CJUE, 4 octobre 2024, C-446/21
Dans un arrêt du 4 octobre 2024, la Cour de Justice de l’Union Européenne (CJUE) a statué sur plusieurs questions préjudicielles dans l’affaire opposant de longue date Maximilien Schrems à Meta Platforms Ireland concernant l’utilisation de ses données personnelles à des fins de publicité ciblée par la plateforme Facebook. Cette affaire avait déjà donné lieu à un premier arrêt de la CJUE du 25 janvier 2018 rendu sur renvoi préjudiciel, à la suite duquel Monsieur Schrems avait été débouté de l’ensemble de ses demandes par les juridictions du fond. C’est à l’occasion d’un recours en révision de la dernière de ces décisions, initié par Monsieur Schrems devant la Cour suprême autrichienne, que la CJUE est à nouveau saisie de nouvelles questions et statue dans un sens favorable au demandeur.
Cette plateforme utilise un modèle économique fondé sur le financement par la publicité ciblée en collectant des données sur les utilisateurs non seulement via son réseau social, mais également via des sites internet tiers grâce à des outils tels que les « cookies » et les « social plugins » (comme le bouton « J’aime » sur Facebook).
Maximilien Schrems a contesté la collecte de ses données personnelles à cette fin, notamment celles relatives à son orientation sexuelle et à ses convictions politiques, considérant ce traitement effectué par Facebook sur le fondement du contrat en vigueur avec les utilisateurs à l’époque des faits, comme contraire aux exigences posées par le Règlement Général sur la Protection des Données (RGPD).
Sur la base des questions préjudicielles renvoyées par la Cour Suprême autrichienne, la CJUE s’est prononcée cette fois au regard du principe de minimisation des données et de la protection des données sensibles.
- Sur le principe de minimisation des données
Conformément à l’article 5 du RGPD, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Au regard de ce principe, la CJUE relève que la conservation et le traitement indifférenciés des données personnelles collectées par Meta Platforms Ireland à des fins publicitaires, quel que soit le degré de sensibilité de ces données, apparaît particulièrement étendu en ce qu’il porte sur des données « potentiellement illimitées » relatives à la vie privée des utilisateurs. Tout en réservant la décision finale de la juridiction autrichienne saisie de l’affaire, la CJUE considère qu’un tel traitement se caractérise par « une ingérence grave dans les droits fondamentaux des personnes concernées » et n’apparaît pas « raisonnablement justifié au regard de l’objectif consistant à permettre la diffusion de publicités ciblées ». La CJUE conclut qu’une telle utilisation indifférenciée des données des utilisateurs constitue une ingérence disproportionnée dans les droits garantis aux utilisateurs de la plateforme numérique.
La CJUE juge ainsi que l’exigence de minimisation des données s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable de traitement auprès de la personne concernée, ou de tiers, soient agrégées, analysées et traitées à des fins de publicité ciblée, « sans limitation dans le temps et sans distinction en fonction de la nature de ces données ».
- Sur le traitement des données sensibles
Dans cet arrêt, la Cour s’est également prononcée sur la question du traitement aux mêmes fins des données sensibles concernant l’orientation sexuelle du demandeur, après que ce dernier ait lui-même révélé publiquement son orientation sexuelle lors d’une table ronde accessible au public et diffusée en streaming sur un site tiers.
La question posée était de savoir si l’existence de cette déclaration publique permettait dès lors à la plateforme de justifier le traitement aux fins de publicité ciblée d’autres données relatives à l’orientation sexuelle de cette personne, collectées via des sites et applications de tiers.
A cette occasion, la Cour a rappelé que l’article 9 du RGPD pose le principe de l’interdiction du traitement des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ainsi que les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique. Toutefois, en application du paragraphe 2 du même article, cette interdiction ne s’applique pas aux traitements portant sur des données à caractère personnel qui ont manifestement été rendues publiques par la personne concernée.
La CJUE souligne que cette dérogation doit être interprétée de manière restrictive et qu’il appartiendra à la juridiction nationale de vérifier si la personne concernée a entendu, de manière explicite et par un acte positif clair, rendre accessible au grand public les données à caractère personnel en question (ce que la CJUE n’exclut pas en l’espèce). Mais, en suivant, la CJUE juge que cette circonstance ne saurait justifier en tout état de cause que la plateforme collecte aux fins de publicité ciblée d’autres données relatives à l’orientation sexuelle du demandeur obtenues via des applications et sites de tiers.
En conséquence, il apparait que même si une donnée sensible est rendue publique, cela n’autorise pas pour autant les plateformes à traiter d’autres données de même nature obtenues à partir d’autres sources, sans le consentement explicite de la personne concernée.
Les réponses données par la CJUE sur les deux volets laissent peu de place à la probabilité d’une décision ultérieure favorable à Facebook par la juridiction autrichienne.
