CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. ATHANASIOS RANTOS
présentées le 25 avril 2024 ( 1 )
Affaire C‑446/21
Maximilian Schrems
contre
Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited
[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Réseaux sociaux – Article 5, paragraphe 1, sous b) – Principe de la “limitation des finalités” – Article 5, paragraphe 1, sous e) – Principe de la “minimisation des données” – Article 9, paragraphes 1 et 2, sous e) – Traitement portant sur des catégories particulières de données à caractère personnel – Données à caractère personnel qui sont manifestement rendues publiques par la personne concernée – Publicité personnalisée – Données concernant l’orientation sexuelle »
Introduction
1. |
La présente demande de décision préjudicielle a été adressée par l’Oberster Gerichtshof (Cour suprême, Autriche) dans le cadre d’un litige opposant M. Maximilian Schrems (ci-après le « demandeur »), un utilisateur du réseau social « Facebook », à Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited (ci-après « Meta Platforms Ireland » ou la « défenderesse »), au sujet du traitement prétendument illicite, par cette société, de ses données à caractère personnel. |
2. |
Les questions préjudicielles posées dans le cadre de la présente affaire concernent, d’une part, l’application du principe de la « minimisation des données » prévu à l’article 5, paragraphe 1, sous c), du règlement (UE) 2016/679 ( 2 ) et, d’autre part, l’interprétation de la notion de « données à caractère personnel qui sont manifestement rendues publiques par la personne concernée » visée à l’article 9, paragraphe 2, sous e), de ce règlement, lue en combinaison avec l’article 5, paragraphe 1, sous b), dudit règlement, qui introduit le principe de la « limitation des finalités ». En substance, la juridiction de renvoi demande, d’une part, si le principe de la minimisation des données permet de traiter des données à caractère personnel sans limitation dans le temps ou en fonction de la nature des données et, d’autre part, si les propos d’une personne, relatifs à sa propre orientation sexuelle, tenus au cours d’une table ronde, autorisent le traitement d’autres données portant sur l’orientation sexuelle de cette personne aux fins de la publicité personnalisée. |
Le cadre juridique
3. |
L’article 4 du RGPD, intitulé « Définitions », énonce, à son point 11 : « Aux fins du présent règlement, on entend par : [...]
|
4. |
L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit, à ses paragraphes 1 et 2 : « 1. Les données à caractère personnel doivent être :
[...] 2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). » |
5. |
L’article 6 dudit règlement, intitulé « Licéité du traitement », dispose, à ses paragraphes 1 et 3 : « 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. [...] 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
[...] [...] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. » |
6. |
L’article 7 du même règlement, intitulé « Conditions applicables au consentement », est ainsi libellé : « 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. [...] 3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. 4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. » |
7. |
L’article 9, paragraphes 1 et 2, du RGPD, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », énonce : « 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. 2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
[...]
[...] » |
8. |
L’article 13 de ce règlement, relatif aux « [i]nformations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 : « Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes : [...]
[...] » |
Le litige au principal, les questions préjudicielles et la procédure devant la Cour
9. |
Meta Platforms Ireland, une société de droit irlandais, gère le réseau de communication fermé « Facebook » qui constitue, en substance, un réseau social en ligne de partage de contenus ( 3 ). Son modèle économique vise essentiellement à offrir des services de réseau social gratuits à ses utilisateurs privés et à vendre de la publicité en ligne, y compris de la publicité ciblée sur ses utilisateurs ( 4 ). Cette publicité repose principalement sur l’établissement automatisé de profils relativement détaillés des utilisateurs de ce réseau social ( 5 ). |
10. |
Au cours de l’année 2018, après l’entrée en vigueur du RGPD, Meta Platforms Ireland a présenté de nouvelles conditions d’utilisation de Facebook à ses utilisateurs dans l’Union européenne pour recueillir leur consentement, lequel est, par ailleurs, nécessaire pour pouvoir s’inscrire ou accéder aux comptes et aux services fournis par Facebook ( 6 ). Ces nouvelles conditions d’utilisation permettent également aux utilisateurs d’avoir un aperçu et un contrôle sur les données stockées ( 7 ). |
11. |
Le demandeur est un utilisateur de Facebook qui a accepté les nouvelles conditions d’utilisation soumises par Facebook. Ainsi qu’il ressort de la décision de renvoi, il a publiquement fait état de son homosexualité, mais il n’aurait jamais mentionné son orientation sexuelle et n’aurait publié aucune donnée sensible sur son profil Facebook ( 8 ). Le demandeur n’aurait pas non plus autorisé la défenderesse à utiliser, aux fins de la publicité ciblée, les champs de son profil portant sur sa situation amoureuse, son employeur, son emploi ou sa formation. |
12. |
Cependant, le demandeur aurait reçu une publicité pour une femme politique, et cette publicité lui a été adressée sur la base d’une analyse selon laquelle il ressemblait à d’autres « clients » qui avaient attribué la mention « j’aime » à celle-ci ; il aurait régulièrement reçu des publicités visant des personnes homosexuelles et des invitations à des événements correspondants, alors même qu’il ne s’était auparavant jamais intéressé à ces événements et qu’il ne connaissait même pas les lieux dans lesquels ceux-ci se déroulaient. Ces publicités ou ces invitations ne seraient pas directement fondées sur l’orientation sexuelle du demandeur et de ses« amis » sur le réseau social, mais sur une analyse de leurs centres d’intérêt ( 9 ). Par ailleurs, Meta Platforms Ireland enregistrerait toutes les données concernant le demandeur, y compris celles obtenues par l’intermédiaire de tiers ou de plugins, pour les conserver pendant une durée indéterminée. |
13. |
C’est dans ces conditions que le demandeur a formé, devant le Landesgericht für Zivilsachen Wien (tribunal régional des affaires civiles de Vienne, Autriche), un recours en exécution, en constatation et en cessation visant le traitement prétendument illicite de ses données à caractère personnel par Meta Platforms Ireland ( 10 ). |
14. |
Par la suite, à l’occasion d’une table ronde, organisée par la représentation de la Commission européenne à Vienne (Autriche) ( 11 ) et qui s’est tenue le 12 février 2019, le demandeur a mentionné son orientation sexuelle lors d’une intervention qui visait à dénoncer le traitement prétendument illégal, par Meta Platforms Ireland, de données relatives à cette orientation sexuelle ( 12 ). |
15. |
Son recours ayant été rejeté, en première instance, par jugement du 30 juin 2020 et, en appel, par l’Oberlandesgericht Wien (tribunal régional supérieure de Vienne, Autriche), par un arrêt du 7 décembre 2020 ( 13 ), le demandeur a formé un pourvoi en Revision devant l’Oberster Gerichtshof (Cour suprême), la juridiction de renvoi. |
16. |
Dans ce contexte, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et d’adresser à la Cour quatre questions préjudicielles ( 14 ). Les première et troisième questions préjudicielles ayant été retirées à la suite de l’arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) ( 15 ), la présente affaire a pour objet les deuxième et quatrième questions, qui sont formulées dans les termes suivants :
|
17. |
Des observations écrites ont été déposées par le requérant, Meta Platforms Ireland, les gouvernements autrichien, français, italien et portugais, ainsi que par la Commission. Des observations orales ont été présentées par le requérant, Meta Platforms Ireland, le gouvernement autrichien, ainsi que par la Commission lors de l’audience de plaidoiries qui s’est tenue le 8 février 2024. |
Analyse
Sur la deuxième question préjudicielle
18. |
Par sa deuxième question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous c), du RGPD, consacrant le principe de la minimisation des données, doit être interprété en ce sens que toutes les données personnelles dont dispose un réseau tel que Facebook, notamment par l’intermédiaire de la personne concernée ou de tiers sur et en dehors de cette plateforme, peuvent être agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps ou en fonction de la nature des données. |
19. |
À titre liminaire, il importe de rappeler que tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données énoncés à l’article 5 du RGPD et, d’autre part, répondre à l’une des conditions relatives à la licéité du traitement, énumérées à l’article 6 de ce règlement ( 16 ). |
20. |
S’agissant, plus particulièrement, des principes relatifs au traitement des données à caractère personnel, la Cour a notamment précisé que le principe de la minimisation des données figurant à l’article 5, paragraphe 1, sous c), du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, ce qui traduit, en substance, le principe de proportionnalité ( 17 ). Ainsi, le principe de la minimisation des données vise à minimiser les limitations au droit à la protection des données à caractère personnel occasionnées par le traitement en question. |
21. |
En l’espèce, il me paraît évident que l’absence éventuelle de toute limitation, telle que supposée par la juridiction de renvoi, serait, par définition, contraire à l’application du principe de la minimisation des données. Or, il ne ressort du dossier soumis à la Cour aucun élément qui puisse confirmer ou exclure une telle supposition, qui relève, en tout état de cause, de l’appréciation de la juridiction de renvoi. Je tâcherai néanmoins de fournir à cette juridiction quelques indications utiles quant à l’interprétation de la disposition examinée, qui pourront lui permettre de statuer sur l’affaire pendante devant elle. |
22. |
S’agissant, d’une part, de la limitation du traitement des données à caractère personnel dans le temps, j’estime que, en l’absence d’une disposition spécifique à cet égard dans le RGPD, le juge de l’Union ne saurait fixer, de manière impérative, une période limite pour la conservation de ces données. Par ailleurs, la Cour a jugé que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible notamment avec l’article 5, paragraphe 1, sous c) à e), du RGPD lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ( 18 ). Il appartient donc à la juridiction de renvoi d’apprécier, compte tenu des circonstances de l’espèce et en faisant application du principe de proportionnalité ( 19 ), dans quelle mesure la période de conservation de données à caractère personnel par Meta Platforms Ireland est justifiée par rapport à l’objectif légitime de traitement de ces données aux fins de la publicité personnalisée. |
23. |
S’agissant, d’autre part, de la limitation du traitement des données à caractère personnel en fonction de la nature des données, il appartient également à la juridiction de renvoi de déterminer, dans les circonstances de l’espèce, les données à caractère personnel dont le traitement peut être considéré comme légitime, dans le respect du principe de proportionnalité. |
24. |
D’ailleurs, les références, dans le libellé de l’article 5, paragraphe 1, sous c), du RGPD, à des conditions très génériques, telles que l’« adéquation », la « pertinence » et la « nécessité », démontrent, à mon avis, que le législateur de l’Union a entendu laisser une large marge d’appréciation aux autorités compétentes dans l’application de cette disposition, ces conditions ne pouvant être interprétées qu’au cas par cas, compte tenu des circonstances de l’espèce. |
