Nouvel arrêt Schrems de la CJCE : interprétation exceptionnelle des données de l'article 9

L'activiste de la protection des données Maximilian Schrems a porté plainte contre Facebook pour le traitement de son orientation sexuelle.
Catégories :
,

Les services sociaux peuvent-ils Réseaux Facebook utilise toutes les données personnelles pour cibler des Publicité de la directive ? C'est entre autres cette question que la Cour de justice des Communautés européennes (CJCE) a dû clarifier dans le cadre d'une procédure de décision préjudicielle (C-446/21). Dans l'affaire au principal, le militant autrichien pour la protection des données Maximilian Schrems a porté plainte contre Meta.

Maximilien Schrems poursuit Meta en justice

Meta Platforms Ireland exploite le réseau social Facebook, qui était gratuit jusqu'au 5 novembre 2023. Depuis le 6 novembre 2023, les utilisateurs doivent soit recevoir des messages personnalisés, soit payer des frais d'inscription. Publicité accepter ou souscrire un abonnement payant. En outre, la plateforme collecte également des données sur les utilisateurs en dehors du réseau, notamment par le biais Cookies, les plugins sociaux et les pixels.

Maximilien Schrems reproche à Meta Platforms Ireland d'utiliser ses données à caractère personnel, notamment des données sensibles au sens de l'article 9 de la directive sur la protection des données. RGPDsans son consentement explicite. Consentement d'avoir traité des données personnelles. Ces données sensibles comprennent des informations sur ses opinions politiques et son orientation sexuelle, obtenues en analysant ses activités sur et en dehors de Facebook. 

Il ressort de la décision de renvoi que des plug-ins se trouvent sur des sites de partis politiques et sur des sites destinés à un public homosexuel, qui ont été créés par M. Schrems ont été visités. Sur la base de ces "plugins", Facebook a pu analyser le comportement de Schrems suivre sur Internet ce qui a déclenché la collecte de certaines données personnelles sensibles. Schrems a reçu par la suite régulièrement PublicitéIl a également reçu des invitations pour des manifestations visant un public homosexuel. Il a également reçu des invitations à des événements de ce type, alors qu'il ne s'y était pas intéressé auparavant et qu'il ne connaissait pas le lieu de ces événements. 

Meta Platforms Ireland a fait valoir que les Traitement des données à caractère personnel était fondée sur le contrat d'utilisation entre l'entreprise et les utilisateurs et était donc conforme à l'article 6, paragraphe 1, sous b), de la loi sur la protection des données. RGPD est nécessaire à l'exécution de ce contrat.

Traitement de l'orientation sexuelle par voie de publication ?

La CJCE a dû clarifier l'interprétation de plusieurs articles du RGPD qui avaient fait l'objet d'un renvoi préjudiciel par l'Oberste Gerichtshof (Autriche). La procédure portait notamment sur l'article 5, paragraphe 1, points b) et c) (Affectation des fonds et Minimisation des données), l'article 6, paragraphe 1, points a) et b) (légitimité des Traitement) et l'article 9, paragraphe 1 et paragraphe 2, point e) (catégories particulières de données à caractère personnel).

Selon les constatations de la Cour suprême, le Personnes concernées Maximilien Schrems publiquement son orientation sexuelle. Il a notamment fait référence à son orientation sexuelle dans le cadre d'une table ronde à laquelle il a participé à Vienne le 12 février 2019, à l'invitation de la Représentation de la Commission européenne en Autriche, pour Traitement données personnelles par Facebook, y compris les Traitement de ses propres données, de critiquer. Maximilien Schrems a toutefois déclaré à cette occasion qu'il n'avait jamais mentionné cet aspect de sa vie privée sur son profil Facebook.

La Cour suprême a donc posé la question fondamentale de savoir si le Personnes concernées les plus sensibles données à caractère personnel manifestement rendues publiques, et donc leur Traitement conformément à l'article 9, paragraphe 2, point e) RGPD de l'entreprise.

