva respectării obligației sale de cooperare loială cu autoritățile de supraveghere, o autoritate de concurență a unui stat membru poate constata, în cadrul examinării unui abuz de poziție dominantă al unei întreprinderi, în sensul articolului 102 TFUE, că nu sunt conforme cu acest regulament condițiile generale de utilizare a acestei întreprinderi referitoare la prelucrarea datelor cu caracter personal și punerea lor în aplicare, atunci când constatarea respectivă este necesară pentru a stabili existența unui asemenea abuz.

63      Având în vedere această obligație de cooperare loială, autoritatea națională de concurență nu se poate abate de la o decizie a autorității naționale de supraveghere competente sau a autorității de supraveghere principale competente referitoare la aceste condiții generale sau la condiții generale similare. Atunci când are îndoieli cu privire la conținutul unei astfel de decizii, atunci când condițiile menționate sau condiții similare fac, în același timp, obiectul unei examinări de către aceste autorități sau atunci când, în lipsa unei investigații sau a unei decizii a autorităților menționate, autoritatea de concurență consideră că aceste condiții nu sunt conforme cu RGPD, ea trebuie să consulte aceleași autorități de supraveghere și să le solicite cooperarea pentru a‑și înlătura îndoielile sau pentru a stabili dacă este necesar să aștepte adoptarea unei decizii din partea lor înainte de a începe propria apreciere. În absența unei obiecții din partea acestora sau a unui răspuns într‑un termen rezonabil, autoritatea națională de concurență își poate continua propria investigație.

 Cu privire la a doua întrebare

64      Prin intermediul celei de a doua întrebări litera a), instanța de trimitere solicită în esență să se stabilească dacă articolul 9 alineatul (1) din RGPD trebuie interpretat în sensul că, în cazul în care un utilizator al unei rețele sociale online consultă site‑uri internet sau aplicații în raport cu una sau mai multe dintre categoriile prevăzute de această dispoziție și, dacă este cazul, introduce date în aceasta înscriindu‑se sau efectuând comenzi online, prelucrarea datelor cu caracter personal de către operatorul acestei rețele sociale online, care constă în colectarea, prin intermediul unor interfețe integrate, al unor module „cookie” sau al unor tehnologii de stocare similare, a datelor provenite din consultarea acestor site‑uri și a acestor aplicații, precum și a datelor inserate de utilizator, în asocierea tuturor acestor date cu contul rețelei sociale al acestuia și în utilizarea datelor menționate de către operatorul respectiv, trebuie să fie considerată o „prelucrare de categorii speciale de date cu caracter personal”, în sensul dispoziției menționate, care este în principiu interzisă, sub rezerva derogărilor prevăzute la acest articol 9 alineatul (2).

65      În cazul unui răspuns afirmativ, instanța de trimitere solicită în esență să se stabilească, prin intermediul celei de a doua întrebări litera b), dacă articolul 9 alineatul (2) litera (e) din RGPD trebuie interpretat în sensul că, în cazul în care un utilizator al unei rețele sociale online consultă site‑uri internet sau aplicații care au legături cu categoriile prevăzute la articolul 9 alineatul (1) din RGPD, introduce date pe aceste site‑uri sau aplicații sau acționează butoanele integrate în aceste site‑uri, precum butoanele „Îmi place” sau „Distribuie” sau butoanele care permit utilizatorului să se identifice pe aceste site‑uri sau aplicații utilizând datele de acces legate de contul său de utilizator al rețelei sociale online, numărul său de telefon sau adresa de e‑mail, se consideră că utilizatorul a făcut publice în mod manifest, în sensul primei dintre aceste dispoziții, datele colectate cu această ocazie de operatorul rețelei sociale online prin intermediul modulelor „cookie” sau al tehnologiilor de stocare similare.

 Cu privire la a doua întrebare litera a)

66      Considerentul (51) al RGPD prevede că datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Acest considerent precizează că asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de regulamentul menționat.

67      În acest context, articolul 9 alineatul (1) din RGPD stabilește principiul interzicerii prelucrării unor categorii speciale de date cu caracter personal pe care le menționează. Acestea includ printre altele date care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase, precum și datele privind sănătatea, viața sexuală sau orientarea sexuală a unei persoane fizice.

68      În scopul aplicării articolului 9 alineatul (1) din RGPD, trebuie să se verifice, în cazul unei prelucrări de date cu caracter personal efectuate de operatorul unei rețele sociale online, dacă aceste date pot dezvălui informații care se încadrează în una dintre categoriile menționate de această dispoziție, indiferent dacă aceste informații privesc un utilizator al acestei rețele sau orice altă persoană fizică. În cazul unui răspuns afirmativ, o astfel de prelucrare a datelor cu caracter personal este atunci interzisă, sub rezerva derogărilor prevăzute la articolul 9 alineatul (2) din RGPD.

69      Așa cum a arătat în esență domnul avocat general la punctele 40 și 41 din concluzii, această interdicție de principiu, prevăzută la articolul 9 alineatul (1) din RGPD, este independentă de aspectul dacă informația dezvăluită de prelucrarea în cauză este sau nu exactă și dacă operatorul acționează în scopul de a obține informații care se încadrează în una dintre categoriile speciale vizate de această dispoziție.

70      Astfel, ținând seama de riscurile importante pentru libertățile fundamentale și drepturile fundamentale ale persoanelor vizate, generate de orice prelucrare a datelor cu caracter personal care se încadrează în categoriile vizate la articolul 9 alineatul (1) din RGPD, acesta are ca obiectiv interzicerea prelucrărilor respective, independent de scopul lor declarat.

71      În speță, prelucrarea în discuție în litigiul principal efectuată de Meta Platforms Ireland constă, mai întâi, în colectarea datelor cu caracter personal ale utilizatorilor rețelei sociale Facebook atunci când aceștia consultă site‑uri internet sau aplicații – inclusiv cele care pot dezvălui informații ce se încadrează în una sau în mai multe dintre categoriile vizate la articolul 9 alineatul (1) din RGPD – și, după caz, introduc informații înscriindu‑se sau efectuând comenzi online, apoi în asocierea acestor date cu contul rețelei sociale al acestor utilizatori și, în sfârșit, în utilizarea datelor menționate.

72      În această privință, va reveni instanței de trimitere sarcina de a stabili dacă datele astfel colectate, singure sau prin asocierea lor cu conturile de Facebook ale utilizatorilor în cauză, permit efectiv divulgarea unor asemenea informații, indiferent dacă aceste informații privesc un utilizator al rețelei respective sau orice altă persoană fizică. Cu toate acestea, ținând seama de întrebările instanței menționate, trebuie precizat că rezultă, sub rezerva verificărilor pe care trebuie să le efectueze aceasta, că prelucrarea datelor referitoare la consultarea site‑urilor internet sau a aplicațiilor în discuție poate, în anumite cazuri, să dezvăluie asemenea informații, fără a fi necesar ca utilizatorii respectivi să introducă în acestea informații înscriindu‑se sau efectuând comenzi online.