25. |
Cela étant précisé, j’estime, ainsi que la Commission le fait remarquer dans ses observations écrites, que certaines distinctions peuvent être établies en fonction du degré d’ingérence que présentent les diverses formes de traitement dans les droits de la personne concernée. La juridiction de renvoi pourrait donc, lorsqu’elle l’estime approprié, d’une part, effectuer une distinction entre l’utilisation de données « statiques » de la personne concernée (telles que l’âge ( 20 ) ou le sexe) et l’utilisation de données « comportementales » (telles que le suivi des habitudes de navigation des utilisateurs), cette dernière utilisation étant, en règle générale, plus intrusive quant aux droits de la personne concernée. En ce qui concerne, plus particulièrement, les données « comportementales », une distinction ultérieure pourrait être effectuée entre la collecte de données qui portent sur un comportement « actif » (tel que l’action de cliquer sur le bouton « j’aime ») et la collecte de données qui portent sur un comportement « passif » (tel que la simple visite d’un site Internet), cette dernière étant normalement plus intrusive pour l’utilisateur. D’autre part, une distinction pourrait être également effectuée entre le traitement des données à caractère personnel collectées sur la plateforme Facebook et en dehors de celle-ci, à savoir sur des pages Internet, des applications autres que Facebook ou sur les appareils des utilisateurs, ce dernier étant plus intrusif que le premier ( 21 ). |
26. |
Dans le cadre de cette analyse, il est également important, selon moi, de tenir compte des attentes raisonnables des personnes concernées ( 22 ). |
27. |
Par ailleurs, dans une situation telle que celle existant avant l’entrée en vigueur du RGPD, où le traitement des données collectées en dehors de la plateforme Facebook se fondait non pas sur le consentement mais plutôt sur le caractère nécessaire du traitement à l’exécution du contrat en vertu de l’article 6, paragraphe 1, sous b), de ce règlement ( 23 ), il convient de tenir compte de l’interprétation stricte que la Cour a donnée de cette disposition ( 24 ). Il est par conséquent important, ainsi que le souligne le gouvernement italien dans ses observations écrites, d’éviter qu’une interprétation large du principe de la minimisation des données au titre de l’article 5 dudit règlement puisse permettre aux responsables du traitement d’étendre les catégories de données à caractère personnel considérées comme nécessaires à l’exécution du contrat au titre de l’article 6, paragraphe 1, sous b), du même règlement. |
28. |
Compte tenu de ce qui précède, je propose de répondre à la deuxième question préjudicielle que l’article 5, paragraphe 1, sous c), du RGPD doit être interprété en ce sens qu’il s’oppose à ce que des données à caractère personnel puissent être traitées à des fins de publicité ciblée sans limitation dans le temps ou en fonction de la nature des données et qu’il appartient à la juridiction de renvoi d’apprécier, compte tenu des circonstances de l’espèce et en faisant application du principe de proportionnalité, dans quelle mesure la période de conservation des données et la quantité de données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données aux fins de la publicité personnalisée. |
Sur la quatrième question préjudicielle
29. |
Par sa quatrième question préjudicielle, la juridiction de renvoi demande, en substance, si les dispositions combinées de l’article 5, paragraphe 1, sous b), et de l’article 9, paragraphe 2, sous e), du RGPD doivent être interprétées en ce sens que la circonstance selon laquelle une personne se soit exprimée sur son orientation sexuelle dans le cadre d’une table ronde permet le traitement par Meta Platforms Ireland d’autres données relatives à son orientation sexuelle aux fins de lui proposer de la publicité personnalisée. De façon plus générale, cette juridiction s’interroge sur la portée de cette dernière disposition et soulève, plus précisément, la question de savoir de quelle manière le public doit avoir obtenu les données sensibles de cette personne pour que l’article 9, paragraphe 2, du RGPD soit applicable. |
Sur la pertinence de la question préjudicielle
30. |
Meta Platforms Ireland a précisé, dans ses observations écrites et orales, sans que les autres parties le contestent lors de l’audience, que, au cours de la procédure devant les juridictions nationales, elle n’a à aucun moment invoqué l’exception prévue à l’article 9, paragraphe 2, sous e), du RGPD comme base juridique du traitement des données en cause ( 25 ). |
31. |
Or, dans un tel cas de figure, la quatrième question préjudicielle apparaîtrait clairement dénuée de pertinence, dès lors que cette exception ne serait pas applicable dans la présente affaire ( 26 ). |
32. |
Cela étant, il convient de rappeler que, selon une jurisprudence constante de la Cour, dans le cadre de la procédure prévue à l’article 267 TFUE, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa propre responsabilité ( 27 ), et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence ( 28 ). |
33. |
Partant, dans les points suivants, je proposerai une réponse à la quatrième question préjudicielle posée par la juridiction de renvoi, sans préjudice de la décision de la Cour quant à la pertinence de cette question. |
Sur le fond de la question préjudicielle
34. |
À titre liminaire, je rappelle que, conformément à l’article 5, paragraphe 1, sous b), du RGPD, qui consacre le principe de la limitation des finalités, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Aux termes de l’article 9, paragraphe 1, de ce règlement, le traitement des données à caractère personnel concernant, notamment, la vie sexuelle ou l’orientation sexuelle d’une personne physique est interdit, sauf si un tel traitement entre dans le champ d’application d’une des exceptions prévues à l’article 9, paragraphe 2, dudit règlement ( 29 ). |
