Avec l’essor du « big data[1] » et des GAFA, les donnée personnelles et la vie privée des citoyens sont constamment mises à l’épreuve. Ces géants du numérique ont basé leurs « business model » sur la collecte et le traitement des données personnelles de leurs utilisateurs. Ainsi, la quantité de donnée récoltée est devenue un facteur clé de la compétitivité sur le marché du numérique. Celui qui détient le plus de données emporte le marché – the winner take all -.

Certaines entreprises du secteur tirent avantage de cette position pour imposer aux utilisateurs des collectes de données sans leur consentement explicite.

C’est sur ce constat que la Cour de justice de l’union européenne s’est prononcée le 4 juillet dernier. Elle a affirmé que les autorités de la concurrence peuvent constater et examiner les violations au RGPD dans le cadre de leurs enquêtes sur les abus de position dominante. L’institution luxembourgeoise justifie cette décision en précisant que l’accès et l’utilisation des données personnelles est un facteur clé de la concurrence entre entreprise. Ainsi, une société ne peut, en raison de sa position dominante, astreindre les consommateurs au traitement de leurs données.

Une décision qui a ravi Max Shrems, militant et président de l’association NOYB. Il a célébré le fait qu’un GAFA ne peut plus utiliser sa position dominante pour forcer les utilisateurs à accepter ce qu’ils ne veulent pas.

Une extension du contrôle de l’autorité de la concurrence 

En 2019, l’autorité de la concurrence allemande poursuivait meta plateforms Irland pour usage illicite de données personnelles. En effet, Meta prévoyait dans ses conditions générales l’utilisation des données et cookies permettant la collecte de données provenant de services du groupe (WhatsApp, Instagram ), ainsi que de site web et d’applications tierces. Ces données étaient utilisées à des fins publicitaires et notamment pour réaliser du profilage.

L’autorité de la concurrence estimait que le consentement des utilisateurs pour ce traitement était illégal dès lors qu’il est nécessaire à l’utilisation du réseau social. C’est pourquoi l’autorité de la concurrence a interdit à Meta de traiter les données collectées à partir de sources tierces sans le consentement valable des utilisateurs. Selon l’autorité, ce comportement est constitutif d’une exploitation abusive de la position dominante du groupe sur le marché des réseaux sociaux en Allemagne.

Meta a fait appel de cette décision, estimant que l’autorité n’avait pas compétence pour se prononcer sur la violation du RGPD. Le groupe a alors saisit la Cour de Justice de l’Union Européenne sur ce point.

Par une décision en date du 4 juillet 2023, la Cour a interprété l’article 51 du RGPD pour reconnaitre une compétence aux autorités de la concurrence pour se prononcer sur les violations du RGPD par les entreprises.

En effet, selon l’institution, exclure le RGPD du cadre juridique des autorités de la concurrence serait contraire à la réalité économique et nuirait ainsi à la réalité du droit de la concurrence. Par conséquent, l’autorité de la concurrence est compétente pour constater et examiner les violations au RGPD dans le cadre de leurs enquêtes sur les abus de position dominante.

Cet examen se fait sous certaines conditions :

  • Dans le cadre d’un examen d’un abus de position dominante ;
  • En coopération avec les autorités de protection des données ;
  • En prenant en compte les décisions prises par les autorités de protection des données.

Une décision logique

Cette position ne surprend pas. Elle s’inscrit dans la politique de protection des données personnelles de l’Union Européenne qui prend en compte l’enjeu économique des données personnelles.

Par ailleurs, dès le 10 mai 2016, l’autorité de la concurrence française et allemande ont publié un rapport mettant en avant le phénomène du big data sur le marché numérique et les conséquences que cela peut engendrer.

Les GAFA ont un volume important de données et une grande capacité de traitement. Cette position limite l’intensité de la concurrence et crée une barrière aux nouveaux entrants. En effet, les autorités retenaient que tout concurrent qui n’est pas en mesure de disposer d’un volume important de données est défavorisée et se retrouve dans une position inférieure pour faire fructifier son business.

C’est pourquoi elles concluaient que l’atteinte portée à un ensemble de règles ou de normes édictées par le règlement européen de protection des données (RGPD) pourraient être utilisé pour apprécier la restriction de la concurrence lors d’un contrôle.

Une solution qui est finalement reprise par la Cour de Justice de l’Union Européenne.

Les conséquences de cette décision pour les entreprises

Cette décision renforce la nécessité pour les entreprises de respecter les règles de la protection des données et de prendre davantage en compte les préoccupations de la vie privée dans les pratiques commerciales.

L’autorité de la concurrence pourra désormais sanctionner une entreprise dès lors que la violation du RGPD constitue un acte d’abus de position dominante.

 Que faut-il retenir ?

  • Les données personnelles ont une place de plus en plus importante dans l’économie numérique ;
  • Le rôle de l’autorité de la concurrence est renforcé dans la protection des droits des consommateurs ;
  • La violation du RGPD pourra être pris en compte pour apprécier l’abus de position dominante et pourra être sanctionnée ;
  • Le consentement au traitement des données par les utilisateurs ne doit pas être une condition de l’utilisation du service ;

 

Claudia WEBER, avocat associé fondateur d’ITLAW Avocats et Anaïs GODINHO, élève-avocate | ITLAW Avocats

 

Besoin d’aide pour y voir plus claire dans l’usage que vous faites des données personnelles et vérifier si vous êtes conforme ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 30 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexesde contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

 

[1] Données variées collectées en volumes croissants et à une vitesses élevée.

Nous contacter