73      Ținând seama de cele ce precedă, este necesar să se răspundă la a doua întrebare litera a) că articolul 9 alineatul (1) din RGPD trebuie interpretat în sensul că, în cazul în care un utilizator al unei rețele sociale online consultă site‑uri internet sau aplicații în raport cu una sau mai multe dintre categoriile prevăzute de această dispoziție și, dacă este cazul, introduce acolo date înscriindu‑se sau efectuând comenzi online, prelucrarea datelor cu caracter personal de către operatorul acestei rețele sociale online, care constă în colectarea, prin intermediul unor interfețe integrate, al unor module „cookie” sau al unor tehnologii de stocare similare, a datelor provenite din consultarea acestor site‑uri și a acestor aplicații, precum și a datelor introduse de utilizator, în asocierea tuturor acestor date cu contul rețelei sociale al acestuia și în utilizarea datelor menționate de către operatorul respectiv, trebuie să fie considerată o „prelucrare de categorii speciale de date cu caracter personal”, în sensul dispoziției menționate, care este în principiu interzisă, sub rezerva derogărilor prevăzute la acest articol 9 alineatul (2), atunci când această prelucrare de date permite să se dezvăluie informații care se încadrează în una dintre aceste categorii, indiferent dacă aceste informații privesc un utilizator al acestei rețele sau orice altă persoană fizică.

 Cu privire la a doua întrebare litera b)

74      În ceea ce privește a doua întrebare litera b), astfel cum a fost reformulată la punctul 65 din prezenta hotărâre, referitoare la derogarea prevăzută la articolul 9 alineatul (2) litera (e) din RGPD, trebuie amintit că, în temeiul acestei dispoziții, interdicția de principiu a oricărei prelucrări a unor categorii speciale de date cu caracter personal, prevăzută la acest articol 9 alineatul (1), nu se aplică în ipoteza în care prelucrarea se referă la date cu caracter personal care sunt „făcute publice în mod manifest de către persoana vizată”.

75      Cu titlu introductiv, este necesar să se arate că, pe de o parte, această derogare se aplică numai datelor care sunt făcute publice în mod manifest „de către persoana vizată”. Prin urmare, aceasta nu este aplicabilă datelor referitoare la alte persoane decât cea care a făcut publice aceste date.

76      Pe de altă parte, în măsura în care prevede o excepție de la principiul interzicerii prelucrării categoriilor speciale de date cu caracter personal, articolul 9 alineatul (2) din RGPD trebuie interpretat în mod restrictiv (a se vedea în acest sens Hotărârea din 17 septembrie 2014, Baltic Agro, C‑3/13, EU:C:2014:2227, punctul 24 și jurisprudența citată, precum și Hotărârea din 6 iunie 2019, Weil, C‑361/18, EU:C:2019:473, punctul 43 și jurisprudența citată).

77      Rezultă că, în scopul aplicării excepției prevăzute la articolul 9 alineatul (2) litera (e) din RGPD, trebuie să se verifice dacă persoana vizată a înțeles, în mod explicit și printr‑o acțiune fără echivoc, să facă accesibile publicului larg datele cu caracter personal în discuție.

78      În acest sens, în ceea ce privește, pe de o parte, consultarea site‑urilor internet sau a aplicațiilor în raport cu una sau mai multe dintre categoriile vizate la articolul 9 alineatul (1) din RGPD, trebuie să se constate că, prin aceasta, utilizatorul în cauză nu intenționează nicidecum să facă public faptul că a consultat aceste site‑uri sau aceste aplicații și datele referitoare la această consultare care pot fi asociate cu persoana sa. Într‑adevăr, acesta din urmă se poate aștepta cel mult ca administratorul site‑ului sau al aplicației să aibă acces la aceste date și să le împărtășească, dacă este cazul și sub rezerva consimțământului explicit dat de acest utilizator, cu anumiți terți, iar nu cu publicul larg.

79      Astfel, nu se poate deduce din simpla consultare a unor asemenea site‑uri internet sau a unor asemenea aplicații de către un utilizator că datele cu caracter personal menționate ar fi fost făcute publice în mod manifest de acest utilizator, în sensul articolului 9 alineatul (2) litera (e) din RGPD.

80      Pe de altă parte, în ceea ce privește activitățile care constau în introducerea de date pe site‑urile internet menționate sau în aplicațiile menționate, precum și în acționarea unor butoane de selecție integrate în acestea, precum butoanele „Îmi place” sau „Distribuie” sau butoanele care permit utilizatorului să se identifice pe un site internet sau pe o aplicație cu ajutorul datelor de acces legate de contul său de utilizator Facebook, al numărului său de telefon sau al adresei de e‑mail, este necesar să se arate că aceste activități presupun o interacțiune între acest utilizator și site‑ul internet sau aplicația în discuție și, dacă este cazul, site‑ul internet al rețelei sociale online, interacțiune ale cărei forme de publicitate pot varia prin faptul că pot face obiectul unei configurări individuale din partea utilizatorului respectiv.

81      În aceste condiții, revine instanței de trimitere sarcina de a verifica dacă utilizatorii în cauză au posibilitatea de a decide, pe baza unei configurări efectuate în cunoștință de cauză, ca datele introduse pe site‑urile internet sau în aplicațiile în discuție, precum și datele care rezultă din acționarea butoanelor de selecție integrate în acestea să fie accesibile publicului larg sau, dimpotrivă, unui număr mai mult sau mai puțin limitat de persoane selectate.

82      Atunci când utilizatorii în cauză au efectiv o astfel de opțiune, se poate considera, în cazul în care introduc în mod voluntar date pe un site internet sau într‑o aplicație ori în cazul în care acționează butoane de selecție integrate în acestea, că fac publice în mod manifest date care îi privesc, în sensul articolului 9 alineatul (2) litera (e) din RGPD, numai în cazul în care, pe baza unei configurări individuale efectuate în deplină cunoștință de cauză, și‑au exprimat în mod clar opțiunea ca aceste date să fie accesibile unui număr nelimitat de persoane, aspect a cărui verificare revine instanței de trimitere.

83      În schimb, dacă nu este propusă o astfel de configurare individuală, trebuie să se considere, ținând seama de cele expuse la punctul 77 din prezenta hotărâre, că, atunci când utilizatorii introduc în mod voluntar date pe un site internet sau într‑o aplicație ori acționează butoane de selecție integrate în acestea, ei trebuie, pentru a se considera că au făcut publice în mod manifest aceste date, să fi consimțit în mod explicit, pe baza unei informații exprese furnizate de acest site sau de această aplicație înainte de o astfel de introducere sau acționare, ca datele menționate să poată fi vizualizate de orice persoană care are acces la site‑ul menționat sau la aplicația menționată.

