Traitement de données à caractère personnel effectué par le service de réseau social de Meta : compétence à titre incident d’une autorité de la concurrence d’un État membre pour constater la non-conformité de ce traitement avec le RGPD

À première vue, les réponses apportées par cet arrêt historique de la plus Haute juridiction de l’Union européenne sonnent comme une victoire éclatante pour le Bundeskartellamt. Cependant, une lecture plus attentive révèle que l’approche adoptée, qui s’appuie largement sur les conclusions de l’avocat général Rantos, diffère sensiblement de celle de l’autorité allemande de la concurrence. Elle se veut beaucoup plus nuancée et, ce faisant, beaucoup plus pérenne.

Pour rappel, le point de départ de cette saga judiciaire notoire est un litige opposant l’autorité allemande de la concurrence à Meta (anciennement Facebook), dont les conditions générales lui permettent non seulement de collecter et d’utiliser les données des utilisateurs de son réseau social pour créer des profils détaillés de ces derniers à des fins publicitaires, mais aussi les « données off Facebook ». Ces dernières correspondent à la fois aux données des utilisateurs résultant de leurs interactions avec des pages Internet et des applications tierces qui intègrent les « Outils Facebook Business » – des interfaces de programmation –, et aux données relatives à l’utilisation d’autres services en ligne du groupe Meta, à savoir : Instagram, WhatsApp, Oculus et Masquerade.

Dans une décision du 6 février 2019, le Bundeskartellamt a considéré que le traitement de ces données off Facebook était contraire au RGPD et en a ainsi déduit l’existence d’un abus de position dominante, au regard des spécificités du droit allemand de la concurrence, et notamment de l’article 19, paragraphe 1, du GWB. Par conséquent, le Bundeskartellamt a interdit à Meta de combiner les données d’utilisateurs provenant de plusieurs sources sans leur consentement. Le 11 février 2019, Meta a fait appel de la décision de l’autorité allemande de la concurrence auprès du tribunal régional supérieur de Düsseldorf. Cette dernière juridiction a sursis à statuer et a posé sept questions préjudicielles à la Cour de justice, qui portent en substance sur la possibilité d’intégrer les préoccupations relatives à la protection des données à caractère personnel dans l’analyse du droit de la concurrence – aspects auxquels le présent commentaire entend se limiter – et sur l’interprétation du RGPD.

Une autorité nationale de concurrence peut constater une violation du RGPD dans le seul but de déterminer l’existence d’un abus de position dominante

À la question de savoir si une autorité nationale de concurrence peut constater une violation du RGPD, la Cour de justice répond par l’affirmative, en s’appuyant sur plusieurs justifications.

Tout d’abord, la Cour observe que ni le RGPD ni aucun autre instrument du droit de l’Union européenne ne prévoit de règles de coopération entre les autorités nationales de concurrence et les autorités nationales de protection des données ou l’autorité chef de file.

Ensuite, ce même règlement n’interdit pas expressément aux autorités nationales de concurrence de constater qu’un traitement de données ne lui est pas conforme, afin d’établir un abus de position dominante.

Enfin, les autorités protection des données et les autorités de concurrence se distinguent par leurs fonctions, leurs objectifs et leurs missions : les premières veillent à l’application, au respect ainsi qu’à la cohérence du RGPD et, ce faisant, à la protection des personnes...