Les réseaux sociaux tels que Facebook peuvent-ils traiter toutes les données à caractère personnel à des fins de publicité ciblée ? C'est entre autres cette question que la Cour de justice de l'Union européenne (CJUE) a dû trancher dans le cadre d'une procédure de décision préjudicielle (C-446/21). Dans l'affaire initiale, l'activiste autrichien de la protection des données Maximilian Schrems avait porté plainte contre Meta.
Maximilian Schrems poursuit Meta en justice
Meta Platforms Ireland exploite le réseau social Facebook, qui était gratuit jusqu'au 5 novembre 2023. Depuis le 6 novembre 2023, les utilisateurs doivent soit accepter des publicités personnalisées, soit souscrire à un abonnement payant. En outre, la plateforme collecte également des données sur les utilisateurs en dehors du réseau, notamment par le biais de cookies, de plugins sociaux et de pixels.
Maximilian Schrems reproche à Meta Platforms Ireland d'avoir traité ses données personnelles, notamment des données sensibles selon l'article 9 du RGPD, sans son consentement explicite. Ces données sensibles comprennent des informations sur ses opinions politiques et son orientation sexuelle, obtenues en analysant ses activités sur et en dehors de Facebook.
Il ressort de la décision de renvoi que des "plug-ins" se trouvent sur des sites web de partis politiques et sur des sites web destinés à un public homosexuel, qui ont été visités par M. Schrems. Grâce à ces "plugins", Facebook a pu suivre le comportement de M. Schrems sur Internet, ce qui a déclenché la collecte de certaines données à caractère personnel sensibles. Par la suite, M. Schrems a régulièrement reçu des publicités ciblant un public homosexuel. En outre, il a reçu des invitations à des événements correspondants, alors qu'il ne s'était pas intéressé à ces événements auparavant et ne connaissait pas le lieu de la manifestation.
Meta Platforms Ireland a fait valoir que le traitement des données à caractère personnel était fondé sur le contrat d'utilisation conclu entre la société et les utilisateurs et qu'il était donc nécessaire à l'exécution de ce contrat, conformément à l'article 6, paragraphe 1, point b), du RGPD.
Traitement de l'orientation sexuelle autorisé par la publicité ?
La CJUE a dû clarifier l'interprétation de plusieurs articles du RGPD qui avaient fait l'objet d'un renvoi préjudiciel par l'Oberste Gerichtshof (Autriche). La procédure portait notamment sur l'article 5, paragraphe 1, points b) et c) (limitation des finalités et minimisation des données), l'article 6, paragraphe 1, points a) et b) (licéité du traitement) et l'article 9, paragraphe 1 et paragraphe 2, point e) (catégories particulières de données à caractère personnel).
Selon les constatations de la Cour suprême, l'intéressé, Maximilian Schrems, communique publiquement son orientation sexuelle. En particulier, il a fait référence à son orientation sexuelle dans le cadre d'une table ronde à laquelle il a participé à Vienne le 12 février 2019 à l'invitation de la représentation de la Commission européenne en Autriche, afin de critiquer le traitement des données à caractère personnel par Facebook, y compris le traitement de ses propres données. Maximilian Schrems a toutefois déclaré à cette occasion qu'il n'avait jamais indiqué cet aspect de sa vie privée sur son profil Facebook.
La Cour suprême a donc posé la question fondamentale de savoir si la personne concernée avait manifestement rendu publiques les données à caractère personnel sensibles et avait donc autorisé leur traitement conformément à l'article 9, paragraphe 2, point e), du RGPD.