35. |
Plus particulièrement, en vertu de l’article 9, paragraphe 2, sous e), du RGPD, l’interdiction du traitement de données à caractère personnel sensibles ne s’applique pas si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée. Ainsi que je l’ai fait remarquer dans mes conclusions dans l’affaire Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) ( 30 ), l’emploi, dans le libellé de cette disposition, de l’adverbe « manifestement » et le fait que cette disposition constitue une exception au principe d’interdiction générale du traitement des données à caractère personnel sensibles imposent une application particulièrement stricte de cette exception, en raison des risques importants pesant sur les droits fondamentaux et les libertés fondamentales des personnes concernées ( 31 ). Pour que ladite exception puisse s’appliquer, l’utilisateur doit avoir, à mon sens, pleinement conscience que, par un acte explicite, il rend des données à caractère personnel le concernant accessibles à quiconque ( 32 ). |
36. |
Dans l’affaire au principal, les données sensibles relatives à l’orientation sexuelle du demandeur ont été divulguées, en dehors de la plateforme Facebook (« hors site ») et de toute autre plateforme ou application informatique, dans le cadre d’une table ronde organisée par la Commission ( 33 ) et dans le but de dénoncer le traitement prétendument illicite par Meta Platforms Ireland de données relatives à cette orientation sexuelle ( 34 ). |
37. |
À cet égard, la Cour a déjà eu l’occasion de se prononcer sur l’utilisation de données « hors site », dans le cadre d’autres plateformes, dans l’arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) ( 35 ). À cette occasion, la Cour a dit pour droit que l’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que, lorsqu’un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en lien avec une ou plusieurs des catégories de données visées à l’article 9, paragraphe 1, du RGPD, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l’opérateur de ce réseau social en ligne à travers des « cookies » ou des technologies d’enregistrement similaires et que, lorsqu’il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu’il active des boutons de sélection intégrés à ces sites et à ces applications, tels que les boutons « j’aime » ou « partager » ou les boutons permettant à l’utilisateur de s’identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend pas manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), du RGPD, les données ainsi insérées ou résultant de l’activation de ces boutons à moins qu’il ait explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel, effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes ( 36 ). |
38. |
Cela étant, la juridiction de renvoi a estimé nécessaire de maintenir sa quatrième question préjudicielle au motif que les actes examinés par la Cour dans cette dernière affaire avaient trait à la consultation de sites Internet ou d’applications ainsi qu’à l’activation de boutons qui y sont intégrés, alors que, en l’occurrence, il s’agit d’une déclaration effectuée par la personne concernée sur son orientation sexuelle à l’occasion d’une table ronde. À cet égard, cette juridiction considère que l’on ne saurait déduire d’une telle déclaration un consentement au sens dudit article 9, paragraphe 2, sous e), du RGPD. |
39. |
À cet égard, il me semble opportun d’opérer une distinction entre, d’une part, la question préalable de savoir si la déclaration du demandeur sur son orientation sexuelle constitue un acte par lequel celui-ci rend manifestement publique cette orientation au sens de l’article 9, paragraphe 2, sous e), du RGPD et, d’autre part, en cas de réponse affirmative à cette question, celle de savoir si le fait d’avoir rendu manifestement publique son orientation sexuelle autorise le traitement de données relatives à cette orientation sexuelle aux fins de la publicité personnalisée au sens, notamment, des articles 5 et 6 de ce règlement. |
40. |
S’agissant, en premier lieu, de la qualification que doit revêtir la déclaration du requérant au sens de l’article 9, paragraphe 2, sous a), du RGPD, en l’absence d’indications utiles qui ressortiraient de la genèse de cette disposition et de son application jurisprudentielle ( 37 ), je relève que l’exception inscrite à l’article 9, paragraphe 2, sous e), de ce règlement requiert, en substance, que deux conditions soient cumulativement réunies, à savoir d’une part, une condition« objective » selon laquelle les données à caractère personnel en question doivent être « manifestement rendues publiques » et, d’autre part, une condition « subjective » selon laquelle c’est la « personne concernée » qui doit rendre ces données manifestement publiques. |
41. |
Dans l’affaire au principal, et sous réserve des vérifications incombant à la juridiction de renvoi, il me semble que ces deux conditions sont réunies. En effet, bien que divulguée de façon incidente dans le cadre d’un discours plus large et critique par rapport au traitement des données sensibles de la part de Meta Platforms Ireland, j’estime que la déclaration faite par le requérant constitue un acte par lequel, en toute connaissance de cause, celui-ci rend manifestement publique son orientation sexuelle. |
42. |
Pour ce qui est de la première condition, il me semble fort probable que, compte tenu du caractère ouvert de la table ronde, diffusée en direct puis retransmise en streaming ( 38 ), ainsi que de l’intérêt du public pour le thème qui y était abordé, la déclaration du requérant ait pu atteindre un public indéfini, bien plus important que celui qui était présent en salle ( 39 ). |
43. |