84      Ținând seama de ceea ce precedă, trebuie să se răspundă la a doua întrebare litera b) că articolul 9 alineatul (2) litera (e) din RGPD trebuie interpretat în sensul că, atunci când consultă site‑uri internet sau aplicații în raport cu una sau mai multe dintre categoriile menționate la articolul 9 alineatul (1) din RGPD, un utilizator al unei rețele sociale online nu face publice în mod manifest, în sensul primei dintre aceste dispoziții, datele referitoare la consultarea menționată, colectate de operatorul acestei rețele sociale online prin intermediul modulelor „cookie” sau al tehnologiilor de stocare similare.

85      Atunci când introduce date pe astfel de site‑uri internet sau în astfel de aplicații sau atunci când acționează butoane de selecție integrate în aceste site‑uri și aplicații, cum ar fi butoanele „Îmi place” sau „Distribuie” sau butoanele care permit utilizatorului să se identifice pe aceste site‑uri sau aplicații cu ajutorul datelor de acces legate de contul său de utilizator al rețelei sociale, al numărului său de telefon sau al adresei de e‑mail, un astfel de utilizator face publice în mod manifest, în sensul acestui articol 9 alineatul (2) litera (e), datele astfel introduse sau care rezultă din acționarea acestor butoane numai în cazul în care și‑a exprimat în mod explicit opțiunea în prealabil, dacă este cazul pe baza unei configurări individuale efectuate în deplină cunoștință de cauză, de a face datele care îl privesc accesibile unui număr nelimitat de persoane.

 Cu privire la întrebările a treia‑a cincea

86      Prin intermediul celei de a treia și al celei de a patra întrebări, care trebuie analizate împreună, instanța de trimitere urmărește să afle în esență dacă și în ce condiții articolul 6 alineatul (1) primul paragraf literele (b) și (f) din RGPD trebuie interpretat în sensul că prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate poate fi considerată necesară pentru executarea unui contract la care persoanele vizate sunt părți, în sensul literei (b), sau în scopul intereselor legitime urmărite de operator sau de un terț, în sensul literei (f). Instanța menționată ridică în special problema dacă, în acest scop, anumite interese pe care ea le citează în mod explicit constituie un „interes legitim”, în sensul acestei din urmă dispoziții.

87      Prin intermediul celei de a cincea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 6 alineatul (1) primul paragraf literele (c)-(e) din RGPD trebuie interpretat în sensul că o asemenea prelucrare a datelor cu caracter personal poate fi considerată necesară pentru respectarea unei obligații legale care îi revine operatorului, în sensul literei (c), pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, în sensul literei (d), sau pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, în sensul literei (e), în cazul în care prelucrarea respectivă este efectuată pentru a răspunde unei cereri valabile din punct de vedere legal privind furnizarea anumitor date, pentru combaterea unui comportament prejudiciabil și pentru promovarea securității, pentru cercetarea în beneficiul societății și pentru promovarea protecției, a integrității și a securității.

 Observații introductive

88      Cu titlu introductiv, este necesar să se observe, primo, că întrebările a treia‑a cincea sunt adresate ca urmare a faptului că, potrivit constatărilor Oficiului Federal al Concurenței din decizia sa din 6 februarie 2019, nu se poate considera că utilizatorii rețelei sociale Facebook și‑au dat consimțământul pentru prelucrarea datelor lor în discuție în litigiul principal, în sensul articolului 6 alineatul (1) primul paragraf litera (a) și al articolului 9 alineatul (2) litera (a) din RGPD. Prin urmare, acesta este contextul în care instanța de trimitere, adresând Curții cea de a șasea întrebare pornind de la această premisă, consideră că trebuie să verifice dacă prelucrarea respectivă corespunde uneia dintre celelalte condiții de legalitate, prevăzute la articolul 6 alineatul (1) primul paragraf literele (b)-(f) din acest regulament.

89      În acest cadru, trebuie arătat că operațiunile de colectare, de asociere și de utilizare a datelor, vizate în întrebările a treia‑a cincea, sunt susceptibile să includă atât date sensibile în sensul articolului 9 alineatul (1) din RGPD, cât și date care nu sunt sensibile. Or, este necesar să se precizeze că, în cazul în care un ansamblu de date care conține atât date sensibile, cât și date care nu sunt sensibile face obiectul unor astfel de operațiuni și este colectat în bloc, fără ca datele să poată fi disociate unele de celelalte la momentul acestei colectări, prelucrarea ansamblului respectiv de date trebuie considerată interzisă, în sensul articolului 9 alineatul (1) din RGPD, atunci când cuprinde cel puțin o dată sensibilă și nu este aplicabilă niciuna dintre derogările prevăzute la articolul 9 alineatul (2) din acest regulament.

90      Secundo, pentru a răspunde la întrebările a treia‑a cincea, trebuie amintit că articolul 6 alineatul (1) primul paragraf din RGPD prevede o listă exhaustivă și limitativă de cazuri în care prelucrarea de date cu caracter personal poate fi considerată legală. Astfel, pentru a putea fi considerată legitimă, prelucrarea trebuie să se încadreze în unul dintre cazurile prevăzute de această dispoziție [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 99 și jurisprudența citată].

91      Potrivit articolului 6 alineatul (1) primul paragraf litera (a) din acest regulament, prelucrarea datelor cu caracter personal este legală dacă și în măsura în care persoana vizată și‑a dat consimțământul pentru unul sau mai multe scopuri specifice.

92      În lipsa unui astfel de consimțământ sau atunci când acest consimțământ nu a fost dat în mod liber, specific, informat și lipsit de ambiguitate, în sensul articolului 4 punctul 11 din RGPD, o astfel de prelucrare este totuși justificată atunci când îndeplinește una dintre cerințele de necesitate menționate la articolul 6 alineatul (1) primul paragraf literele (b)-(f) din regulament.

93      În acest context, justificările prevăzute la această din urmă dispoziție, în măsura în care permit ca prelucrarea datelor cu caracter personal efectuată în lipsa consimțământului persoanei vizate să fie legală, trebuie să facă obiectul unei interpretări restrictive [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctul 73 și jurisprudența citată).

94      În plus, după cum a statuat Curtea, atunci când este posibil să se constate că prelucrarea de date cu caracter personal este necesară în raport cu una dintre justificările prevăzute la articolul 6 alineatul (1) primul paragraf literele (b)-(f) din RGPD, nu este necesar să se stabilească dacă această prelucrare intră de asemenea sub incidența unei alte justificări (a se vedea în acest sens Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 71).