L'Oberste Gerichtshof (Autriche) pose à la CJCE des questions préjudicielles d'interprétation

L'Oberste Gerichtshof (Autriche) a donc décidé de suspendre la procédure et de poser les questions préjudicielles suivantes à la CJCE :

  1. Les dispositions de l'article 6, paragraphe 1, sous a) et b), sont-elles applicables ? RGPD doit être interprété en ce sens que la légalité de dispositions contractuelles figurant dans des conditions générales d'utilisation relatives à des contrats de plateforme, telles que celle en cause au principal (notamment des dispositions contractuelles telles que : "Au lieu de payer [pour ce service] ... vous acceptez, en utilisant les produits Facebook auxquels s'appliquent les présentes conditions d'utilisation, que nous puissions vous montrer des publicités ... nous utilisons vos données à caractère personnel ... pour vous montrer des publicités qui sont plus pertinentes pour vous"), que les Traitement de données à caractère personnel pour l'agrégation et l'analyse de données à des fins de marketing personnalisé. Publicité conformément aux exigences de l'article 6, paragraphe 1, point a), en liaison avec l'article 7, paragraphe 1, point b). RGPD qui ne peuvent pas être appréciées en invoquant l'article 6, paragraphe 1, sous b), de la directive. RGPD peuvent être remplacés ?
  2. L'article 5, paragraphe 1, sous b), est-il c RGPD (Minimisation des données) doit-il être interprété en ce sens que toutes les données à caractère personnel détenues par une plateforme telle que celle en cause au principal (notamment par la personne concernée ou par des "tiers") doivent être considérées comme des données à caractère personnel ? Troisième sur et en dehors de la plateforme), sans restriction de temps ou de type de données, à des fins de ciblage Publicité peuvent être agrégées, analysées et traitées ?
  3. L'article 9, paragraphe 1, est-il RGPD doit être interprété en ce sens qu'il vise Traitement de données qui permettent un filtrage ciblé de catégories particulières de données à caractère personnel, telles que les opinions politiques ou l'orientation sexuelle (par exemple, pour les données relatives à la santé). Publicité) est autorisé, même si le Responsable ne fait pas la différence entre ces données ?
  4. Les dispositions combinées de l'article 5, paragraphe 1, sous b), et de l'article 9, paragraphe 2, sous e), sont-elles applicables ? RGPD doit être interprété en ce sens qu'une déclaration sur sa propre orientation sexuelle aux fins d'un débat public constitue une violation de la loi sur la protection des données. Traitement d'autres données relatives à l'orientation sexuelle à des fins d'agrégation et d'analyse de données à des fins de personnalisation. Publicité autorisé ?


Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - de quel pouvoir discrétionnaire dispose une autorité de protection des données ?

Décision de la CJCE

  1. Minimisation des données et Affectation des fonds (art. 5, al. 1, let. c RGPD):
    Dans son arrêt, la CJCE a précisé que le principe de la Minimisation des données s'oppose au stockage et à l'analyse illimités de toutes les données à caractère personnel d'une plateforme, tant à l'intérieur qu'à l'extérieur de celle-ci. Meta Platforms Ireland n'est pas autorisée à utiliser toutes les données disponibles sans une Affectation des fonds et une limitation dans le temps à des fins publicitaires. Le principe de proportionnalité joue ici un rôle crucial et toute Traitement doit être limitée au strict nécessaire.
  1. Traitement de données sensibles (art. 9 RGPD):
    Art. 9 RGPD interdit en principe la Traitement catégories particulières de données à caractère personnel, à moins que la concernés personne a explicitement demandé son Consentement ou si les données ont été manifestement rendues publiques par la personne concernée. Dans son arrêt, la CJUE déclare : "L'article 9, paragraphe 2, point e), de la loi sur la protection des données prévoit que les données à caractère personnel sont traitées de manière confidentielle. RGPD doit être interprété en ce sens que la circonstance qu'une personne s'est exprimée sur son orientation sexuelle lors d'une table ronde accessible au public ne permet pas à l'exploitant d'une plateforme de réseau social en ligne de traiter d'autres données relatives à l'orientation sexuelle de cette personne qu'il a éventuellement obtenues, en dehors de cette plateforme, à partir d'applications et de sites de partenaires tiers, en vue de les agréger et de les analyser pour adresser à cette personne des messages personnalisés. Publicité à offrir".

La décision souligne les exigences strictes en matière de légalité des Traitement des données à caractère personnel et l'importance cruciale de la Consentement. Cette affaire a des répercussions importantes sur les modèles commerciaux des plateformes en ligne axées sur les données et sur leur obligation de protéger pleinement les droits des utilisateurs en matière de protection des données.

Source : Arrêt de la Cour de justice européenne du 4 octobre 2024 (C-446/21)

Prendre contact
Les tags :
,
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages