Le 4 octobre, la CJUE a rendu un arrêt dans l'affaire Schrems contre Meta. Elle retient notamment que l'utilisation des données personnelles à des fins publicitaires doit être minimisée. Dans cette chronique, Jessica Eynard, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, nous explique tout.
L’affaire ayant donné lieu à l’arrêt de la CJUE du 4 octobre oppose des adversaires de longue date : Maximilian Schrems et la société Meta. Elle met en lumière les pratiques de la société Meta qui, à l’aide de divers traceurs (cookies, social plugins, pixels) intégrés dans les pages de nombreux sites Internet, collecte des informations sur les visiteurs, y compris des données sensibles, dans un but de publicité ciblée.
Gestion d'entreprise
La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...
Dans ce contexte, Maximilian Schrems reprochait à la société Meta :
- d’avoir traité ses données sans avoir obtenu un consentement valable au sens des articles 6, § 1, et 7 du RGPD ;
- d’avoir traité des données sensibles sans son consentement ;
- d’avoir traité des données reçues de tiers sans consentement valide.
La société Meta contestait avoir violé le RGPD. Pour elle, le traitement opéré était licite car il ne reposerait pas sur le consentement de l’utilisateur, mais sur le caractère nécessaire de ce traitement aux fins de l’exécution du contrat conclu entre elle et l’utilisateur. La Cour était saisie de deux questions préjudicielles.
Il s’agissait tout d’abord pour la CJUE de déterminer si le principe de minimisation s’opposait « à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données » (point 38). Rédigée ainsi, on ne voit pas comment la réponse donnée par la Cour aurait pu être négative.
En effet, le principe de minimisation implique que la collecte porte sur des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » en vertu de l’article 5, § 1, c) du RGPD. Or, la collecte opérée par la société Meta n’est en rien limitée puisqu’elle porte sur l’ensemble des informations rendues captables au gré de la navigation de l’utilisateur sur Internet et ce, de façon temporellement indéfinie. La collecte est ainsi généralisée, indifférenciée et les données sont conservées pour une période illimitée. C’est donc logiquement que la Cour décide que « l’utilisation indifférenciée de l’ensemble des données à caractère personnel détenues par une plateforme de réseau social à des fins publicitaires, quel que soit le degré de sensibilité de ces données, n’apparaît pas comme une ingérence proportionnée dans les droits garantis aux utilisateurs de cette plateforme par le RGPD » (point 64). Cette décision doit être saluée. Elle remet en cause un modèle de collecte de données qui porte manifestement atteinte aux droits et libertés fondamentaux protégés au titre du RGPD.
Il était ensuite demandé à la CJUE si « la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, autoris[ait] l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée » (point 66).
Pour répondre, la Cour s’interroge tout d’abord sur la possibilité pour la société Meta de traiter l’information sur l’orientation sexuelle du requérant alors que ce dernier avait fait état de cette orientation dans un évènement ouvert au public, diffusé en streaming et publié sous la forme de podcast et sur une chaîne Youtube. En d’autres mots, l’information sur l’orientation sexuelle de Maximilian Schrems a-t-elle été rendue manifestement publique par ce dernier, auquel cas le régime de l’interdiction de traiter des données sensibles tombe et l’information devient traitable en application de l’article 9, § 2, e) du RGPD ? Tout en laissant le soin des vérifications nécessaires à la juridiction nationale, la CJUE tend à considérer que l’intervention publique de Maximilian Schrems « constitue un acte par lequel l’intéressé, en toute connaissance de cause, a rendu manifestement publique (…) son orientation sexuelle » (point 79). Pour autant, la Cour considère avec justesse que cela n’autorise pas l’exploitant du réseau social à traiter d’autres données se rapportant à l’orientation sexuelle de l’utilisateur, qui auraient notamment été recueillies en dehors de la plateforme, à partir d’applications et de sites Internet de tiers partenaires.
Maximilian Schrems gagne ainsi une nouvelle manche face à la société Meta sur le terrain du RGPD. Au regard des pratiques de la société mises en lumière, il faut s’en féliciter.
Nos engagements
La meilleure actualisation du marché.
Un accompagnement gratuit de qualité.
Un éditeur de référence depuis 1947.
Des moyens de paiement adaptés et sécurisés.