Marion Nuytten & Zuriñe Irusta Ortega –
Dans son arrêt du 4 juillet 2023 (C-252/21), la Cour de justice de l’Union européenne (« CJUE ») – siégeant en Grande Chambre – se prononce sur la possibilité pour une autorité nationale de la concurrence de considérer, dans le cadre de l’évaluation d’un abus de position dominante dans le chef d’un opérateur de réseau social, l’incompatibilité des conditions générales dudit réseau avec le Règlement général sur la protection des données (« RGPD »).
En principe, l’utilisation du réseau social Facebook est conditionnée par l’adhésion à ses conditions générales. En vertu de celles-ci, l’entreprise Meta Platforms Ireland (successeur de Facebook, ci-après « Meta ») est autorisée à collecter les données de ses utilisateurs relatives à leurs activités sur d’autres services en ligne appartenant au groupe Meta (tels qu’Instagram et WhatsApp) ainsi que sur des pages Internet et applications tierces. Ces données sont aussi appelées « données off Facebook ».
Par une décision du 6 février 2019, l’autorité fédérale allemande de la concurrence (Bundeskartellamt) a constaté que le traitement des données à caractère personnel par Meta n’était pas conforme au RGPD, ce qui constitue un abus de position dominante du groupe Meta sur le marché des réseaux sociaux en ligne. Le Bundeskartellamt a, par conséquent, interdit à Meta (i) de subordonner l’utilisation de Facebook par les utilisateurs privés au traitement de leurs « données off Facebook » et (ii) de traiter ces données sans leur consentement. La décision susmentionnée fait l’objet d’un recours devant les instances nationales qui, à leur tour, ont adressé à la CJUE une série de questions préjudicielles.
Dans ce contexte, la CJUE a tout d’abord considéré que, dans le cadre de l’examen d’un abus de position dominante de la part d’une entreprise sur un marché déterminé en vertu de l’article 102 du Traité sur le fonctionnement de l’Union européenne, il peut s’avérer nécessaire pour une autorité nationale de la concurrence d’analyser si le comportement de cette entreprise est conforme à des règles autres que celles qui ont trait au droit de la concurrence, telles que les règles relatives à la protection des données à caractère personnel consacrées par le RGPD.
Ce faisant, l’autorité nationale de la concurrence ne peut toutefois ni empiéter sur les compétences conférées à l’autorité de contrôle de la protection des données (« autorité de contrôle ») en vertu de l’article 51, §1er, du RGPD, ni s’y substituer. Par conséquent, afin d’assurer une application cohérente du règlement, et conformément au principe de coopération loyale, les autorités nationales de concurrence et les autorités de contrôle doivent se concerter et coopérer loyalement.
Concrètement, si un comportement a déjà fait l’objet d’une décision antérieure par l’autorité de contrôle ou encore par la CJUE, l’autorité nationale de la concurrence ne peut s’en écarter, bien qu’elle demeure libre d’en tirer ses propres conclusions sous l’angle de l’application du droit de la concurrence.
En cas de doutes sur la portée de son appréciation, en cas d’enquête en cours ou en l’absence de décision préalable, l’autorité nationale de la concurrence doit également consulter et solliciter la coopération de l’autorité de contrôle compétente. Cette dernière est tenue de répondre à une telle demande de renseignements dans un délai raisonnable. En l’absence de réponse ou de toute objection de la part de l’autorité de contrôle, l’autorité nationale de la concurrence est autorisée à poursuivre sa propre enquête.
Deuxièmement, la CJUE a observé que les données traitées par Meta comprennent des données sensibles – révélant, entre autres, l’origine raciale ou ethnique, les opinions politiques ou l’orientation sexuelle de l’utilisateur – dont le traitement est en principe interdit par l’article 9, §1er, du RGPD. Cette interdiction peut exceptionnellement être levée notamment lorsque ledit traitement porte sur des données à caractère personnel sensibles qui ont manifestement été rendues publiques par la personne concernée (article 9, §2, sous e) du RGPD).
Voy. suite ici : Partie 2/2.