Pour ce qui est de la seconde condition, il est, à mon avis, tout à fait possible de supposer que, en mentionnant ouvertement son orientation sexuelle dans les circonstances de l’espèce (notamment dans le cadre d’un événement ouvert et accessible à la presse), le requérant ait eu, sinon l’intention, du moins pleinement conscience de rendre cette orientation « manifestement publique » au sens de la jurisprudence citée au point 35 des présentes conclusions ( 40 ). |
44. |
D’ailleurs, l’objectif de la protection conférée par l’article 9, paragraphe 1, du RGPD est, à mon sens, d’éviter que la personne concernée soit exposée à des conséquences préjudiciables (telles que notamment l’opprobre public ou des actes discriminatoires) dérivant, notamment, d’une perception négative, d’un point de vue social ou économique, des situations qui y sont énumérées ( 41 ). Cette disposition prévoit donc une protection particulière de ces données personnelles à travers une interdiction de principe non absolue, dont l’application au cas d’espèce est soumise à l’appréciation de la personne concernée, qui est la mieux placée pour apprécier les conséquences préjudiciables qui pourraient découler de la divulgation des données en question et qui peut, le cas échéant, renoncer à cette protection ou ne pas s’en prévaloir, en toute connaissance de cause, en rendant manifestement publique, au sens de l’article 9, paragraphe 2, sous e), de ce règlement, sa situation, et notamment son orientation sexuelle. |
45. |
S’agissant, en second lieu, de l’examen des conséquences, découlant du fait d’avoir manifestement rendue publique son orientation sexuelle, sur le plan du traitement de ces données sensibles par Meta Platforms Ireland au sens des articles 5 et 6 du RGPD, j’estime que le fait de rendre manifestement publiques des données au sens de l’article 9, paragraphe 2, sous e), de ce règlement ne permet pas, à lui seul, d’effectuer un traitement de ces données au sens dudit règlement. |
46. |
En effet, l’application de cette dernière disposition a simplement pour conséquence de lever la « protection spéciale » conférée à certaines données à caractère personnel particulièrement sensibles. Une fois cette protection sciemment écartée par la personne concernée elle-même (qui les a manifestement rendues publiques), ces données à caractère personnel, à l’origine « protégées », deviennent des données « ordinaires » (à savoir non sensibles) qui, comme toutes autres données à caractère personnel, ne peuvent faire l’objet d’un traitement licite que dans les conditions prévues notamment aux articles 6 et 7 du RGPD et dans le respect des principes consacrés notamment à l’article 5 de ce règlement ( 42 ), y compris du principe de la limitation des finalités inscrit à l’article 5, paragraphe 1, sous b), dudit règlement, qui impose que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes, ce qu’il incombe au responsable du traitement de démontrer, en vertu du paragraphe 2 de la disposition en question ( 43 ). |
47. |
Partant, le fait que le demandeur se soit exprimé sur son orientation sexuelle dans le cadre d’une table ronde, bien que cela puisse conduire à la conclusion que, dans les circonstances de l’espèce, cette personne a « manifestement rendues publiques » ces données au sens de l’article 9, paragraphe 2, sous e), du RGPD, ne peut pas, en soi, justifier le traitement de données personnelles qui révèlent l’orientation sexuelle de cette personne ( 44 ). |
48. |
Compte tenu de ce qui précède, je propose de répondre à la quatrième question préjudicielle que les dispositions combinées de l’article 5, paragraphe 1, sous b), et de l’article 9, paragraphe 2, sous e), du RGPD doivent être interprétées en ce sens que le fait de s’être exprimé sur sa propre orientation sexuelle pour les besoins d’une table ronde ouverte au public, tout en étant susceptible de constituer un acte par lequel l’intéressé a « manifestement rendues publiques » cette donnée au sens de l’article 9, paragraphe 2, sous e), de ce règlement, n’autorise pas, en soi, le traitement desdites données ou d’autres données relatives à l’orientation sexuelle de cette personne en vue de l’agrégation et de l’analyse des données à des fins de publicité personnalisée. |
Conclusion
49. |
Au vu des considérations qui précèdent, je propose à la Cour de répondre aux deuxième et quatrième questions préjudicielles posées par l’Oberster Gerichtshof (Cour suprême, Autriche) de la manière suivante :
|
( 1 ) Langue originale : le français.
( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).
( 3 ) Ce réseau social permet de télécharger et de partager des contenus de manière personnalisée, en fonction des paramètres choisis préalablement par l’utilisateur, ainsi que de communiquer directement avec d’autres utilisateurs ou d’échanger des données avec ceux-ci.
( 4 ) Plus particulièrement, cette publicité vise à présenter à l’utilisateur les produits et les services qui pourraient l’intéresser, notamment, en fonction de ses attitudes personnelles de consommation, ses intérêts, son pouvoir d’achat et sa situation personnelle (lieu, âge, sexe, etc.). Dans le même temps, les « Facebook business tools » (outils Facebook pour les entreprises) permettent aux annonceurs d’élaborer des annonces publicitaires ciblées et de vérifier l’efficacité de leur publicité par des systèmes d’analyse se fondant sur des algorithmes qui recherchent des corrélations et des modèles pour en déduire les conséquences correspondantes.
( 5 ) À ces fins, la défenderesse utilise des technologies telles que les « cookies » (témoins), qui permettent l’utilisation de « social plug-ins » (modules d’extension sociaux, telles que le bouton « j’aime ») ou de « pixels », qui sont des outils informatiques installés sur le site de Facebook, les sites Internet et les applications tierces. Ces outils permettent, en substance, de collecter certaines données d’un utilisateur visitant de tels sites Internet ou utilisant de telles applications les contenant et de les agréger, créant ainsi un profil de l’utilisateur, à partir duquel il est possible de lui proposer de la publicité personnalisée.
