Étape majeure dans la lutte pour la protection des données personnelles, le tribunal d’Amsterdam s’est déclaré compétent pour connaître d’une action groupée dirigée contre Facebook, accusé d’avoir illégalement exploité les données personnelles des utilisateurs pendant près de dix ans.
Le 15 mars 2023, le tribunal d’Amsterdam a rendu sa décision dans l’affaire opposant la Data Privacy Stichting (DPS, fondation chargée du respect du caractère privé des données1), soutenue par la Dataconsumenbond (groupe néerlandais de protection des consommateurs), à Facebook Netherlands B.V., Meta Platforms Inc. et Meta Platforms Ireland Ltd2. Par cette décision, le tribunal a reconnu Facebook responsable du traitement illicite des données des utilisateurs entre 2010 et 2020, celles-ci ayant été illégalement traitées à des fins publicitaires.
Déclaration de compétence dans le cadre d’une action groupée
Par sa décision, le tribunal d’Amsterdam rappelle que le contrôleur néerlandais de la protection des données avait ouvert une enquête en 2014, ayant conclu en 2017 à la violation des dispositions relatives à la protection des données par Facebook, pour avoir illégalement exploité et transféré des données des utilisateurs à des fins publicitaires. La DPS et la Dataconsumenbond ont reproché à Facebook, par leur requête introduite en 2019, d’avoir manqué à l’obligation d’obtenir le consentement des utilisateurs pour le traitement de leurs données dès 2010 et pendant une décennie3. Tout en réfutant ces allégations, Facebook a tenté d’obtenir la suspension de la procédure sur un fondement procédural : cette affaire serait régie, selon Facebook, par le droit irlandais et, par voie de conséquence, les juridictions néerlandaises seraient incompétentes pour connaître de ce litige. Par ailleurs, Facebook a avancé l’argument de la prescription pour tous les manquements potentiels avant 2014, ne pouvant être poursuivi pour des faits remontant à plus de cinq ans.
Le tribunal d’Amsterdam a rendu, de manière inattendue, un jugement incident en 2021, par lequel il déclare les juridictions néerlandaises compétentes et ouvre donc la voie à une première étape majeure dans l’avancement de cette affaire. Il convient de rappeler que quand bien même le droit applicable serait le droit néerlandais, celui-ci découle du droit européen régissant les dispositions de la protection des données telles qu’émanant du RGPD (règlement général sur la protection des données)4. Le jugement incident ayant donné lieu à la poursuite de la procédure, c’est par sa décision du 15 mars 2023 que le tribunal d’Amsterdam a d’abord réfuté l’argument de prescription, en rappelant que le délai de prescription, en droit néerlandais, ne commence à courir qu’à partir du moment où les parties lésées ont connaissance tout à la fois du dommage causé et de la personne responsable. Cette connaissance doit être effective et ne peut être présumée5. Dès lors, le tribunal établit que seront examinées toutes les infractions concernant la période 2010-2020. Cette décision a pour objectif d’analyser les violations du droit des données personnelles, sans pour autant infliger une sanction en cas de violation.
Imputabilité répétée pour traitement illégal des données à des fins publicitaires
Pour s’en tenir aux seuls principes énoncés par le RGPD, les données à caractère personnel doivent être traitées selon les principes de licéité, loyauté et transparence, au regard de la personne concernée (article 5). De plus, la lecture combinée des articles 12 à 14 impose, de manière explicite, que le responsable du traitement des données prenne les mesures appropriées pour que les personnes concernées aient, au moment où les données sont traitées ou exploitées, toutes les informations relatives à la finalité du traitement auquel celles-ci sont destinées ainsi qu’à la base juridique sur le fondement de laquelle elles sont traitées. Le tribunal d’Amsterdam dit pour droit que l’un des objectifs majeurs de ces principes est de permettre aux utilisateurs et autres personnes concernées de pouvoir déterminer, à l’avance, la portée et les conséquences du traitement de leurs données, sans être confrontés à un effet de surprise ultérieur.
Dans le cadre de la procédure devant la juridiction néerlandaise, il est reproché à Facebook d’avoir manqué à son obligation d’informer de manière claire et précise les utilisateurs sur les moyens et les finalités du traitement de leurs données personnelles. Non seulement il est avancé que des développeurs externes ont eu accès à des données personnelles d’internautes, mais il est également illégal d’avoir permis, à des fins publicitaires, l’usage de leurs numéros de téléphone fournis dans le cadre de l’authentification à double facteur.
