« Le jour de la débâcle RGPD pour Meta », c’est ainsi que Max Schrems, président de Noyb, a accueilli l’arrêt de la Cour de Justice de l’Union européenne (CJUE) de ce jour. L’affaire remonte à 2019 quand l’Office fédéral des cartels avait enquêté sur les activités de Facebook en observant que les atteintes à la vie privée devaient être traitées comme un abus de position dominante. Dans son ordonnance, le régulateur avait demandé à Facebook de cesser de combiner les données sur les utilisateurs de ses différents services (WhatsApp et Instagram) sans leur consentement. La firme américaine avait tenté de bloquer cette ordonnance auprès des tribunaux. Ces derniers se sont tournés vers la CJUE pour avoir une éclairage juridique sur certains arguments de Meta.

Une autorité de la concurrence peut vérifier la conformité au RGPD

Le réseau social arguait que l’autorité de la concurrence allemande n’était pas compétente pour contrôler la conformité d’un traitement de données au RGPD dans le cadre d’une enquête pour abus de position dominante. Pour la Cour, cette possibilité « peut s’avérer nécessaire » et accorde le droit au régulateur « d’examiner également la conformité du comportement de cette entreprise à des normes autres que celles relevant du droit de la concurrence, telles que les règles du RGPD ». Cela ouvre la possibilité de contentieux supplémentaires sur le RGPD sous l’aspect droit de la concurrence.

La juridiction émet quelques réserves à cette compétence. Le régulateur de la concurrence ne doit pas « se substituer aux autorités de contrôle mises en place par ce règlement ». Elle plaide pour une concertation et coopération entre les différentes autorités (concurrence et protection des données personnelles). Enfin, l’autorité de la concurrence doit vérifier que « le comportement ou une attitude similaire a déjà fait l’objet d’une décision par l’autorité de contrôle compétente ou par la Cour ». Elle ne pourra alors pas s’en écarter.

Une absence de consentement pour le superprofilage

L’autre partie de l’arrêt concerne spécifiquement le « superprofilage » mené par Meta en combinant les données des utilisateurs collectées à l’intérieur et à l’extérieur de Facebook. Comme toujours dans ces circonstances, la question du consentement est au centre des discussions en particulier sur les données dites sensibles. Et la Cour constate en l’espèce que ces dernières sont caractérisées, car elles « sont susceptibles de révéler entre autre l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou l’orientation sexuelle ». Le traitement de ces données est en principe interdit par le RGPD, mais la CJUE en renvoie l’appréciation aux juridictions nationales.

La Cour balaye plusieurs arguments de Meta concernant la justification du traitement des données sensibles. « Le seul fait qu’un utilisateur consulte des sites Internet ou des applications ne signifie nullement qu’il rend manifestement publique ses données ». Il n’y a donc pas de présomption de consentement par défaut. De même quand l’utilisateur « insère des données dans tel site ou telle application » ou « active des boutons de sélection », à moins « d’avoir explicité son choix au préalable ». Enfin sur le consentement des données non-sensibles, Max Schrems résume dans un message la position de la Cour « au lieu d'avoir une option 'oui/non' pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement dans les termes et conditions générales. Ce n'est pas seulement injuste, c'est aussi clairement illégal ». Il reste maintenant à savoir la réaction de Meta à la suite de cet arrêt.