95      Trebuie să se precizeze, în sfârșit, că, în conformitate cu articolul 5 din RGPD, operatorului îi revine sarcina de a dovedi că aceste date sunt colectate în special în scopuri determinate, explicite și legitime și că sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată. În plus, conform articolului 13 alineatul (1) litera (c) din acest regulament, în cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, revine operatorului sarcina de a o informa pe aceasta cu privire la scopurile în care sunt prelucrate datele respective, precum și cu privire la temeiul juridic al prelucrării menționate.

96      Deși revine instanței de trimitere sarcina de a stabili dacă diferitele elemente ale prelucrării în discuție în litigiul principal sunt justificate de una sau de alta dintre necesitățile prevăzute la articolul 6 alineatul (1) primul paragraf literele (b)-(f) din RGPD, Curtea poate totuși să îi furnizeze informații utile pentru a‑i permite să soluționeze litigiul cu care este sesizată.

 Cu privire la a treia și la a patra întrebare

97      În ceea ce privește, în primul rând, articolul 6 alineatul (1) primul paragraf litera (b) din RGPD, acesta prevede că prelucrarea datelor cu caracter personal este legală dacă prelucrarea este „necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”.

98      În această privință, pentru ca prelucrarea de date cu caracter personal să fie considerată necesară pentru executarea unui contract, în sensul acestei dispoziții, ea trebuie să fie în mod obiectiv indispensabilă pentru realizarea unui scop care face parte integrantă din prestația contractuală destinată persoanei vizate. Operatorul trebuie astfel să fie în măsură să demonstreze în ce mod obiectul principal al contractului nu ar putea fi atins în lipsa prelucrării în cauză.

99      Faptul că o astfel de prelucrare este menționată în contract sau că este utilă doar pentru executarea acestuia este, în sine, lipsit de relevanță în această privință. Astfel, elementul determinant pentru aplicarea justificării prevăzute la articolul 6 alineatul (1) primul paragraf litera (b) din RGPD este că prelucrarea datelor cu caracter personal efectuată de operator este esențială pentru a permite executarea corectă a contractului încheiat între acesta și persoana vizată și, prin urmare, nu există alte soluții posibile și mai puțin intruzive.

100    În această privință, după cum a arătat domnul avocat general la punctul 54 din concluzii, în cazul în care contractul constă în mai multe servicii sau elemente distincte ale aceluiași serviciu care pot fi executate independent unul de celălalt, aplicabilitatea articolului 6 alineatul (1) primul paragraf litera (b) din RGPD trebuie evaluată separat în contextul fiecăruia dintre serviciile respective.

101    În speță, în cadrul justificărilor susceptibile să intre în domeniul de aplicare al acestei dispoziții, instanța de trimitere face referire, în calitate de elemente care urmăresc să asigure executarea adecvată a contractului încheiat între Meta Platforms Ireland și utilizatorii săi, la personalizarea conținuturilor, precum și la utilizarea omogenă și fluidă a serviciilor proprii grupului Meta.

102    În ceea ce privește, primo, justificarea întemeiată pe personalizarea conținuturilor, trebuie arătat că, deși o astfel de personalizare este utilă pentru utilizator, în măsura în care îi permite în special să vizualizeze un conținut care corespunde într‑o mare măsură intereselor sale, nu este mai puțin adevărat că, sub rezerva verificării care trebuie efectuată de instanța de trimitere, personalizarea conținuturilor nu este necesară pentru a oferi acestui utilizator serviciile rețelei sociale online. Serviciile respective îi pot fi furnizate, după caz, sub forma unei alternative echivalente care nu implică o asemenea personalizare, astfel încât aceasta din urmă nu este în mod obiectiv indispensabilă unei finalități care face parte integrantă din aceleași servicii.

103    În ceea ce privește, secundo, justificarea întemeiată pe utilizarea omogenă și fluidă a serviciilor proprii grupului Meta, din dosarul aflat la dispoziția Curții reiese că o persoană nu este obligată să subscrie la diferitele servicii oferite de grupul Meta pentru a‑și putea crea un cont de utilizator în rețeaua socială Facebook. Astfel, diferitele produse și servicii propuse de acest grup pot fi utilizate independent unele de celelalte, iar utilizarea fiecărui produs sau serviciu se bazează pe încheierea unui contract de utilizare distinct.

104    Prin urmare și sub rezerva verificării de către instanța de trimitere, prelucrarea datelor cu caracter personal provenite din alte servicii decât serviciul rețelei sociale online oferite de grupul Meta nu pare a fi necesară pentru a permite furnizarea acestui din urmă serviciu.

105    În ceea ce privește, în al doilea rând, articolul 6 alineatul (1) primul paragraf litera (f) din RGPD, acesta prevede că prelucrarea datelor cu caracter personal este legală dacă este „necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil”.

106    Astfel cum Curtea a statuat deja, această dispoziție prevede trei condiții cumulative pentru ca prelucrarea de date cu caracter personal să fie legală, și anume, primo, urmărirea unui interes legitim de către operator sau de către un terț, secundo, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, tertio, condiția ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate să nu prevaleze asupra interesului legitim al operatorului sau al unui terț (Hotărârea din 17 iunie 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punctul 106 și jurisprudența citată).

107    În ceea ce privește, primo, condiția privind urmărirea unui interes legitim, este necesar să se precizeze că, în conformitate cu articolul 13 alineatul (1) litera (d) din RGPD, revine operatorului, în momentul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la această persoană, sarcina de a‑i indica interesele legitime urmărite în cazul în care prelucrarea menționată se face în temeiul articolului 6 alineatul (1) primul paragraf litera (f) din acest regulament.

108    În ceea ce privește, secundo, condiția referitoare la necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit, aceasta impune instanței de trimitere să verifice dacă interesul legitim al prelucrării datelor urmărit nu poate fi atins în mod rezonabil la fel de eficient prin alte mijloace care să afecteze mai puțin libertățile și drepturile fundamentale ale persoanelor vizate, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal garantate prin articolele 7 și 8 din cartă [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 110 și jurisprudența citată].

109    În acest context, trebuie amintit de asemenea că această condiție privind necesitatea prelucrării trebuie examinată împreună cu principiul „reducerii la minimum a datelor” consacrat la articolul 5 alineatul (1) litera (c) din RGPD, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate” (a se vedea în acest sens Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, punctul 48).

110    În ceea ce privește, tertio, condiția ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate de protecția datelor să nu prevaleze asupra interesului legitim al operatorului sau al unui terț, Curtea a statuat deja că aceasta implică o evaluare comparativă a drepturilor și a intereselor opuse în cauză care depinde, în principiu, de împrejurările concrete ale cazului și că, în consecință, revine instanței de trimitere sarcina de a efectua această evaluare comparativă ținând seama de împrejurările specifice respective (Hotărârea din 17 iunie 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punctul 111 și jurisprudența citată).