( 6 ) Meta Platforms Ireland a précisé, dans ses observations écrites et orales, que, pendant la période précédant l’entrée en vigueur du RGPD, d’une part, le traitement aux fins de publicité personnalisée des données à caractère personnel recueillies sur sa plateforme reposait non pas sur le consentement du demandeur, mais principalement sur la justification tirée de ce que le traitement de ces données était nécessaire à l’exécution du contrat, et, d’autre part, le traitement des données à caractère personnel collectées sur des sites ou des applications à l’extérieur de son réseau se fondait sur le consentement de l’utilisateur, de sorte que celui-ci pouvait exclure ces dernières données du traitement, sans pour autant renoncer aux services de Facebook. En l’espèce, cette société n’aurait pas traité des données à caractère personnel du demandeur collectées en dehors de sa plateforme, au motif que, lors de son inscription au réseau social Facebook au cours de l’année 2008, le requérant n’aurait pas donné son consentement à cet égard. En revanche, à partir de l’entrée en vigueur du RGPD, Facebook a recueilli le consentement pour le traitement aux fins de publicité personnalisée de données à caractère personnel collectées soit sur son réseau, soit sur des sites ou des applications externes et, en l’absence de ce consentement, a permis à l’utilisateur de ne pas autoriser le traitement de toutes ses données aux fins de publicité personnalisée en contrepartie du paiement d’une redevance. Il semblerait que la légalité des nouvelles conditions d’utilisation au sens du RGPD fasse actuellement l’objet d’un examen par les autorités de protection des données de certains États membres.
( 7 ) Ainsi qu’il ressort de la décision de renvoi, Meta Platforms Ireland ne donne pas accès à toutes les données traitées mais seulement à celles qui, selon son appréciation, présentent un intérêt et une pertinence pour les utilisateurs. En outre, cette société permet de supprimer certains contenus (tels que des messages, des photos ou des publications) d’un compte Facebook.
( 8 ) Par ailleurs, seuls ses « amis », dont la liste n’est pas rendue publique, pouvaient voir les contributions figurant sur son journal ou ses contributions futures.
( 9 ) Le demandeur aurait fait effectuer une analyse portant sur les déductions pouvant être tirées de sa liste d’amis et il en est ressorti qu’il avait fait son service civil à la Croix Rouge à Salzbourg (Autriche) et qu’il était homosexuel. Sur la liste des sites auxquels il s’intéresse, hormis Facebook, figureraient, entre autres, des applications ou des sites Internet de rencontre pour homosexuels ainsi qu’un site d’un parti politique autrichien. Parmi les données stockées du demandeur apparaîtrait notamment une adresse courriel inexistante et une autre qui n’est pas indiquée sur son profil Facebook, mais qu’il avait utilisée pour adresser des demandes à la défenderesse.
( 10 ) En substance, le demandeur a demandé à la juridiction de première instance, premièrement, d’imposer à la défenderesse la conclusion d’un contrat écrit concernant l’utilisation de ses données à caractère personnel sur le réseau Facebook et, à titre subsidiaire, de constater l’absence d’un tel contrat et de son consentement aux conditions d’utilisation ; deuxièmement, d’imposer à la défenderesse de s’abstenir de traiter ses données à caractère personnel aux fins de publicité personnalisée ou d’agrégation et d’analyse de données à des fins publicitaires ; troisièmement, de constater l’absence de consentement valable au traitement aux fins décrites dans l’ancienne version des directives en matière de traitement des données, en ce qui concerne ses données à caractère personnel que la défenderesse a obtenues de tiers, et, quatrièmement, d’imposer à la défenderesse de s’abstenir d’utiliser ou de traiter ses données relatives à la visite et à l’utilisation de pages tierces en l’absence d’un consentement valable au traitement. Pour l’essentiel, le demandeur a fait valoir que l’acceptation des conditions d’utilisation ainsi que des directives associées relatives à l’utilisation des données ne constitue pas un consentement au traitement des données à caractère personnel valablement donné au responsable du traitement. Il a également relevé le fait que Meta Platforms Ireland traite des données sensibles le concernant, telles que des données relatives à ses convictions politiques et à son orientation sexuelle, bien que ces données ne soient pas mentionnées sur son profil Facebook.
( 11 ) Ainsi qu’il ressort des observations écrites et orales des parties, cette table ronde était accessible au public, qui pouvait obtenir gratuitement un billet, dans la limite des places disponibles, auprès de la plateforme Eventbrite (189 personnes se sont finalement inscrites), et diffusée en direct. En outre, un enregistrement de celle-ci aurait été par la suite publié sous forme de podcast, ainsi que sur la chaîne YouTube de la Commission.
( 12 ) Ainsi qu’il ressort de la décision de renvoi et des écritures déposées par le requérant, celui-ci aurait fait la déclaration suivante : « Je vous donne maintenant un exemple très banal : vous pouvez déduire mon orientation sexuelle de ma liste d’amis. Je n’ai jamais mentionné sur Facebook que je suis homo. Depuis que j’ai 14 ans, c’est pour moi un truc que j’ai “outé” et qui ne me stresse pas ou quoi que ce soit d’autre. Mais c’est pas un truc que je raconte partout et tout le temps en public parce que je me dis, bon, parle plutôt de la protection des données sinon tu vas encore te retrouver dans cette case. Et ça, ça détourne l’attention de la protection des données ».