Il ressort ainsi de la décision suivant les cinq griefs examinés que le réseau social aurait omis d’informer (ou pas suffisamment) les utilisateurs des tenants et aboutissants de l’accès accordé aux développeurs externes, reliés à plusieurs milliers d’autres applications connectées au service Facebook. Parmi celles-ci, le tribunal mentionne des sociétés, telles que Airbnb, Netflix ou encore Spotify, par lesquelles ces développeurs peuvent accéder aux données personnelles des utilisateurs, dès lors que ces derniers s’y connectent habituellement avec leur identifiant Facebook. Le groupe américain a avancé, comme il l’a déjà fait dans le cadre de différentes affaires devant la DPC (Data Protection Commission, la « Cnil irlandaise », voir La rem n°64, p.29), que le traitement des données à des fins publicitaires était nécessaire à l’exécution du contrat conclu entre les utilisateurs et le réseau social. En outre, Facebook allègue qu’afin d’offrir un service personnalisé tel que des publicités ciblées, il est nécessaire d’exploiter les données personnelles. Argument réfuté par le tribunal qui a estimé qu’il n’est nullement besoin, ni nécessaire, objectivement et effectivement, d’avoir recours à des publicités ciblées afin d’exécuter le contrat, dès lors que le service principal proposé est celui d’un réseau social, et que l’interface de la plateforme est conçue de la sorte. Le tribunal rappelle également que l’article 6 du RGPD ne peut pas servir de base légale pour les publicités ciblées, dès lors que celles-ci financent indirectement la fourniture du service6. En outre, cela constitue, selon les requérants, une pratique commerciale déloyale du fait que Facebook est un professionnel qui a agi de manière à générer un chiffre d’affaires sans en informer les utilisateurs, lésés par le traitement de leurs données, lesquelles pourraient être considérées comme monnaie d’échange entre Facebook et les développeurs externes7.
En ce sens, le tribunal a conclu que Facebook a agi illégalement vis-à-vis de ses utilisateurs néerlandais par des pratiques commerciales déloyales, au cours de la période allant du 1er avril 2010 au 1er janvier 2020, violant leurs droits quant à la protection de leur vie privée et du traitement de leurs données. Le traitement des données à des fins publicitaires n’était alors ni justifié, ni correctement fondé juridiquement, d’autant plus concernant des données particulières, soit la religion, l’appartenance ethnique, l’orientation sexuelle ainsi que l’orientation politique. En tout état de cause, il est avéré, selon le tribunal, que Facebook a manqué à son obligation d’information, telle que découlant de l’article 13 du RGPD non seulement vis-à-vis des utilisateurs, mais aussi vis-à-vis de la maison mère qui n’a pas été informée de la manière et de la finalité du traitement des données.
Cette décision se distingue par son caractère novateur en acceptant le recours d’une action groupée devant une juridiction nationale, au lieu de porter ce litige devant la DPC, laquelle s’est quand même prononcée sur une partie de ces questions. Alors que le tribunal d’Amsterdam a uniquement condamné Facebook à supporter les dépens de la procédure, la reconnaissance de ces infractions et violations du droit des données personnelles par la juridiction nationale laisser envisager une éventuelle ouverture de moyens plus efficaces dans la lutte contre ces pratiques abusives.
Sources :
- Une stichting est une entité juridique de droit privé à but non lucratif spécifique au droit néerlandais, ayant un objectif d’intérêt général, wikipedia.org.
- Affaire C/13/683377/HA/ZA 20-468, tribunal d’Amsterdam, 15 mars 2023.
- Pantho Sayed, « Amsterdam Court Rules Facebook Ireland Unlawfully Processed Dutch Users’ Data », JOLT Digest – Harvard Law, 24 avril 2023.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; texte présentant de l’intérêt pour l’Espace économique européen, JO 2016 L 119/1.
- Article 3 : 310, paragraphe 1, du Code civil néerlandais.
- L’article 6 RGPD prévoit en effet que le traitement des données « n’est licite que si […] le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».
- Voir, à cet effet, annexe I, point 5, de la directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) n° 2006/2004 du Parlement européen et du Conseil (« directive sur les pratiques commerciales déloyales ») (Texte présentant de l’intérêt pour l’EEE), JO 2005 L 149/22.
