Les opinions exprimées par l’auteur sont personnelles,
et n’engagent pas la Cour de justice de l’Union européenne.
Par son arrêt du 4 juillet 20231, la grande chambre de la Cour de justice de l’Union européenne (CJUE), dans le cadre d’un renvoi préjudiciel, a confirmé l’approche novatrice adoptée par l’autorité de la concurrence allemande (Bundeskartellamt – BKartA) dans sa décision du 6 février 2019, relative à la lutte contre l’abus de position dominante par Facebook du fait de ses méthodes de traitement des données personnelles. Il ressort ainsi que, désormais, une autorité nationale de la concurrence (ANC) sera en mesure de constater des violations du RGPD dans le cadre d’enquêtes relatives à l’abus de position dominante et d’en tirer les conséquences nécessaires dans certaines situations.
Bien que cette question soit soulevée pour la première fois devant la Cour, la BKartA avait adopté une démarche similaire à l’encontre de Google, en décembre 2022. En effet, par sa décision fondée sur l’article 19a du GWB2, la BKartA a mis en demeure la société mère de Google (Alphabet Inc.) de cesser ses pratiques anticoncurrentielles résultant de l’exploitation des données aux fins de créer du contenu publicitaire ciblé. Cette décision s’inscrivait dans le cadre d’une enquête relative au traitement des données à caractère personnel des utilisateurs allemands (voir La rem, n°65-66, p.15). Pour rappel, l’autorité allemande a relevé que les conditions d’utilisation des services Google étaient établies de sorte qu’il soit possible, à partir des données récoltées via les différentes applications du groupe ou des plateformes nécessitant une connexion avec un compte Google, d’établir un profil numérique des utilisateurs, ces derniers n’ayant pas d’autre choix que de consentir aux méthodes de traitement de leurs données personnelles afin d’accéder à ces services. Il est constant que Google bénéficie d’une position dominante sur le marché, pour autant que la manière dont les données personnelles des utilisateurs sont traitées engendre des effets anticoncurrentiels3. En effet, l’imposition de ces méthodes de traitement des données restreint la concurrence sur le marché et peut aboutir à un abus de position dominante (voir La rem n°65-66, p.80)4.
À l’instar de Google, Meta Platforms, maison-mère du réseau social Facebook, ainsi que de WhatsApp et Instagram (et d’autres plateformes et services), s’est vue frappée par une décision du 6 février 2019, fondée sur les articles 19, paragraphe 15, et 32 du GWB6, par laquelle la BKartA a interdit à Facebook de « subordonner, dans les conditions générales, l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs « données off Facebook » (données collectées sur les appareils électroniques des utilisateurs et sur les plateformes par lesquelles il est possible d’accéder avec ses identifiants Facebook) et de procéder, sans leur consentement, au traitement de ces données sur la base des conditions générales alors en vigueur »7. En effet, Meta est basé sur le même schéma de récolte des données des différentes plateformes, ayant pour objectif la création d’un contenu publicitaire personnalisé et ciblé. La Cour rappelle, en ce sens, aux points 27 et 28 de son arrêt, que Meta crée ces publicités ciblées en fonction des comportements des utilisateurs, de leurs intérêts, de leur pouvoir d’achat ou encore de leur situation personnelle, suite aux données collectées non seulement sur Facebook (dont la collecte est consentie au moment de l’inscription (voir La rem n°64, p.29), mais également à partir des données off Facebook. Selon la BKartA, ce traitement des données, tel que prévu par les conditions générales, constituerait une « exploitation abusive de la position dominante de cette société sur le marché des réseaux sociaux en ligne pour les utilisateurs privés en Allemagne », notamment en ce que le traitement des données off Facebook ne serait pas conforme aux articles 6, paragraphe 18 (voir La rem n°64, p.29), et 9, paragraphe 29, du RGPD (règlement général sur la protection des données). Sur ce fondement, la BKartA a ordonné à Facebook d’adapter ses conditions générales, « de sorte qu’il en ressorte clairement que lesdites données ne seront ni collectées, ni mises en relation avec les comptes d’utilisateurs Facebook, ni utilisées sans le consentement de l’utilisateur concerné, et a clarifié le fait qu’un tel consentement n’est pas valide lorsque celui-ci constitue une condition pour l’utilisation du réseau social »10.
Meta a introduit un recours contre la décision de la BKartA devant l’Oberlandsgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, en Allemagne), qui s’est tourné vers la Cour de justice avec sept questions préjudicielles dont il estime les réponses nécessaires aux fins de déterminer l’issue à donner au litige national. Plus particulièrement, il est demandé à la Cour, par les première et septième questions préjudicielles, s’il est compatible avec les articles 51 et suivants du RGPD qu’une ANC puisse constater, dans le cadre du contrôle des pratiques abusives au regard du droit de la concurrence, que les « conditions générales d’utilisation de cette entreprise relatives au traitement des données à caractère personnel et leur mise en œuvre ne sont pas conformes au RGPD » ; et, le cas échéant, si une telle constatation par une ANC est également possible et compatible avec l’article 4, paragraphe 3, du TUE (portant sur le principe de coopération loyale entre l’Union européenne et les États membres)11, lorsque ces conditions sont soumises parallèlement à une procédure d’examen par l’autorité de contrôle chef de file compétente, au sens de l’article 56, paragraphe 1, du RGPD.