( 13 ) Ces deux juridictions nationales ont estimé, pour l’essentiel, que le traitement des données personnelles effectué par Meta Platforms Ireland aurait été nécessaire à l’exécution du contrat au sens de l’article 6, paragraphe 1, sous b), du RGPD.
( 14 ) Je rappelle que, dans l’affaire au principal, la juridiction de renvoi a déjà adressé à la Cour la demande de décision préjudicielle qui a fait l’objet de l’arrêt du 25 janvier 2018, Schrems (C‑498/16, EU:C:2018:37).
( 15 ) C‑252/21, ci-après l’« arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) », EU:C:2023:537. La présente procédure préjudicielle a été suspendue dans l’attente de cet arrêt. Interrogée par la Cour, la juridiction de renvoi a répondu que ledit arrêt répondait à ses première et troisième questions préjudicielles et qu’elle maintenait sa demande s’agissant des deuxième et quatrième questions préjudicielles.
( 16 ) Voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 96 et jurisprudence citée).
( 17 ) Voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 98 et jurisprudence citée).
( 18 ) Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé [voir arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 74 ainsi que jurisprudence citée)].
( 19 ) Voir jurisprudence citée à la note en bas de page 17 des présentes conclusions.
( 20 ) Sans préjudice de ce que, conformément à l’article 8 du RGPD, les enfants âgés de moins de 16 ans ne peuvent pas donner eux-mêmes leur consentement en vertu de l’article 6, paragraphe 1, sous a), de ce règlement en ce qui concerne l’offre de services de la société de l’information.
( 21 ) À cet égard, je rappelle que, dans le contexte de la notion de « consentement » au sens de l’article 6, paragraphe 1, premier alinéa, sous a), et de l’article 9, paragraphe 2, sous a), du RGPD, la Cour a notamment relevé qu’un utilisateur ne saurait raisonnablement s’attendre à ce que des données autres que celles relatives à son comportement à l’intérieur du réseau social (en l’espèce, Facebook) soient traitées par l’opérateur de celui-ci et a jugé qu’un consentement distinct peut être donné pour le traitement de ces dernières données, d’une part, et des données autre que celles-ci, d’autre part [arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), point 151]. De la même manière, dans mes conclusions dans la même affaire, j’ai exprimé des doutes sur le fait que la collecte et l’utilisation des données à caractère personnel en dehors du réseau social Facebook puissent être nécessaires à la fourniture des services proposés dans le cadre de ce réseau, de telle sorte que le consentement donné initialement pour l’accès audit réseau (à savoir la création d’un profil Facebook) puisse valablement couvrir le traitement des données à caractère personnel de l’utilisateur en dehors du même réseau [conclusions dans l’affaire Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2022:704, point 56, note en bas de page 81)].
( 22 ) Par exemple, en ce qui concerne les intérêts légitimes du responsable du traitement comme base juridique pour le traitement, le considérant 47 du RGPD précise que l’existence d’un tel intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.
( 23 ) Voir note en bas de page 6 des présentes conclusions.
( 24 ) En effet, la Cour a jugé, en substance, que, indépendamment du fait que le traitement de données à caractère personnel prévu par une telle disposition soit mentionné dans le contrat, l’élément déterminant aux fins de l’application de la justification visée à ladite disposition est que le traitement en question soit essentiel afin de permettre l’exécution correcte du contrat conclu entre le responsable du traitement et la personne concernée et, partant, qu’il n’existe pas d’autres solutions praticables et moins intrusives [voir, en ce sens, arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), point 99].
( 25 ) Voir note en bas de page 6 des présentes conclusions. Ainsi qu’il ressort de l’audience, il semblerait que, dans l’affaire au principal, Meta Platforms Ireland aurait fait référence à la table ronde pour réfuter l’argument du demandeur concernant le prétendu préjudice qui découlerait de la prétendue détresse psychologique dans laquelle il se trouvait en raison de la publicité personnalisée, et ce aux fins de démontrer qu’il n’avait aucune difficulté à déclarer publiquement son homosexualité. La juridiction de renvoi aurait donc posé la question relative à l’interprétation de l’article 9, paragraphe 2, du RGPD, non aux fins d’appliquer l’exception prévue par cette disposition mais dans le contexte, tout à fait différent, de l’examen du préjudice invoqué par le requérant à la lumière de la défense de Meta Platforms Ireland.
( 26 ) En effet, conformément à l’article 5, paragraphe 2, du RGPD, c’est sur le responsable du traitement que pèse la charge de la preuve que les données à caractère personnel sont traitées conformément à ce règlement.
( 27 ) Voir, par analogie, arrêt du 4 mai 2023, Glavna direktsia « Pozharna bezopasnost i zashtita na naselenieto » (Travail de nuit) (C‑529/21 à C‑536/21 et C‑732/21 à C‑738/21, EU:C:2023:374, point 57).
( 28 ) Voir, en ce sens, arrêt du 13 juillet 2023, Ferrovienord (C‑363/21 et C‑364/21, EU:C:2023:563, points 52 à 55 ainsi que jurisprudence citée).
