CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Affaire C‑252/21

Meta Platforms Inc., anciennement Facebook Inc.,
Meta Platforms Ireland Ltd,anciennement Facebook Ireland Ltd,
et
Facebook Deutschland GmbH

contre

Bundeskartellamt

(demande de décision préjudicielle, introduite par l’Oberlandesgericht Düsseldorf)

Arrêt de la Cour (grande chambre) du 4 juillet 2023

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement de données à caractère personnel – Règlement (UE) 2016/679 – Réseaux sociaux en ligne – Abus de position dominante par l’opérateur d’un tel réseau – Abus consistant dans le traitement de données à caractère personnel des utilisateurs de ce réseau prévu par les conditions générales d’utilisation de celui-ci – Compétences d’une autorité de la concurrence d’un État membre pour constater la non-conformité de ce traitement à ce règlement – Articulation avec les compétences des autorités nationales chargées du contrôle de la protection des données personnelles – Article 4, paragraphe 3, TUE – Principe de coopération loyale – Article 6, paragraphe 1, premier alinéa, sous a) à f), du règlement 2016/679 – Licéité du traitement – Article 9, paragraphes 1 et 2 – Traitement portant sur des catégories particulières de données à caractère personnel – Article 4, point 11 – Notion de “consentement” »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Réseaux sociaux en ligne – Abus de position dominante par l’opérateur d’un tel réseau – Abus consistant dans le traitement de données à caractère personnel des utilisateurs de ce réseau prévu par les conditions générales d’utilisation de celui-ci – Compétences d’une autorité de la concurrence nationale pour constater la non-conformité de ce traitement avec ce règlement – Portée – Articulation avec les compétences des autorités nationales chargées du contrôle de la protection des données personnelles – Obligation de coopération loyale de l’autorité de la concurrence nationale avec les autorités nationales de contrôle

[Art. 4, § 3, TUE ; art. 102 TFUE ; règlement du Parlement européen et du Conseil 2016/679, art. 51, 55 à 58, 60 à 65)]

(voir points 48-59, 62, 63, disp. 1)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Traitement portant sur des catégories particulières de données à caractère personnel – Notion – Collecte, par l’opérateur d’un réseau social en ligne, au moyen d’interfaces intégrées, de cookies ou de technologies d’enregistrement similaires, des données issues de la consultation de sites Internet et d’applications ainsi que des données insérées par l’utilisateur de ce réseau social – Mise en relation de l’ensemble de ces données avec le compte du réseau social de cet utilisateur et utilisation desdites données par cet opérateur – Inclusion – Condition

(Règlement du Parlement européen et du Conseil 2016/679, considérant 51 et art. 9, § 1)

(voir point 73, disp. 2)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Traitement portant sur des catégories particulières de données à caractère personnel – Interdiction – Dérogations – Traitement portant sur des données manifestement rendues publiques par la personne concernée – Données relatives à la consultation, par un utilisateur d’un réseau social en ligne, de sites Internet ou d’applications en rapport avec une ou plusieurs catégories particulières de données, collectées par l’opérateur de ce réseau social à travers des cookies ou des technologies d’enregistrement similaires – Exclusion – Insertion de données dans de tels sites Internet ou dans de telles applications ou activation des boutons de sélection y intégrés, ou des boutons permettant à l’utilisateur de s’identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social en ligne – Inclusion – Condition

[Règlement du Parlement européen et du Conseil 2016/679, art. 9, § 1 et 2, e)]

(voir points 84, 85, disp. 3)

4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire à l’exécution d’un contrat liant la personne concernée – Notion – Collecte, effectuée par un opérateur d’un réseau social en ligne, de données des utilisateurs d’un tel réseau issues d’autres services du groupe d’appartenance de cet opérateur ou de données issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers – Mise en relation de ces données avec le compte du réseau social desdits utilisateurs et utilisation desdites données – Inclusion – Condition

[Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1^er al., b)]

(voir points 91-93, 97-104, 125, disp. 4)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à condition de la non-prévalence des intérêts ou des libertés et droits fondamentaux de la personne concernée exigeant une protection des données – Notion – Collecte, effectuée par un opérateur d’un réseau social en ligne, de données des utilisateurs d’un tel réseau issues d’autres services du groupe d’appartenance de cet opérateur ou de données issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers – Mise en relation de ces données avec le compte du réseau social desdits utilisateurs et utilisation desdites données – Inclusion – Conditions

[Règlement du Parlement européen et du Conseil 2016/679, considérants 47 et 49, art. 6, § 1, 1^er al., f)]