111    În această privință, reiese din însuși textul articolului 6 alineatul (1) primul paragraf litera (f) din RGPD că, în contextul unei astfel de evaluări comparative, este necesar să se acorde o atenție deosebită situației în care persoana vizată este un copil. Într‑adevăr, conform considerentului (38) din acest regulament, copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Astfel, o asemenea protecție specială trebuie să se aplice în special prelucrării datelor cu caracter personal referitoare la copii în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator ori pentru propunerea de servicii care vizează în mod direct copiii.

112    În plus, așa cum reiese din considerentul (47) al RGPD, interesele și drepturile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o astfel de prelucrare.

113    În speță, în cadrul justificărilor care pot intra în domeniul de aplicare al articolului 6 alineatul (1) primul paragraf litera (f) din RGPD, instanța de trimitere face referire la personalizarea publicității, la securitatea rețelei, la îmbunătățirea produsului, la informarea autorităților competente pentru efectuarea urmăririi penale, precum și pentru executarea pedepselor, la faptul că utilizatorul este un minor, la cercetarea și la inovarea în scopuri sociale, precum și la oferta, destinată clienților din domeniul publicității și altor parteneri profesioniști, de servicii de comunicare comercială cu utilizatorul și de instrumente de analiză care să le permită să evalueze performanțele acestora.

114    În această privință, este necesar să se arate de la bun început că cererea de decizie preliminară nu conține nicio explicație care să permită să se înțeleagă modul în care cercetarea și inovarea în scopuri sociale sau faptul că utilizatorul este un minor ar putea justifica, în calitate de interese legitime în sensul articolului 6 alineatul (1) primul paragraf litera (f) din RGPD, colectarea și exploatarea datelor în discuție. În consecință, Curtea nu este în măsură să se pronunțe în această privință.

115    Primo, în ceea ce privește personalizarea publicității, trebuie amintit că, potrivit considerentului (47) al acestui regulament, prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim al operatorului.

116    Cu toate acestea, se impune totodată ca o astfel de prelucrare să fie necesară pentru realizarea acestui interes și ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate să nu prevaleze asupra acestuia. În cadrul acestei evaluări comparative a drepturilor și a intereselor opuse în cauză, și anume cele ale operatorului, pe de o parte, și cele ale persoanei vizate, pe de altă parte, trebuie să se țină seama, astfel cum s‑a arătat la punctul 112 din prezenta hotărâre, în special de așteptările rezonabile ale persoanei vizate, precum și de întinderea prelucrării în cauză și de impactul acesteia asupra persoanei respective.

117    În această privință, trebuie arătat că, în pofida gratuității serviciilor unei rețele sociale online precum Facebook, utilizatorul acesteia nu se poate aștepta în mod rezonabil ca, fără consimțământul său, operatorul respectivei rețele sociale să prelucreze datele sale cu caracter personal în scopuri de personalizare a publicității. În aceste condiții, trebuie să se considere că interesele și drepturile fundamentale ale unui asemenea utilizator prevalează asupra interesului acestui operator pentru o asemenea personalizare a publicității prin care își finanțează activitatea, astfel încât prelucrarea efectuată de acesta în asemenea scopuri nu poate intra sub incidența articolului 6 alineatul (1) primul paragraf litera (f) din RGPD.

118    Pe de altă parte, prelucrarea în discuție în litigiul principal este deosebit de extinsă din moment ce privește date potențial nelimitate și are un impact important asupra utilizatorului, ale cărui activități online, în mare parte sau chiar în cvasitotalitatea lor, sunt monitorizate de Meta Platforms Ireland, ceea ce îi poate suscita acestuia senzația unei supravegheri continue a vieții sale private.

119    Secundo, în ceea ce privește obiectivul de garantare a securității rețelei, acesta constituie, astfel cum enunță considerentul (49) al RGPD, un interes legitim al Meta Platforms Ireland, susceptibil să justifice prelucrarea în discuție în litigiul principal.

120    Totuși, în ceea ce privește necesitatea prelucrării respective pentru realizarea acestui interes legitim, instanța de trimitere va trebui să verifice dacă și în ce măsură prelucrarea datelor cu caracter personal colectate din surse din afara rețelei sociale Facebook se dovedește într‑adevăr necesară pentru a garanta că securitatea internă a acestei rețele nu este compromisă.

121    În acest context, astfel cum s‑a arătat la punctele 108 și 109 din prezenta hotărâre, ea va trebui de asemenea să verifice, pe de o parte, dacă interesul legitim al prelucrării datelor urmărite nu poate fi atins în mod rezonabil la fel de eficient prin alte mijloace care să afecteze mai puțin libertățile și drepturile fundamentale ale persoanelor vizate, în special dreptul la respectarea vieții private și la protecția datelor cu caracter personal garantate de articolele 7 și 8 din cartă, și, pe de altă parte, dacă este respectat așa‑numitul principiu al „reducerii la minimum a datelor”, consacrat la articolul 5 alineatul (1) litera (c) din RGPD.

122    Tertio, în ceea ce privește obiectivul privind îmbunătățirea produsului, nu este exclus a priori ca interesul operatorului de a‑și îmbunătăți produsul sau serviciul pentru a‑l face mai performant și astfel mai atractiv să poată constitui un interes legitim care să permită justificarea unei prelucrări de date cu caracter personal și ca o asemenea prelucrare să poată fi necesară pentru urmărirea acestui interes.

123    Cu toate acestea, sub rezerva aprecierii finale care trebuie efectuată în această privință de instanța de trimitere, pare îndoielnic ca, în ceea ce privește prelucrarea datelor în discuție în litigiul principal, obiectivul privind îmbunătățirea produsului să poată, ținând seama de amploarea acestei prelucrări și de impactul important al acesteia asupra utilizatorului, precum și de împrejurarea că acesta din urmă nu se poate aștepta în mod rezonabil ca datele respective să fie prelucrate de Meta Platforms Ireland, să prevaleze asupra intereselor și a drepturilor fundamentale ale unui asemenea utilizator, cu atât mai mult în ipoteza în care acesta este un copil.

124    Quarto, în ceea ce privește obiectivul evocat de instanța de trimitere referitor la informarea autorităților competente să efectueze urmărirea penală și să execute pedepse în vederea prevenirii, a depistării și a urmăririi penale a infracțiunilor, este necesar să se constate că acest obiectiv nu poate, în principiu, să constituie un interes legitim urmărit de operator, în sensul articolului 6 alineatul (1) primul paragraf litera (f) din RGPD. Astfel, un operator privat precum Meta Platforms Ireland nu poate invoca un asemenea interes legitim, străin de activitatea sa economică și comercială. În schimb, obiectivul menționat poate justifica prelucrarea efectuată de un asemenea operator atunci când este în mod obiectiv necesară pentru respectarea unei obligații legale care îi revine acestui operator.

