Protection des données : les infractions aux règles pourraient être prises en compte par les autorités de la concurrence dans l'UE

Un avis non contraignant de l’avocat général, un conseiller influent de la plus haute instance juridique de l’UE, pourrait permettre aux autorités de la concurrence européennes de prendre en compte le respect des règles de protection des données lors de futures enquêtes.

Dans l’avis rendu mardi (20 septembre) auprès de la Cour de justice de l’Union européenne, l’avocat général Athanasios Rantos a indiqué que les autorités de la concurrence pouvaient tenir compte du Règlement général de la protection des données (RGPD) dans le cadre de leurs enquêtes, même si cela n’est pas dans leurs prérogatives premières.

Alberta Laschena, associée du cabinet d’avocats Kreab, a déclaré que l’avis « donne amplement la possibilité à la Commission et aux autorités nationales compétentes d’enquêter sur des nouveaux cas de violations des règles de la concurrence, comme l’utilisation des informations personnelles des utilisateurs ou des clients pour renforcer une position dominante sur le marché ».

« Cette possibilité offerte aux autorités chargées de l’application des règles de concurrence a fait l’objet de nombreux débats jusqu’à présent ».

À la genèse de l’affaire, une enquête de l’autorité fédérale allemande de la concurrence (Bundeskartellamt), qui a interdit à la plateforme Facebook, propriété de Meta, de traiter les données personnelles conformément à ses conditions d’utilisation, celles-ci ne respectant pas le RGPD.

Pour le Bundeskartellamt, l’une des autorités de concurrence les plus influentes d’Europe, la violation par Facebook du règlement européen constituait un abus de position dominante dont jouissait le réseau social en Allemagne.

Meta a fait appel de cette décision devant le tribunal régional supérieur de Düsseldorf, en faisant valoir que les autorités nationales ne peuvent pas faire appliquer le RGPD, qui relève en principe de la compétence de l’autorité de protection des données du pays dans lequel l’entreprise est légalement établie.

Dans le cas de Meta, et pour la grande majorité des grandes entreprises technologiques, il s’agit de fait de l’Irlande, où sont implantés leurs sièges sociaux européens. Toutefois, le tribunal régional a renvoyé l’affaire à la Cour de justice de l’UE pour déterminer si les autorités de la concurrence sont habilitées à évaluer le respect des règles de protection des données.

« Nous attendons le jugement définitif pour déterminer les prochaines étapes », a déclaré un porte-parole de Meta à EURACTIV.

L’interprétation du conseiller juridique ouvre la voie à un examen minutieux par les autorités européennes compétentes des pratiques d’entreprises en position de monopole en matière de protection des données personnelles.

Si cet argument était confirmé dans le verdict définitif, comme c’est le cas dans l’écrasante majorité des cas, la jurisprudence ouvrirait la voie à une coopération plus stricte en matière d’application des règles entre les domaines de la concurrence et de la protection des données, que les experts juridiques considèrent actuellement comme un angle mort dans l’économie numérique.

« Il est important d’établir le principe selon lequel les violations de la protection des données sont aussi un problème de pouvoir de marché : ce sont des positions de monopole, ou quasi-monopole, qui ouvrent la voie à de telles violations, tout comme le mépris de la protection des données a ancré la position dominante de certaines entreprises », a déclaré Cristina Caffarra, responsable de Keystone Europe, un fabricant de produits électroniques.

Parallèlement, le conseiller juridique a fixé une limite au degré d’utilisation des violations liées au RGPD par les autorités de la concurrence. Les enquêtes sur les pratiques anticoncurrentielles ne peuvent notamment considérer la conformité à la protection des données que comme une question secondaire, et ne doivent pas outrepasser les compétences des autorités de protection des données.

« Bien sûr, ils doivent consulter les régulateurs de la protection des données, personne n’a jamais pensé qu’ils pouvaient se lancer dans une mission en solitaire. Mais nous évoluons vers une approche moins cloisonnée, ce qui est un progrès », a ajouté Mme Caffarra de Keystone.

Par ailleurs, la domination d’une plateforme comme Facebook sur le marché des réseaux sociaux n’affecte pas la validité du consentement fourni par les utilisateurs concernant le traitement de leurs données personnelles. La plateforme pourrait toutefois être tenue de fournir la preuve que son pouvoir de marché n’a pas influencé la libre expression du consentement.

L’avocat général a également examiné le bien-fondé des pratiques de Facebook en matière de traitement des données. Selon lui, bien que la plateforme ait été en partie justifiée de ne pas demander le consentement pour le traitement des données sur les éléments nécessaires à la fourniture de ses services, ce n’était pas le cas pour les publicités personnalisées, la continuité entre les services de Meta, la sécurité du réseau et l’amélioration des produits.

Les experts juridiques ont suggéré que ces pratiques de traitement des données pourraient avoir enfreint l’interdiction de traiter des données sensibles, telles que l’origine ethnique et l’orientation sexuelle, les utilisateurs n’étant pas pleinement informés que de telles informations sensibles étaient divulguées.

Mme Laschena du cabinet Kreab a souligné qu’il sera intéressant de voir « comment l’utilisation des données personnelles par les plateformes sera évaluée par la Commission et les autorités de la concurrence lorsque la loi sur les marchés numériques entrera en vigueur. »

La loi sur les marchés numériques (Digital Markets Act, DMA), a-t-elle expliqué, prévoit « une plus grande interopérabilité entre les services offerts par les différents contrôleurs d’accès et donc, l’utilisation de données sensibles des utilisateurs pour assurer cette interopérabilité. »