(voir points 105-124, 126, disp. 5)

6. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique – Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique poursuivi par le responsable du traitement – Notion – Collecte, effectuée par un opérateur d’un réseau social en ligne, de données des utilisateurs d’un tel réseau issues d’autres services du groupe d’appartenance de cet opérateur ou de données issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers – Mise en relation de ces données avec le compte du réseau social desdits utilisateurs et utilisation desdites données – Exclusion – Vérification incombant à la juridiction nationale

[Règlement du Parlement européen et du Conseil 2016/679, considérant 46, art. 6, § 1, 1^er al., d) et e)]

(voir points 137, 139, disp. 7)

7. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire au respect d’une obligation légale pesant sur le responsable du traitement – Notion – Collecte, effectuée par un opérateur d’un réseau social en ligne, de données des utilisateurs d’un tel réseau issues d’autres services du groupe d’appartenance de cet opérateur ou de données issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers – Mise en relation de ces données avec le compte du réseau social desdits utilisateurs et utilisation desdites données – Inclusion – Conditions

[Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1^er al., c)]

(voir point 138, disp. 6)

8. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de consentement – Position dominante sur les réseaux sociaux en ligne occupée par l’opérateur d’un réseau social en ligne – Circonstance ne faisant pas obstacle à un consentement valide des utilisateurs d’un tel réseau au traitement de leurs données effectué par cet opérateur – Circonstance constituant un élément important aux fins de déterminer la validité et, notamment, la liberté du consentement ainsi donné par les utilisateurs de ce réseau social – Charge de la preuve incombant à l’opérateur dudit réseau social

[Règlement du Parlement européen et du Conseil 2016/679, considérants 42 et 43, art. 4, point 11, art. 6 § 1, 1^er al., a), et 9, § 2, a)]

(voir points 143-154, disp. 8)

Résumé

La société Meta Platforms est propriétaire du réseau social en ligne « Facebook », qui est gratuit pour les utilisateurs privés. Le modèle économique de ce réseau social se fonde sur le financement par la publicité en ligne, qui est faite sur mesure pour ses utilisateurs individuels. Une telle publicité est techniquement rendue possible par l’établissement automatisé de profils détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe Meta. Ainsi, afin de pouvoir utiliser ledit réseau social, les utilisateurs doivent, au moment de leur inscription, accepter les conditions générales établies par Meta Platforms, qui renvoient aux politiques d’utilisation des données et des cookies fixées par cette société. En vertu de ces dernières, outre les données que ces utilisateurs fournissent directement lors de leur inscription, Meta Platforms collecte également des données relatives aux activités desdits utilisateurs à l’intérieur et à l’extérieur du réseau social et les met en relation avec les comptes Facebook des utilisateurs concernés. Quant à ces dernières données, également désignées comme des « données off Facebook », il s’agit, d’une part, des données concernant la consultation de pages Internet et d’applications tierces et, d’autre part, des données relatives à l’utilisation d’autres services en ligne appartenant au groupe Meta (dont Instagram et WhatsApp). L’aperçu global des données ainsi collectées permet de tirer des conclusions détaillées sur les préférences et les intérêts de ces mêmes utilisateurs.

Par décision du 6 février 2019, le Bundeskartellamt (autorité fédérale de la concurrence, Allemagne) a interdit à Meta Platforms, d’une part, de subordonner, dans les conditions générales alors en vigueur (1), l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs données off Facebook et, d’autre part, de procéder, sans leur consentement, au traitement de ces données. En outre, l’autorité fédérale de la concurrence lui a imposé d’adapter ces conditions générales, de sorte qu’il en ressorte clairement que lesdites données ne seront pas collectées, mises en relation avec les comptes d’utilisateurs Facebook et utilisées sans le consentement des utilisateurs concernés. Enfin, cette autorité a souligné qu’un tel consentement n’était pas valide lorsqu’il constituait une condition pour l’utilisation du réseau social. Elle a motivé sa décision par le fait que le traitement des données en cause, qui ne serait pas conforme au RGPD (2), constituerait une exploitation abusive de la position dominante de Meta Platforms sur le marché des réseaux sociaux en ligne.

Meta Platforms a introduit un recours contre cette décision devant l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne). Nourrissant des doutes, d’une part, quant à la possibilité pour des autorités de la concurrence de contrôler la conformité d’un traitement de données à caractère personnel avec les exigences formulées dans le RGPD et, d’autre part, sur l’interprétation et l’application de certaines dispositions de ce règlement, le tribunal régional supérieur de Düsseldorf a saisi la Cour à titre préjudiciel.