125    Având în vedere tot ceea ce precedă, trebuie să se răspundă la a treia și la a patra întrebare că articolul 6 alineatul (1) primul paragraf litera (b) din RGPD trebuie interpretat în sensul că prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a altor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate poate fi considerată necesară pentru executarea unui contract la care persoanele vizate sunt părți, în sensul acestei dispoziții, numai cu condiția ca prelucrarea respectivă să fie în mod obiectiv indispensabilă pentru realizarea unui scop care face parte integrantă din prestația contractuală destinată acelorași utilizatori, astfel încât obiectul principal al contractului nu ar putea fi atins în lipsa acestei prelucrări.

126    Articolul 6 alineatul (1) primul paragraf litera (f) din RGPD trebuie interpretat în sensul că o astfel de prelucrare poate fi considerată necesară în scopul intereselor legitime urmărite de operator sau de un terț, în sensul acestei dispoziții, numai dacă operatorul menționat a indicat utilizatorilor de la care au fost colectate datele un interes legitim urmărit prin prelucrarea lor, dacă această prelucrare este efectuată în limitele strictului necesar pentru realizarea acestui interes legitim și dacă reiese dintr‑o evaluare comparativă a intereselor opuse, în raport cu ansamblul circumstanțelor relevante, că interesele sau libertățile și drepturile fundamentale ale acestor utilizatori nu prevalează asupra interesului legitim menționat al operatorului sau al unui terț.

 Cu privire la a cincea întrebare

127    În primul rând, în măsura în care această întrebare vizează articolul 6 alineatul (1) primul paragraf literele (c) și (e) din RGPD, trebuie amintit că, în temeiul literei (c), prelucrarea datelor cu caracter personal este legală dacă este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului. În plus, potrivit literei (e), este legală și prelucrarea care este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

128    Articolul 6 alineatul (3) din RGPD precizează printre altele, în ceea ce privește aceste două ipoteze de legalitate, că prelucrarea trebuie să se bazeze pe dreptul Uniunii sau pe dreptul intern care se aplică operatorului și că acest temei juridic trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit.

129    În speță, instanța de trimitere urmărește să afle dacă o prelucrare de date cu caracter personal precum cea în discuție în litigiul principal poate fi considerată justificată în raport cu articolul 6 alineatul (1) primul paragraf litera (c) din RGPD atunci când urmărește „să răspundă unei cereri valabile din punct de vedere legal privind furnizarea anumitor date” și, în raport cu articolul 6 alineatul (1) primul paragraf litera (e) din acest regulament, atunci când are ca obiectiv „cercetarea în beneficiul societății” și „promovarea protecției, a integrității și a securității”.

130    Trebuie să se constate însă că această instanță nu a furnizat Curții elemente care să îi permită să se pronunțe în mod concret în această privință.

131    Va reveni, așadar, instanței menționate sarcina de a verifica, având în vedere condițiile enunțate la punctul 128 din prezenta hotărâre, dacă prelucrarea menționată poate fi considerată justificată de scopurile invocate.

132    În special, ținând seama de cele arătate la punctul 124 din prezenta hotărâre, îi va reveni sarcina de a cerceta, în scopul aplicării articolului 6 alineatul (1) primul paragraf litera (c) din RGPD, dacă Meta Platforms Ireland este supusă în mod preventiv unei obligații legale de colectare și de stocare a datelor cu caracter personal pentru a putea răspunde oricărei cereri a unei autorități naționale prin care se urmărește obținerea anumitor date referitoare la utilizatorii săi.

133    De asemenea, va reveni instanței menționate sarcina de a aprecia, în raport cu articolul 6 alineatul (1) primul paragraf litera (e) din RGPD, dacă Meta Platforms Ireland este învestită cu o misiune de interes public sau care rezultă din exercitarea autorității publice, în special pentru cercetarea în beneficiul societății, precum și pentru promovarea protecției, a integrității și a securității, cu precizarea că, având în vedere natura și caracterul esențialmente economic și comercial al activității sale, pare puțin probabil ca acest operator privat să fie învestit cu o asemenea misiune.

134    În plus, instanța de trimitere va trebui, dacă este cazul, să verifice dacă, ținând seama de amploarea prelucrării datelor efectuate de Meta Platforms Ireland și de incidența sa importantă pentru utilizatorii rețelei sociale Facebook, această prelucrare este efectuată în limitele strictului necesar.

135    În ceea ce privește, în al doilea rând, articolul 6 alineatul (1) primul paragraf litera (d) din RGPD, această dispoziție prevede că prelucrarea datelor cu caracter personal este legală atunci când este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice.

136    Astfel cum reiese din considerentul (46) al acestui regulament, dispoziția menționată vizează situația particulară în care prelucrarea datelor cu caracter personal este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. În acest sens, considerentul amintit enumeră cu titlu de exemple scopuri umanitare, cum ar fi monitorizarea unei epidemii și răspândirea acesteia, precum și situații de urgențe umanitare, cum ar fi situații de dezastre naturale sau provocate de om.

137    Din aceste exemple, precum și din interpretarea strictă a articolului 6 alineatul (1) primul paragraf litera (d) din RGPD care trebuie reținută reiese că, având în vedere natura serviciilor furnizate de operatorul unei rețele sociale online, un asemenea operator, a cărui activitate are un caracter esențialmente economic și comercial, nu poate invoca protecția unui interes esențial pentru viața utilizatorilor săi sau a unei alte persoane pentru a justifica, în absolut și în mod pur abstract și preventiv, legalitatea unei prelucrări de date precum cea în discuție în litigiul principal.

138    Având în vedere ceea ce precedă, trebuie să se răspundă la a cincea întrebare că articolul 6 alineatul (1) primul paragraf litera (c) din RGPD trebuie interpretat în sensul că prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate este justificată, în temeiul acestei dispoziții, dacă este într‑adevăr necesară în vederea respectării unei obligații legale care îi revine operatorului, în temeiul unei dispoziții de drept al Uniunii sau al dreptului statului membru în cauză, dacă acest temei juridic urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit, iar prelucrarea respectivă este efectuată în limitele strictului necesar.

139    Articolul 6 alineatul (1) primul paragraf literele (d) și (e) din RGPD trebuie interpretat în sensul că o asemenea prelucrare a datelor cu caracter personal nu poate, în principiu și sub rezerva unei verificări care trebuie efectuată de instanța de trimitere, să fie considerată necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, în sensul literei (d), sau pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, în sensul literei (e).