Pour rappel, l’article 51 du RGPD prévoit l’institution, dans chaque État membre de l’UE, d’une ou plusieurs autorités publiques indépendantes, chargées de « surveiller l’application [du RGPD], afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union ». Ce même article prévoit la coopération, le cas échéant, entre les différentes autorités nationales de contrôle et la Commission. Par ailleurs, il est constant, selon le RGPD, que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie12. Ce principe n’est pas remis en cause dans le cadre de l’article 56, paragraphe 2 dudit règlement, qui établit une autorité de contrôle chef de file compétente pour le traitement transfrontalier des données au sens de l’article 4, point 23, du RGPD.
La Cour rappelle que, en parallèle, le RGPD prévoit la mise en œuvre des principes de coopération loyale13 et d’assistance mutuelle14 entre les différentes autorités de contrôle, en vue de l’application cohérente du règlement sur l’ensemble du territoire de l’Union15. Toutefois, à l’instar des doutes émis par la juridiction nationale d’origine, la Cour confirme, au point 42 de son arrêt, que les règles de coopération prévues dans le RGPD « ne s’adressent pas aux ANC mais régissent la coopération entre les autorités de contrôle nationales concernées et l’autorité de contrôle chef de file ainsi que, le cas échéant, la coopération de ces autorités avec le [CEPD] et la Commission [européenne] ». Une telle lecture pourrait remettre en cause la légalité de la décision de la BKartA et la portée de son contrôle effectué dans le cadre d’enquêtes relatives à un éventuel abus de position dominante dans le traitement des données à caractère personnel sur le territoire allemand. Notamment, il pourrait être considéré que l’autorité nationale a agi au-delà de ses compétences, et en dehors du cadre de l’attribution de ses compétences, pouvant ainsi entacher d’illégalité ses décisions antérieures et celles à venir, prises sur ce même fondement, ou, en l’occurrence, pour faute d’existence d’un tel fondement juridique attributif de compétences.
Or, la Cour adopte une approche extensive quant à la légalité de cette démarche, en faisant application, d’une manière ou d’une autre, de l’adage tiré de l’article 5 de la Déclaration des droits de l’homme et du citoyen, selon lequel « tout ce qui n’est pas défendu par la Loi ne peut être empêché »16 (également connu sous le principe de légalité). En effet, là où le RGPD ne prévoit pas de règles de coopération avec les ANC ou d’autres autorités, il n’y a aucune disposition légale qui interdirait aux ANC de constater l’absence de conformité au RGPD dans le cadre de l’exercice de leurs missions. Quand bien même les autorités se voient attribuer des fonctions et des missions différentes, elles ont toutes, en principe, pour objet, le maintien et la bonne application de l’ordonnancement juridique européen en vue de garantir et de protéger les droits des citoyens européens. Aux points 46 et 47 de son arrêt, la Cour rappelle les missions des ANC, notamment leur compétence pour adopter des décisions constatant un abus de position dominante17 sur la base de toutes les circonstances spécifiques de l’affaire. Cela implique, comme le soulevait déjà l’avocat général Rantos, le pouvoir de contrôler la conformité ou la non-conformité aux dispositions du RGPD, « non en lui-même, mais compte tenu de toutes les circonstances de l’espèce », ce qui pourrait procurer « un indice important pour établir si ce comportement constitue un recours à des moyens qui gouvernent une compétition normale »18 et, selon la Cour, « ainsi que pour évaluer les conséquences d’une certaine pratique sur le marché ou pour les consommateurs »19.
Ainsi, au-delà d’une simple possibilité donnée aux ANC de contrôler la conformité ou non au RGPD, il est possible que ce contrôle soit une nécessité dans le cadre de l’examen d’un abus de position dominante – ce faisceau d’indices, relatif aux méthodes de collecte et traitement des données à caractère personnel, sortant du cadre du droit de la concurrence et constituant une ligne de normes extérieures dont le respect ou non est déterminant dans le cadre légal d’examen de violations alléguées du droit de la concurrence. Toutefois, cette nouvelle pratique n’a pas pour effet de permettre aux ANC de se substituer aux autorités de contrôle nationales, mais de pouvoir enjoindre la cessation des pratiques anticoncurrentielles, par exemple, si celles-ci consistent en l’exploitation illicite ou abusive des données, de sorte qu’il n’y ait pas de confusion de pouvoirs et d’attribution au regard des articles 57 et 58 du RGPD. Dès lors, en cas de constatation de non-conformité, les ANC et les autorités de contrôle établies en vertu du RGPD doivent coopérer et, à défaut de réaction des autorités de contrôle, dans un délai raisonnable, l’ANC serait autorisée à mener leurs propres enquêtes et à en tirer les conséquences adéquates pour autant que d’autres enquêtes ne soient pas en cours devant les autorités de contrôle. En ce sens, la Cour affirme que lorsque les ANC estiment qu’il est nécessaire de se pencher sur la question de la conformité au RGPD, ces dernières doivent s’assurer que ce comportement n’a pas déjà fait l’objet de décisions, dont l’ANC ne pourrait s’écarter.