Par son arrêt, la Cour, réunie en grande chambre, se prononce sur la compétence d’une autorité de la concurrence nationale pour constater la non-conformité d’un traitement de données à caractère personnel avec le RGPD, ainsi que sur son articulation avec les compétences des autorités nationales chargées du contrôle de la protection des données (3). Par ailleurs, elle apporte des précisions sur la possibilité du traitement, par un opérateur d’un réseau social, de données à caractère personnel « sensibles » de ses utilisateurs, sur les conditions de licéité du traitement des données effectué par un tel opérateur ainsi que sur la validité du consentement, donné aux fins d’un tel traitement par ces utilisateurs, à une entreprise en position dominante sur le marché national des réseaux sociaux en ligne.

Appréciation de la Cour

En premier lieu, s’agissant de la compétence d’une autorité de la concurrence pour constater la non-conformité avec le RGPD d’un traitement de données à caractère personnel, la Cour considère que, sous réserve du respect de son obligation de coopération loyale (4) avec les autorités de contrôle de la protection des données, une telle autorité peut constater, dans le cadre de l’examen d’un abus de position dominante de la part d’une entreprise (5), que les conditions générales d’utilisation fixées par cette entreprise en matière de traitement des données à caractère personnel et leur mise en œuvre ne sont pas conformes à ce règlement, lorsque ce constat est nécessaire pour établir l’existence d’un tel abus. Cependant, lorsqu’une autorité de la concurrence relève une violation du RGPD dans le cadre du constat d’un abus de position dominante, elle ne se substitue pas aux autorités de contrôle.

Ainsi, compte tenu du principe de coopération loyale, lorsque les autorités de la concurrence sont amenées, dans l’exercice de leurs compétences, à examiner la conformité avec les dispositions du RGPD d’un comportement d’une entreprise, elles doivent se concerter et coopérer loyalement avec les autorités de contrôle nationales concernées ou avec l’autorité de contrôle chef de file. L’ensemble de ces autorités sont alors tenues de respecter leurs pouvoirs et compétences respectifs, de manière à ce que les obligations découlant du RGPD ainsi que les objectifs de ce règlement soient respectés et que leur effet utile soit préservé. Il s’ensuit que, lorsque, dans le cadre de l’examen visant à constater un abus de position dominante de la part d’une entreprise, une autorité de la concurrence considère qu’il est nécessaire d’examiner la conformité d’un comportement de cette entreprise à l’égard des dispositions du RGPD, ladite autorité doit vérifier si ce comportement ou un comportement similaire a déjà fait l’objet d’une décision par l’autorité de contrôle nationale compétente ou par l’autorité de contrôle chef de file ou bien encore par la Cour. Si tel est le cas, l’autorité de la concurrence ne peut s’en écarter, tout en restant libre d’en tirer ses propres conclusions sous l’angle de l’application du droit de la concurrence.

Lorsqu’elle nourrit des doutes sur la portée de l’appréciation effectuée par l’autorité de contrôle nationale compétente ou l’autorité de contrôle chef de file, lorsque le comportement en cause ou un comportement similaire fait, en même temps, l’objet d’un examen de la part de ces autorités, ou encore lorsque, en l’absence d’enquête desdites autorités, elle considère qu’un comportement d’une entreprise n’est pas conforme aux dispositions du RGPD, l’autorité de la concurrence doit consulter ces autorités et solliciter leur coopération, afin de lever ses doutes ou de déterminer s’il y a lieu d’attendre l’adoption d’une décision par l’autorité de contrôle concernée avant d’entamer sa propre appréciation. En l’absence d’objection de leur part ou de réponse dans un délai raisonnable, l’autorité de la concurrence peut poursuivre sa propre enquête.

En deuxième lieu, s’agissant du traitement de catégories particulières de données à caractère personnel (6), la Cour estime que, dans le cas où un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs de ces catégories et, le cas échéant, y insère des données en s’inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l’opérateur de ce réseau social en ligne (7) doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de l’article 9, paragraphe 1, du RGPD, lorsqu’il permet de révéler des informations relevant d’une de ces catégories particulières, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique. Un tel traitement de données est en principe interdit, sous réserve de certaines dérogations (8).

À ce dernier égard, la Cour précise que, lorsqu’un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs desdites catégories particulières de données, il ne rend pas manifestement publiques (9) les données relatives à cette consultation, collectées par l’opérateur de ce réseau social en ligne à travers des cookies ou des technologies d’enregistrement similaires. Par ailleurs, lorsqu’il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu’il active des boutons de sélection intégrés à ces sites et à ces applications, tels que les boutons « j’aime » ou « partager », ou les boutons permettant à l’utilisateur de s’identifier sur ces sites ou applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques les données ainsi insérées ou résultant de l’activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

En troisième lieu, en ce qui concerne plus généralement les conditions de licéité d’un traitement de données à caractère personnel, la Cour rappelle que, en vertu du RGPD, le traitement de données est licite si, et dans la mesure où, la personne concernée y a consenti pour une ou plusieurs finalités spécifiques (10). En l’absence d’un tel consentement, ou lorsque ce consentement n’a pas été donné de manière libre, spécifique, éclairée et univoque, un tel traitement est néanmoins justifié lorsqu’il répond à l’une des exigences de nécessité (11), qui doivent être interprétées strictement. Or, le traitement de données à caractère personnel de ses utilisateurs effectué par un opérateur d’un réseau social en ligne ne peut être considéré comme étant nécessaire à l’exécution du contrat auquel ces utilisateurs sont parties qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée auxdits utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement.

En outre, selon la Cour, le traitement de données en cause ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement soit opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressorte d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers. Or, la Cour considère notamment que, en l’absence d’un consentement de leur part, les intérêts et les droits fondamentaux desdits utilisateurs prévalent sur l’intérêt de l’opérateur d’un réseau social en ligne à la personnalisation de la publicité par laquelle il finance son activité.

Enfin, la Cour précise que le traitement de données en cause est justifié lorsqu’il est effectivement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, en vertu d’une disposition du droit de l’Union ou du droit de l’État membre concerné, que cette base juridique répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi et que ce traitement est opérée dans les limites du strict nécessaire.

En quatrième et dernier lieu, s’agissant de la validité du consentement des utilisateurs concernés au traitement de leurs données en vertu du RGPD, la Cour considère que la circonstance que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux en ligne ne fait pas obstacle en tant que telle à ce que les utilisateurs d’un tel réseau puissent valablement consentir au traitement de leurs données à caractère personnel, effectué par cet opérateur. Toutefois, vu qu’une telle position est susceptible d’affecter la liberté de choix de ces utilisateurs et de créer un déséquilibre manifeste entre ceux-ci et ledit opérateur, elle constitue un élément important pour déterminer si le consentement a effectivement été donné valablement et, notamment, librement, ce qu’il incombe à ce même opérateur de prouver (12).

En particulier, les utilisateurs du réseau social en question doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation de ce réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données. De plus, un consentement distinct doit pouvoir être donné pour le traitement des données off Facebook.

1 Le 31 juillet 2019, Meta Platforms a introduit de nouvelles conditions générales indiquant expressément que l’utilisateur, au lieu de payer pour l’utilisation des produits Facebook, déclare consentir aux annonces publicitaires.

2 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

3 Au sens des articles 51 à 59 du RGPD.

4 Consacrée à l’article 4, paragraphe 3, TUE.

5 Au sens de l’article 102 TFUE.

6 Visées à l’article 9, paragraphe 1, du RGPD. Cette disposition prévoit que « [l]e traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

7 Ce traitement consiste en la collecte, au moyen d’interfaces intégrées, de cookies ou de technologies d’enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l’utilisateur, en la mise en relation de l’ensemble de ces données avec le compte du réseau social de celui-ci et en l’utilisation desdites données par cet opérateur.

8 Prévues à l’article 9, paragraphe 2, du RGPD. Cette disposition énonce : « [l]e paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ; […]

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;

[…] ».

9 Au sens de l’article 9, paragraphe 2, sous e), du RGPD.

10 Aux termes de l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD.

11 Mentionnées à l’article 6, paragraphe 1, premier alinéa, sous b) à f), du RGPD. En vertu de ces dispositions, le traitement n’est licite que si, et dans la mesure où, il est, entre autres, nécessaire à l’exécution d’un contrat auquel la personne concernée est partie [article 6, paragraphe 1, premier alinéa, sous b), du RGPD], au respect d’une obligation légale à laquelle le responsable du traitement et soumis [article 6, paragraphe 1, premier alinéa, sous c), du RGPD] ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers [article 6, paragraphe 1, premier alinéa, sous f), du RGPD].

12 En vertu de l’article 7, paragraphe 1, du RGPD.