 Cu privire la a șasea întrebare

140    Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 6 alineatul (1) primul paragraf litera (a) și articolul 9 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că se poate considera că un consimțământ dat de utilizatorul unei rețele sociale online operatorului unei astfel de rețele îndeplinește condițiile de validitate prevăzute la articolul 4 punctul 11 din acest regulament, în special cea potrivit căreia acest consimțământ trebuie acordat în mod liber, atunci când operatorul respectiv deține o poziție dominantă pe piața rețelelor sociale online.

141    Articolul 6 alineatul (1) primul paragraf litera (a) și articolul 9 alineatul (2) litera (a) din RGPD impun consimțământul persoanei vizate în scopul prelucrării, pentru unul sau mai multe scopuri specifice, a datelor sale cu caracter personal și, respectiv, al prelucrării unor categorii speciale de date menționate la acest articol 9 alineatul (1).

142    La rândul său, articolul 4 punctul 11 din RGPD definește noțiunea de „consimțământ” ca fiind „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

143    Având în vedere întrebările instanței de trimitere, trebuie amintit în primul rând că, în conformitate cu considerentul (42) al RGPD, consimțământul nu poate fi considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

144    În al doilea rând, considerentul (43) al acestui regulament enunță că, pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest considerent prevede de asemenea că se prezumă că respectivul consimțământ nu a acordat în mod liber în cazul în care nu se poate acorda consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular.

145    În al treilea rând, articolul 7 alineatul (4) din RGPD prevede că, atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de aspectul dacă, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

146    Pe baza acestor considerații este necesar să se răspundă la a șasea întrebare.

147    În această privință, trebuie să se constate că, desigur, împrejurarea că operatorul unei rețele sociale online, în calitate de operator, ocupă o poziție dominantă pe piața rețelelor sociale nu se opune ca atare posibilității ca utilizatorii acestei rețele sociale să își dea în mod valabil consimțământul, în sensul articolului 4 punctul 11 din RGPD, pentru prelucrarea datelor lor cu caracter personal, efectuată de acest operator.

148    Nu este mai puțin adevărat că, după cum a arătat în esență domnul avocat general la punctul 75 din concluzii, o asemenea împrejurare trebuie să fie luată în considerare la aprecierea caracterului valabil și în special liber al consimțământului dat de utilizatorul rețelei menționate, din moment ce poate afecta libertatea de alegere a acestui utilizator, care nu ar putea fi în măsură să refuze sau să își retragă consimțământul fără a suferi un prejudiciu, astfel cum arată considerentul (42) al RGPD.

149    În plus, existența unei asemenea poziții dominante poate crea un dezechilibru vădit, în sensul considerentului (43) al RGPD, între persoana vizată și operator, acest dezechilibru favorizând printre altele impunerea unor condiții care nu sunt strict necesare pentru executarea contractului, ceea ce trebuie luat în considerare în conformitate cu articolul 7 alineatul (4) din regulamentul menționat. În acest context, trebuie amintit că, așa cum s‑a arătat la punctele 102-104 din prezenta hotărâre, nu rezultă, sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, că prelucrarea în discuție în litigiul principal este strict necesară pentru executarea contractului dintre Meta Platforms Ireland și utilizatorii rețelei sociale Facebook.

150    Astfel, acești utilizatori trebuie să dispună de libertatea de a refuza în mod individual, în cadrul procesului contractual, să își dea consimțământul pentru anumite operațiuni de prelucrare de date care nu sunt necesare pentru executarea contractului, fără a fi însă obligați să renunțe integral la utilizarea serviciului oferit de operatorul rețelei sociale online, ceea ce implică faptul că respectivilor utilizatori li se oferă, dacă este cazul în schimbul unei remunerații adecvate, o alternativă echivalentă care nu este însoțită de asemenea operațiuni de prelucrare a datelor.

151    În plus, ținând seama de amploarea prelucrării datelor în cauză și de impactul important al acesteia asupra utilizatorilor rețelei respective, precum și de împrejurarea că acești utilizatori nu se pot aștepta în mod rezonabil ca alte date decât cele referitoare la comportamentul lor în cadrul rețelei sociale să fie prelucrate de operatorul acesteia, este adecvat, în sensul considerentului (43) menționat, ca un consimțământ distinct să poată fi dat pentru prelucrarea acestor din urmă date, pe de o parte, și a datelor off Facebook, pe de altă parte. Revine instanței de trimitere sarcina de a verifica existența unei asemenea posibilități, în lipsa căreia trebuie să se prezume că nu a fost dat în mod liber consimțământul utilizatorilor menționați pentru prelucrarea datelor off Facebook.

152    În sfârșit, trebuie amintit că, în temeiul articolului 7 alineatul (1) din RGPD, în cazurile în care prelucrarea se bazează pe consimțământ, sarcina de a demonstra că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor cu caracter personal care o vizează revine operatorului.

153    Tocmai în lumina acestor criterii și a unei examinări detaliate a tuturor împrejurărilor speței, va reveni instanței de trimitere sarcina de a stabili dacă utilizatorii rețelei sociale Facebook și‑au dat în mod valabil și în special în mod liber consimțământul pentru prelucrarea în discuție în litigiul principal.

154    Ținând seama de ceea ce precedă, trebuie să se răspundă la a șasea întrebare că articolul 6 alineatul (1) primul paragraf litera (a) și articolul 9 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că împrejurarea că operatorul unei rețele sociale online ocupă o poziție dominantă pe piața rețelelor sociale nu se opune ca atare posibilității ca utilizatorii unei astfel de rețele să își dea în mod valabil consimțământul, în sensul articolului 4 punctul 11 din RGPD, pentru prelucrarea datelor lor cu caracter personal, efectuată de acest operator. Această împrejurare constituie însă un element important pentru a stabili dacă, într‑adevăr, consimțământul a fost dat în mod valabil și în special în mod liber, aspect care trebuie dovedit de operatorul menționat.

 Cu privire la cheltuielile de judecată

155    Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1)      Articolul 51 și următoarele din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și articolul 4 alineatul (3) TUE

trebuie interpretate în sensul că

sub rezerva respectării obligației sale de cooperare loială cu autoritățile de supraveghere, o autoritate de concurență a unui stat membru poate constata, în cadrul examinării unui abuz de poziție dominantă al unei întreprinderi, în sensul articolului 102 TFUE, că nu sunt conforme cu acest regulament condițiile generale de utilizare a acestei întreprinderi referitoare la prelucrarea datelor cu caracter personal și punerea lor în aplicare, atunci când constatarea respectivă este necesară pentru a stabili existența unui asemenea abuz.