Là où cet arrêt de la grande chambre est susceptible d’apporter une pierre majeure à l’édifice de la protection du marché intérieur à l’ère numérique, il semblerait que la véritable concrétisation de la protection des données à l’encontre d’un traitement pouvant porter atteinte à la concurrence se trouve dans le Digital Markets Act (DMA)20, par lequel le législateur entend interdire la collecte des données généralisées, à l’instar des pratiques de Google et de Meta, et lier les compétences émanant du RGPD aux principes énoncés dans le nouveau règlement DMA, de sorte que ces violations soient désormais également de la compétence du juge légal européen.
Sources :
- Arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537.
- Loi allemande relative aux restrictions de concurrence, Gesetz gegen Wettbewerbsbeschränkungen – GWB.
- Voir fiches d’orientation, Pratique anticoncurrentielle (Sanctions), août 2022, Dalloz : « Les pratiques anticoncurrentielles désignent trois types de pratiques commerciales contraires au droit de la concurrence : les ententes, les abus de domination et les offres et pratiques de prix abusivement bas. Lorsqu’elles restreignent de manière abusive le jeu de la concurrence sur le marché considéré, elles donnent lieu à des mesures coercitives visant à les faire cesser, voire à des sanctions. »Voir également arrêt du 22 mars 2022, Nordzucker e.a., C-151/20, EU:C:2022:203.
- Voir également, pour une définition de l’abus de position dominante : Hauviller Maxime, « Position dominante (Notion) », Dictionnaire de droit de la concurrence, Concurrences, art. n° 86012.
- Prohibition de l’abus de position dominante.
- Disposition permettant à la BKartA d’enjoindre les entités ou les entreprises de cesser les pratiques ayant pour objet ou effet la violation des articles 101 et/ou 102 TFUE, sur les ententes et l’abus de position dominante, et lui permettant de prendre proportionnellement les mesures structurelles ou comportementales nécessaires en vue de la cessation des pratiques anticoncurrentielles identifiées.
- Arrêt du 4 juillet 2023, « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », C-252/21, EU:C:2023:537, point 29.
- L’article 6, paragraphe 1, RGPD, aborde essentiellement le traitement licite des données, notamment subordonné au consentement et à la nécessité pour l’exécution du contrat ou d’une obligation légale à laquelle le responsable du traitement est soumis.
- L’article 9, paragraphe 2, RGPD, traite des exceptions à l’article 9, paragraphe 1, relatif à l’interdiction de la collecte et au traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ou toutes autres données permettant d’identifier une personne physique de manière unique, ou encore les données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne physique.
- Arrêt du 4 juillet 2023, « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », C-252/21, EU:C:2023:537, point 29.
- Article 4, paragraphe 3 du traité sur l’Union européenne : « En vertu du principe de coopération loyale, l’Union et les États membres se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des Traités. »
- Article 55, paragraphe 1, du RGPD ; Arrêts du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, point 47 et du 4 juillet 2023, « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », C-252/21, EU:C:2023:537, point 37.
- Article 13, paragraphe 2, du traité sur l’Union européenne ; voir également arrêt du 21 juin 2018, Pologne/Parlement et Conseil, C-5/16, EU:C:2018:483, point 90 et jurisprudence citée. Dans le cadre du RGPD, voir article 60.
- Article 61 du RGPD sur le principe d’assistance mutuelle entre les autorités de contrôle dans les missions relatives au traitement des données.
- Arrêts du 15 juin 2021, Facebook Ireland e.a.,
C-645/19, EU:C:2021:483, point 52 et du 4 juillet 2023, « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », C-252/21, EU:C:2023:537,
points 40 et 41. - Interprétation personnelle de l’auteur,
ceci ne ressort pas de l’arrêt de la Cour. - Article 5 du règlement 1/2003.
- Conclusions de l’avocat général Rantos dans l’affaire Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2022:704,
point 23 et note 17. - Arrêt du 4 juillet 2023, « Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », C-252/21, EU:C:2023:537, point 47.
- Article 5, paragraphe 2, du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques). Texte présentant de l’intérêt pour l’EEE, JO 2022 L 265/21. Voir, pour plus de discussion, Ribera Martínez Alba, « Getting Clued Into The Interplay Between Data Protection Regulation and Competition Law inCase C-252/21 Meta Platforms and Others (Conditions Générales d’Utilisation d’un Réseau Social) », Kluwer Competition Law Blog, 2023.