Dans l'arrêt qu'elle a rendu aujourd'hui dans l'affaire C-446/21 (Schrems contre Meta), la Cour de justice de l'Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s'est prononcée sur deux questions : D'une part, la limitation massive de l'utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l'utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication.
- Communiqué de presse de la CJUE
- Arrêt complet
- Résumé de l'arrêt sur GDPRhub
Katharina Raabe-Stuppnig, avocate représentant M. Schrems :"Nous sommes très satisfaits de l'arrêt, même si ce résultat était très attendu."
Première question : L'utilisation des données à des fins publicitaires doit être "minimisée". Jusqu'à présent, Meta utilise toutes les données personnelles qu'elle a collectées à des fins publicitaires. Par exemple, les données des utilisateurs de Facebook peuvent remonter jusqu'en 2004 et inclure des données saisies par l'utilisateur, par d'autres utilisateurs ou des données collectées par le biais d'un suivi en ligne ou d'un suivi sur des applications mobiles. Pour empêcher de telles pratiques, le GDPR a établi le principe de "minimisation des données" à l'article 5(1)(c) GDPR, exigeant de limiter le traitement aux données strictement nécessaires. Jusqu'à présent, Meta et de nombreux autres acteurs du secteur de la publicité en ligne ont tout simplement ignoré cette règle et n'ont pas prévu de périodes de suppression ou de limitation en fonction du type de données à caractère personnel. L'application du "principe de minimisation des données" restreint radicalement l'utilisation des données à caractère personnel à des fins publicitaires. Le principe de minimisation des données s'applique quelle que soit la base juridique utilisée pour le traitement, de sorte que même un utilisateur qui consent à une publicité personnalisée ne peut voir ses données personnelles utilisées indéfiniment. Conformément à la pratique habituelle de la CJUE, la Cour a laissé aux juridictions nationales le soin de déterminer les modalités d'application du principe de minimisation des données.
Katharina Raabe-Stuppnig : "Cela fait maintenant 20 ans que Meta constitue un énorme réservoir de données sur les utilisateurs, qui ne cesse de s'accroître. Or, la législation européenne exige la "minimisation des données". À la suite de cette décision, seule une petite partie des données de Meta pourra être utilisée à des fins publicitaires, même si les utilisateurs y consentent. Cette décision s'applique également à toute autre société de publicité en ligne qui n'a pas de pratiques rigoureuses en matière de suppression des données
Deuxième question : La critique publique n'autorise pas le traitement. En vertu de l'article 9, paragraphe 2, point e), du GDPR, les informations "manifestement rendues publiques" peuvent être traitées par une entreprise, car le législateur suppose que la personne concernée a accepté l'utilisation des données. M. Schrems a fait valoir que ses commentaires publics ont été faits des années après le traitement d'autres informations. Ses commentaires ultérieurs ne peuvent pas être considérés comme un accord sur le traitement d'autres informations il y a des années et ne peuvent pas avoir "voyagé" dans le temps. D'autres parties à la procédure ont également demandé si la simple mention d'un fait au cours d'une discussion publique équivaudrait à rendre cette information "manifestement publique".
Katharina Raabe-Stuppnig : "Cela aurait un effet très négatif sur la liberté d'expression si l'on perdait son droit à la protection des données dès lors que l'on critique en public un traitement illégal de données à caractère personnel. Nous nous réjouissons que la CJUE ait rejeté cette idée."
Contexte :
Historique de l'affaire. L'affaire concerne une procédure civile entre Max Schrems, en tant que personne physique, et Meta Ireland Platforms Limited (en tant qu'opérateur de "Facebook") devant les tribunaux autrichiens. L'affaire a été introduite pour la première fois en 2014 et entendue pour la première fois en Autriche en 2020. Elle concerne un grand nombre de violations du GDPR, y compris l'absence de base juridique pour la publicité et d'autres éléments similaires. La Cour suprême autrichienne a posé quatre questions à la CJUE en 2021. Cependant, comme une autre affaire (C-252/21 Bundeskartellamt) couvrait en partie des questions similaires, la CJUE a "mis en pause" l'affaire entre M. Schrems et Meta jusqu'en 2024. Les questions initiales 1 et 3 ont été (indirectement) "gagnées" parce que la CJUE s'est rangée au point de vue de M. Schrems dans l'affaire C-252/21 Bundeskartellamt. Le reste de l'affaire a ensuite été entendu à Luxembourg le 8 février 2024, mais limité à deux questions restantes (questions initiales 2 et 4) qui n'avaient pas encore été tranchées dans l'affaire C-252/21 Bundeskartellamt. Les questions restantes étaient les suivantes
- Question originale 2 : "L'article 5, paragraphe 1, sous c), du RGPD (minimisation des données) doit-il être interprété en ce sens que toutes les données à caractère personnel détenues par une plateforme telle que celle en cause au principal (notamment par la personne concernée ou par des tiers sur la plateforme et en dehors de celle-ci) peuvent être agrégées, analysées et traitées à des fins de publicité ciblée sans restriction de temps ou de type de données ?"
- Question originale 4 : "L'article 5, paragraphe 1, point b), du GDPR, lu en combinaison avec l'article 9, paragraphe 2, point e), doit-il être interprété en ce sens qu'une déclaration faite par une personne sur sa propre orientation sexuelle aux fins d'un débat d'experts autorise le traitement d'autres données relatives à l'orientation sexuelle en vue d'agréger et d'analyser les données à des fins de publicité personnalisée ?"
Minimisation des données. La question initiale 2 concerne l'approche de Meta qui consiste à affirmer que toutes les données à caractère personnel vont essentiellement dans un grand "pool de données" et peuvent être utilisées indéfiniment à des fins de publicité personnelle - sans aucune limitation - car cela semble être une violation évidente du principe de minimisation des données. Si, dans certains cas, il existe une limite claire pour l'effacement (par exemple, lorsqu'une obligation légale de conservation des données prend fin), la question est plus complexe lorsqu'il s'agit de publicité. Les entreprises doivent élaborer des protocoles de gestion des données afin de supprimer progressivement les données inutiles ou de cesser de les utiliser
Utilisation ultérieure de données sensibles. La question originale 4 concerne l'argument du Tribunal de première instance (et en partie de Meta) selon lequel M. Schrems a mentionné son orientation sexuelle lors d'un événement à Vienne et peut donc avoir (implicitement) consenti au traitement de toute donnée à caractère personnel relative à l'orientation sexuelle (et en fait à la vie sexuelle, qui est protégée séparément par l'article 9 du GDPR) pour une publicité qui a eu lieu des années avant la déclaration publique. Il y a accord sur le fait que ces déclarations ont été rendues publiques. Cependant, M. Schrems nie que Meta ait pu traiter d'autres données - hautement personnelles - au cours des années précédentes. M. Schrems souligne que le principe de "limitation de la finalité" s'applique en parallèle et que les informations partagées dans le but de critiquer un traitement illégal par Meta ne peuvent pas (rétroactivement) permettre l'utilisation de données personnelles pour une finalité complètement différente, telle que la publicité.