Une autorité nationale de concurrence est compétente pour constater une violation du RGPD dans le cadre de l’examen d’un abus de position dominante
Le 4 juillet 2023, la Cour de justice de l’Union européenne a rendu un arrêt dans l’affaire Meta (C-252/21). Le litige opposait l’autorité fédérale allemande de la concurrence et le gestionnaire de réseaux sociaux Meta Platforms Ireland au sujet de la possibilité de soulever, dans le cadre de l’examen d’un abus de position dominante, une violation du règlement général sur la protection des données (ci-après « RGPD »). La Cour de justice a répondu par la positive, estimant que les régulateurs nationaux de concurrence étaient compétents pour contrôler la conformité d’un traitement de données au RGPD dans le cadre d’une enquête pour abus de position dominante, sous réserve du respect de leur obligation de coopération loyale avec les autorités de contrôle en matière de protection des données personnelles (ci-après « autorités de contrôle »).
En tant que gestionnaire du réseau social en ligne Facebook, Meta Platforms Ireland collecte des données relatives aux activités des utilisateurs à l’intérieur et à l’extérieur du réseau social via l’acceptation des conditions générales d’utilisation des données et des cookies dudit réseau. Les données collectées à l’extérieur de Facebook (ci-après « données off Facebook ») concernaient notamment les données relatives à l’utilisation des autres services en ligne appartenant au groupe Meta, dont Instagram, WhatsApp et Oculus.
Le réseau social Facebook justifiait la possibilité d’accéder aux données à caractère personnel de chacun de ses utilisateurs par le modèle économique adopté. Ce dernier repose en effet sur la commercialisation de messages publicitaires, en contrepartie de la gratuité du service fourni, qui nécessiterait de personnaliser les publicités en fonction des profils d’utilisateurs.
En 2019, l’autorité fédérale allemande de la concurrence, le Bundeskartellamt, avait sanctionné l’entreprise Meta, et lui avait interdit de subordonner les conditions générales d’utilisation du réseau social par les utilisateurs allemands au traitement de leurs données off Facebook. Autrement dit, lesdites données ne pouvaient être ni collectées, ni mises en relation avec les comptes d’utilisateurs Facebook, ni utilisées sans le consentement de l’utilisateur concerné. Le Bundeskartellamt estimait, en effet, que cette pratique contrevenait au RGPD, et constituait une exploitation abusive de la position dominante de Meta sur le marché allemand des réseaux sociaux en ligne. Meta avait alors introduit un recours devant le Tribunal régional supérieur de Düsseldorf tendant à l’annulation de cette décision.
Ce dernier a alors décidé de poser plusieurs questions préjudicielles à la Cour de justice ayant trait :
- aux compétences des autorités de concurrence nationales en matière de violation du RGPD (I) ;
- à l’application de certaines dispositions du RGPD au traitement des données par un opérateur d’un réseau social en ligne (II)
- La compétence des autorités nationales de concurrence
Le Tribunal régional supérieur de Düsseldorf s’interrogeait en substance sur l’interprétation des articles 51 et suivants du RGPD s’agissant de la possibilité pour les autorités nationales de concurrence de contrôler la conformité des conditions générales d’utilisation d’une entreprise relatives au traitement des données à caractère personnel avec les exigences formulées dans le RGPD dans le cadre de l’examen d’un abus de position dominante au sens de l’article 102 du Traité sur le fonctionnement de l’Union européenne (ci-après « TFUE »). Dans ce cadre, la juridiction de renvoi se demandait également si le principe de coopération loyale prévu à l’article du 4 § 3 du Traité sur l’Union européenne (ci-après « TUE ») s’opposait à ce qu’une autorité nationale de concurrence constate une inconformité au RGPD alors même qu’une procédure d’examen est déjà engagée par l’autorité de contrôle en matière de protection des données personnelles pour le même objet (comme la Commission nationale de l’informatique et des libertés – la « CNIL » en France).
La Cour de justice estime que dans le cadre de l’examen d’un abus de position dominante au sens de l’article 102 TFUE, une autorité de la concurrence d’un État membre peut constater, que les conditions générales d’utilisation d’une entreprise relatives au traitement des données à caractère personnel ne sont pas conformes au RGPD, lorsque ce constat est nécessaire pour établir l’existence d’un tel abus. Néanmoins, la Cour précise que l’autorité nationale de concurrence ne peut se substituer à l’autorité de contrôle. Dès lors, l’appréciation de la conformité des pratiques d’une entreprise au RGPD est restreint à la constatation d’un abus de position dominante.
En outre, la Cour estime qu’il ressort de l’interprétation des articles 51 et suivants du RGPD et de l’article 4 § 3 TUE, que les autorités nationales de concurrences sont tenues à une obligation de coopération loyale aves les autorités de contrôle afin de s’assurer de l’application cohérente du règlement. Ainsi, en cas de silence de l’autorité de contrôle, ou d’incertitude sur la portée d’une de ses décisions relatives au point litigieux, l’autorité de concurrence doit solliciter ces mêmes autorités afin de vérifier si ce comportement a déjà fait l’objet d’un contrôle, et le cas échéant ne pourra s’écarter de la décision. En l’absence d’objection de leur part ou de réponse dans un délai raisonnable, l’autorité nationale de concurrence peut poursuivre sa propre enquête.
- L’application de certaines dispositions du RGPD au traitement des données par un opérateur d’un réseau social en ligne
Le Tribunal régional supérieur de Düsseldorf s’interrogeait en substance si l’article 6 § 1 al. 1 sous a), et l’article 9 § 2 sous a) du RGPD devaient être interprétés en ce sens qu’un consentement donné par l’utilisateur d’un réseau social en ligne à l’opérateur d’un tel réseau peut être considéré comme satisfaisant aux conditions de validité prévues à l’article 4 point 11 du RGPD – en particulier à celle selon laquelle ce consentement doit être donné librement, lorsque cet opérateur occupe une position dominante sur le marché des réseaux sociaux en ligne.
A cet égard, la Cour précise que la circonstance que l’opérateur d’un réseau social occupe une position dominante ne fait pas obstacle en tant que telle à ce que ses utilisateurs puissent valablement consentir, au sens du RGPD, au traitement de leurs données à caractère personnel par cet opérateur. Néanmoins, cette position peut induire un déséquilibre manifeste entre ce dernier et les utilisateurs, propre à affecter leur liberté de choix. Cette circonstance constitue donc un élément important pour déterminer si le consentement a effectivement été donné valablement, ce qu’il appartient à l’opérateur de prouver.
On retiendra de cet arrêt de principe, que le juge de l’Union tire toutes les conséquences des enjeux économiques liés aux données personnelles et leur exploitation en procédant à une interprétation large des pouvoirs des autorités de concurrence nationales.
La Cour ouvre ainsi la voie à une diversification et multiplication des contentieux en la matière. Les régulateurs de concurrence sont ainsi incités à ouvrir des procédures sur la base du RGPD en complément des autorités de contrôle sectorielles.
Vous pouvez trouver l’arrêt de la Cour de justice : ici
Mots clés : #RGPD, #concurrence