RGPD : les traitements ayant pour finalité la publicité ciblée ne peuvent avoir pour base légale l’exécution d’un contrat 

Dans un arrêt du 4 juillet 2023, la CJUE a apprécié la licéité de la base légale utilisée par une plateforme pour recueillir des données personnelles, notamment à des fins de publicité personnalisée. 

L’affaire est née à la suite d’un litige opposant un réseau social à l’autorité de la concurrence allemande (Bundeskartellamt).

Le réseau social s’adonnait à la collecte des données personnelles de ses utilisateurs en lien avec leurs activités à l’intérieure et à l’extérieur du réseau social, à partir de pages Internet tierces ou d’autres services appartenant au groupe du réseau social. Les données étaient ensuite reliées avec les comptes utilisateurs du réseau social, afin d’y personnaliser les messages publicitaires.  

L’autorité de la concurrence allemande avait considéré que ce traitement constituait une violation du RGPD et une exploitation abusive de la position dominante de la plateforme sur le marché allemand des réseaux sociaux.

Saisie d’un renvoi préjudiciel, la Cour de Justice de l’Union Européenne (CJUE) a d’abord indiqué que l’autorité compétente en matière de position dominante pouvait examiner la conformité d’une entreprise à d’autres règles que celle du droit de la concurrence, telles que celles prévues par le RGPD. 

La Cour a ensuite apporté de nombreuses précisions relatives à l’interprétation de la réglementation des données personnelles en lien avec l’affaire qui lui était soumise. 

Les exceptions à l’interdiction de traiter des données sensibles doivent être interprétées strictement

Les données sensibles sont des données à caractère personnel dont le traitement comporte un risque particulier pour la personne concernée (données de santé, biométriques, origine ethnique, etc.)[1].

Le régime de protection de ces données est renforcé de sorte que leur traitement est en principe interdit, sauf exceptions limitativement énumérées. Le fait que les données sensibles aient manifestement été rendues publiques par la personne concernée constitue l’une de ces exceptions.  

En l’espèce, la Cour a observé que le traitement réalisé par le réseau social sur les données issues de la consultation de sites et les données insérées par l’utilisateur, pouvait possiblement constituer un traitement de données sensibles. Cela pourrait par exemple être le cas si le traitement des données de navigation révèle la consultation régulière de pages en lien avec une maladie ou une religion. 

Pour en décider, le juge national devra déterminer si le traitement de ces données pourrait permettre de révéler des informations relevant des données sensibles, concernant un utilisateur ou toute autre personne physique. 

La Cour a ensuite apporté des précisions sur la manière d’interpréter l’exception tenant aux données sensibles rendues publiques. Elle a jugé qu’il ne pouvait être considéré, au sens du RGPD, que l’utilisateur ait entendu rendre manifestement publiques des données : 

  • Lorsque cet utilisateur consulte un site internet ou des applications susceptibles de révéler de telles informations personnelles ;
  • Ni lorsque cet utilisateur insère des données ou active des boutons de sélection (données collectées à partir des mentions « j’aime » ou des boutons « partager »), à moins qu’il ait explicitement exprimé au préalable son choix de rendre ces données publiquement accessibles. 

La publicité ciblée n’est pas un traitement nécessaire à l’exécution du contrat ni aux fins de l’intérêt légitime du responsable de traitement 

Concernant le traitement de données non sensibles, leur traitement est licite dès lors que le responsable de traitement justifie notamment d’une base légale de traitement. 

Parmi les bases existantes, le RGPD prévoit qu’un traitement est licite s’il est nécessaire à l’exécution du contrat ou aux fins des intérêts légitimes poursuivis par le responsable du traitement[2].

Dans ce contexte, un responsable du traitement peut invoquer que le traitement est objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle, ou pour la réalisation de l’intérêt légitime qu’il poursuit. 

En l’espèce, le réseau social arguait que la personnalisation des contenus, qui est sa principale source de revenus, était nécessaire et que l’exécution du contrat conclu avec l’utilisateur constituait la base légale du traitement de données litigieux. 

La Cour a émis des doutes quant à la possibilité que la personnalisation des contenus soit indispensable à l’exécution du contrat liant l’utilisateur et le réseau social. 

Elle a également relevé que si la publicité ciblée permettait de réaliser un intérêt légitime du réseau social, la juridiction de renvoi devra vérifier s’il ne peut pas être raisonnablement atteint de manière aussi efficace par d’autres moyens moins attentatoires. Partant, la publicité ciblée ne satisferait pas les critères de l’intérêt légitime du responsable de traitement.

Le consentement des utilisateurs ne peut être remis en cause en raison de la seule position dominante de la plateforme 

Le responsable de traitement qui fonde son traitement sur la base légale du consentement doit prouver que le consentement des personnes concernées a effectivement été donné valablement et donc librement[3]

En l’espèce, la Cour devait s’interroger sur la validité d’un traitement fondé sur le consentement des personnes concernées dans l’hypothèse où le réseau social occupe une position dominante sur le marché des réseaux sociaux.

À cet égard, la Cour a considéré que le fait d’occuper une position dominante ne faisait pas obstacle à ce que les utilisateurs du réseau puissent valablement consentir au traitement de leurs données par le réseau.

Les juges ont cependant relevé que la position dominante pouvait être une circonstance susceptible d’affecter la liberté de choix de ces utilisateurs. Elle devrait donc être prise en compte dès lors qu’il peut en découler un déséquilibre entre le responsable de traitement et les utilisateurs, susceptible d’affecter la liberté de choix de ces derniers.

Lire l’arrêt de la CJUE du 4 juillet 2023, affaire C-252/21


[1] Article 9 du RGPD. 

[2] Article 6 du RGPD, b) et f).

[3] Article 7 du RGPD.

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.