Având în vedere această obligație de cooperare loială, autoritatea națională de concurență nu se poate abate de la o decizie a autorității naționale de supraveghere competente sau a autorității de supraveghere principale competente referitoare la aceste condiții generale sau la condiții generale similare. Atunci când are îndoieli cu privire la conținutul unei astfel de decizii, atunci când condițiile menționate sau condiții similare fac, în același timp, obiectul unei examinări de către aceste autorități sau atunci când, în lipsa unei investigații sau a unei decizii a autorităților menționate, autoritatea de concurență consideră că aceste condiții nu sunt conforme cu Regulamentul 2016/679, ea trebuie să consulte aceleași autorități de supraveghere și să le solicite cooperarea pentru a‑și înlătura îndoielile sau pentru a stabili dacă este necesar să aștepte adoptarea unei decizii din partea lor înainte de a începe propria apreciere. În absența unei obiecții din partea acestora sau a unui răspuns într‑un termen rezonabil, autoritatea națională de concurență își poate continua propria investigație.

2)      Articolul 9 alineatul (1) din Regulamentul 2016/679

trebuie interpretat în sensul că

în cazul în care un utilizator al unei rețele sociale online consultă site‑uri internet sau aplicații în raport cu una sau mai multe dintre categoriile prevăzute de această dispoziție și, dacă este cazul, introduce acolo date înscriindu‑se sau efectuând comenzi online, prelucrarea datelor cu caracter personal de către operatorul acestei rețele sociale online, care constă în colectarea, prin intermediul unor interfețe integrate, al unor module „cookie” sau al unor tehnologii de stocare similare, a datelor provenite din consultarea acestor site‑uri și a acestor aplicații, precum și a datelor introduse de utilizator, în asocierea tuturor acestor date cu contul rețelei sociale al acestuia și în utilizarea datelor menționate de către operatorul respectiv, trebuie să fie considerată o „prelucrare de categorii speciale de date cu caracter personal”, în sensul dispoziției menționate, care este în principiu interzisă, sub rezerva derogărilor prevăzute la acest articol 9 alineatul (2), atunci când această prelucrare de date permite să se dezvăluie informații care se încadrează în una dintre aceste categorii, indiferent dacă aceste informații privesc un utilizator al acestei rețele sau orice altă persoană fizică.

3)      Articolul 9 alineatul (2) litera (e) din Regulamentul 2016/679

trebuie interpretat în sensul că

atunci când consultă site‑uri internet sau aplicații în raport cu una sau mai multe dintre categoriile menționate la articolul 9 alineatul (1) din acest regulament, un utilizator al unei rețele sociale online nu face publice în mod manifest, în sensul primei dintre aceste dispoziții, datele referitoare la consultarea menționată, colectate de operatorul acestei rețele sociale online prin intermediul modulelor „cookie” sau al tehnologiilor de stocare similare.

Atunci când introduce date pe astfel de site‑uri internet sau în astfel de aplicații sau atunci când acționează butoane de selecție integrate în aceste site‑uri și aplicații, cum ar fi butoanele „Îmi place” sau „Distribuie” sau butoanele care permit utilizatorului să se identifice pe aceste site‑uri sau aplicații cu ajutorul datelor de acces legate de contul său de utilizator al rețelei sociale, al numărului său de telefon sau al adresei de e‑mail, un astfel de utilizator face publice în mod manifest, în sensul acestui articol 9 alineatul (2) litera (e), datele astfel introduse sau care rezultă din acționarea acestor butoane numai în cazul în care și‑a exprimat în mod explicit opțiunea în prealabil, dacă este cazul pe baza unei configurări individuale efectuate în deplină cunoștință de cauză, de a face datele care îl privesc accesibile unui număr nelimitat de persoane.

4)      Articolul 6 alineatul (1) primul paragraf litera (b) din Regulamentul 2016/679

trebuie interpretat în sensul că

prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate poate fi considerată necesară pentru executarea unui contract la care persoanele vizate sunt părți, în sensul acestei dispoziții, numai cu condiția ca prelucrarea respectivă să fie în mod obiectiv indispensabilă pentru realizarea unui scop care face parte integrantă din prestația contractuală destinată acelorași utilizatori, astfel încât obiectul principal al contractului nu ar putea fi atins în lipsa acestei prelucrări.

5)      Articolul 6 alineatul (1) primul paragraf litera (f) din Regulamentul 2016/679

trebuie interpretat în sensul că

prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate poate fi considerată necesară în scopul intereselor legitime urmărite de operator sau de un terț, în sensul acestei dispoziții, numai dacă operatorul menționat a indicat utilizatorilor de la care au fost colectate datele un interes legitim urmărit prin prelucrarea lor, dacă această prelucrare este efectuată în limitele strictului necesar pentru realizarea acestui interes legitim și dacă reiese dintr‑o evaluare comparativă a intereselor opuse, în raport cu ansamblul circumstanțelor relevante, că interesele sau libertățile și drepturile fundamentale ale acestor utilizatori nu prevalează asupra interesului legitim menționat al operatorului sau al unui terț.

6)      Articolul 6 alineatul (1) primul paragraf litera (c) din Regulamentul 2016/679

trebuie interpretat în sensul că

prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate este justificată, în temeiul acestei dispoziții, dacă este într‑adevăr necesară în vederea respectării unei obligații legale care îi revine operatorului, în temeiul unei dispoziții de drept al Uniunii sau al dreptului statului membru în cauză, dacă acest temei juridic urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit, iar prelucrarea respectivă este efectuată în limitele strictului necesar.

7)      Articolul 6 alineatul (1) primul paragraf literele (d) și (e) din Regulamentul 2016/679

trebuie interpretat în sensul că

prelucrarea datelor cu caracter personal efectuată de un operator al unei rețele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de rețele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către acești utilizatori a unor site‑uri internet sau a unor aplicații terțe, în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați și în utilizarea datelor menționate nu poate, în principiu și sub rezerva unei verificări care trebuie efectuată de instanța de trimitere, să fie considerată necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, în sensul literei (d), sau pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, în sensul literei (e).

8)      Articolul 6 alineatul (1) primul paragraf litera (a) și articolul 9 alineatul (2) litera (a) din Regulamentul 2016/679

trebuie interpretate în sensul că

împrejurarea că operatorul unei rețele sociale online ocupă o poziție dominantă pe piața rețelelor sociale nu se opune ca atare posibilității ca utilizatorii acestei rețele sociale să își dea în mod valabil consimțământul, în sensul articolului 4 punctul 11 din RGPD, pentru prelucrarea datelor lor cu caracter personal, efectuată de acest operator. Această împrejurare constituie însă un element important pentru a stabili dacă, într‑adevăr, consimțământul a fost dat în mod valabil și în special în mod liber, aspect care trebuie dovedit de operatorul menționat.

Semnături

*      Limba de procedură: germana.