L'Oberste Gerichtshof (Autriche) pose à la CJCE des questions préjudicielles d'interprétation
L'Oberste Gerichtshof (Autriche) a donc décidé de suspendre la procédure et de poser les questions préjudicielles suivantes à la CJCE :
- Les dispositions de l'article 6, paragraphe 1, sous a) et b), du RGPD doivent-elles être interprétées en ce sens que la légalité de dispositions contractuelles figurant dans des conditions générales d'utilisation relatives à des contrats de plateforme, telles que celle en cause au principal (notamment des dispositions contractuelles telles que : "Au lieu de payer [pour ce service] ... vous acceptez, en utilisant les produits Facebook auxquels s'appliquent les présentes conditions d'utilisation, que nous puissions vous montrer des publicités ... nous utilisons vos données à caractère personnel ... pour vous montrer des publicités qui sont plus pertinentes pour vous."), qui impliquent le traitement de données à caractère personnel pour l'agrégation et l'analyse de données à des fins de publicité personnalisée, doivent-elles être appréciées au regard des exigences de l'article 6, paragraphe 1, sous a), en combinaison avec l'article 7 du RGPD, qui ne peuvent être remplacées par l'invocation de l'article 6, paragraphe 1, sous b), du RGPD ?
- L'article 5, paragraphe 1, sous b). c) du RGPD (minimisation des données) doit-il être interprété en ce sens que toutes les données à caractère personnel dont dispose une plateforme telle que celle en cause au principal (notamment par la personne concernée ou par des tiers sur et en dehors de la plateforme) peuvent être agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation en fonction du temps ou de la nature des données ?
- L'article 9, paragraphe 1, du RGPD doit-il être interprété en ce sens qu'il s'applique au traitement de données qui permet un filtrage ciblé de catégories particulières de données à caractère personnel telles que les opinions politiques ou l'orientation sexuelle (par exemple à des fins publicitaires), même si le responsable du traitement ne fait pas de distinction entre ces données ?
- Les dispositions combinées de l'article 5, paragraphe 1, sous b), et de l'article 9, paragraphe 2, sous e), du RGPD doivent-elles être interprétées en ce sens que le fait d'exprimer son orientation sexuelle aux fins d'un débat public permet le traitement d'autres données relatives à l'orientation sexuelle à des fins d'agrégation et d'analyse de données à des fins de publicité personnalisée ?
Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - de quel pouvoir discrétionnaire dispose une autorité de protection des données ?
Décision de la CJCE
- Minimisation des données et la limitation des finalités (article 5, paragraphe 1, point c) du RGPD) :
Dans son arrêt, la CJUE a précisé que le principe de minimisation des données s'oppose au stockage et à l'analyse illimités de toutes les données à caractère personnel d'une plateforme, tant à l'intérieur qu'à l'extérieur de celle-ci. Meta Platforms Ireland n'a pas le droit d'agréger et de traiter toutes les données disponibles à des fins publicitaires sans affectation claire et sans limite de temps. Le principe de proportionnalité joue ici un rôle crucial et tout traitement doit être limité au strict nécessaire.
- Traitement de données sensibles (art. 9 RGPD) :
L'article 9 du RGPD interdit en principe le traitement de catégories particulières de données à caractère personnel, à moins que la personne concernée n'ait expressément donné son consentement ou que les données aient été manifestement rendues publiques par la personne concernée. Dans son arrêt, la CJUE déclare : "L'article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que le fait qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde accessible au public ne permet pas à l'exploitant d'une plateforme de réseau social en ligne de traiter d'autres données relatives à l'orientation sexuelle de cette personne qu'il a éventuellement obtenues en dehors de cette plateforme à partir d'applications et de sites web de partenaires tiers en vue de les agréger et de les analyser afin d'offrir à cette personne des publicités personnalisées".
Cette décision souligne les exigences strictes en matière de licéité du traitement des données à caractère personnel et l'importance cruciale du consentement. Cette affaire a des répercussions importantes sur les modèles commerciaux des plateformes en ligne axées sur les données et sur leur obligation de protéger pleinement les droits des utilisateurs en matière de protection des données.
Source : Arrêt de la Cour de justice européenne du 4 octobre 2024 (C-446/21)