( 29 ) Comme le précise le considérant 51 du même règlement, les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces droits et libertés.
( 30 ) C‑252/21, EU:C:2022:704, point 42.
( 31 ) Voir également, en ce sens, arrêt Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), point 76 ainsi que jurisprudence citée.
( 32 ) À cet égard, je relève que, dans la notion de « manifestement rendues publiques », l’utilisation du verbe « rendre » sous-entend un comportement actif et conscient de la personne concernée. Selon le Comité européen de la protection des données (CEPD), « le terme “manifestement” suppose que cette exception ne peut être invoquée que de façon très restrictive. Le CEPD fait remarquer que la présence d’un unique élément ne suffit pas toujours pour établir que les données ont été “manifestement” rendues publiques par la personne concernée. En pratique, il se peut qu’une combinaison [d’éléments] doive être prise en compte pour que les responsables du traitement puissent démontrer que la personne concernée a clairement manifesté son intention de rendre les données publiques, et qu’une évaluation au cas par cas est nécessaire » (CEPD, lignes directrices 8/2020, point 127). Celui-ci mentionne, à titre d’exemple, des éléments tels que les paramètres par défaut de la plateforme de médias sociaux, la nature de la plateforme de médias sociaux, l’accessibilité de la page où les données sensibles sont publiées, la visibilité de l’avertissement signalant à la personne concernée la nature publique des informations qu’elle publie, le fait que la personne concernée a elle-même publié les données sensibles, ou que, à l’inverse, les données ont été publiées par un tiers ou déduites. Voir également Georgieva, L., et Kuner, C., « Article 9. Processing of special categories of personal data », The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 378, selon lesquels, « [i]n this context, “making public” should be construed to include publishing the data in the mass media, putting them on online social network platforms or similar actions. However, the data must have been “manifestly” made public, which requires an affirmative act by the data subject, and that he or she realised that this would be the result » (« dans ce contexte, “rendre publiques” doit être interprété comme incluant la publication des données dans les médias, leur mise en ligne sur des plateformes de réseaux sociaux en ligne ou des actions similaires. Toutefois, les données doivent avoir été “manifestement” rendues publiques, ce qui nécessite un acte affirmatif de la part de la personne concernée, et que celle-ci ait compris que tel serait le résultat »).
( 33 ) Voir note en bas de page 11 des présentes conclusions.
( 34 ) Voir note en bas de page 13 des présentes conclusions.
( 35 ) Points 84 et 85 de cet arrêt.
( 36 ) Voir également mes conclusions dans l’affaire Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2022:704, point 46).
( 37 ) Je rappelle que la disposition en question a été reprise à l’identique de l’article 8, paragraphe 2, sous e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31) et que, d’ailleurs, aucune explication n’a été apportée lors de l’introduction de cette disposition dans le cadre de la position commune (CE) no 1/95 arrêtée par le Conseil le 20 février 1995 en vue de l’adoption de la directive 95/. . ./CE du Parlement européen et du Conseil, du ..., relative à la protection des personnes physiques à l’égard des données à caractère personnel et à la libre circulation de ces données (JO 1995, C 93, p. 1).
( 38 ) Voir note en bas de page 11 des présentes conclusions.
( 39 ) Par exemple, ainsi que le requérant le reconnaît lui-même dans ses observations écrites, sa déclaration était susceptible d’être relayée, de manière tout à fait légitime, par un article de presse couvrant l’événement en question.
( 40 ) À cet égard, je rappelle que le requérant a été le protagoniste d’un long et important contentieux contre Meta Platforms Ireland (auparavant Facebook) concernant l’application du RGPD et que, partant, il est raisonnable de supposer qu’il était parfaitement au courant des conséquences de ses déclarations à la lumière de ce règlement. Cela dit, je relève une différence entre, d’une part, la volonté d’autoriser le traitement de données « sensibles » qui constitue un consentement au traitement de ces données au sens de l’article 9, paragraphe 2, sous a), du RGPD et, d’autre part, l’intention ou la pleine conscience de rendre manifestement publiques lesdites données, qui a pour conséquence la non-application de l’interdiction du traitement de ces données au sens de l’article 9, paragraphe 1, de ce règlement mais qui ne suffit, à elle seule, à autoriser le traitement de ces données, ainsi que je l’expliquerai aux points 45 à 47 des présentes conclusions.
( 41 ) Par exemple, une personne pourrait être discriminée à cause de son orientation politique ou sexuelle ou encore être confrontée à des conséquences économiques injustes en raison de sa situation médicale (notamment en ce qui concerne l’assurance maladie ou d’autres situations analogues).
( 42 ) En effet, ainsi que rappelé au considérant 51 du RGDP, outre les exigences spécifiques applicables au traitement des données à caractère personnel particulièrement sensibles, les principes généraux et les autres règles de ce règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Par ailleurs, au sens de l’article 22, paragraphe 4, dudit règlement, les décisions fondées exclusivement sur un traitement automatisé ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, du même règlement à moins que l’article 9, paragraphe 2, sous a) ou g), de celui-ci ne s’applique et que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée soient mises en place.
( 43 ) La Cour s’est récemment prononcée dans le même sens au sujet de l’interprétation de l’article 9, paragraphe 2, sous h), du RGPD, lu en combinaison avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1), de ce règlement, en relevant qu’un traitement de données concernant la santé qui est fondé sur la première disposition doit respecter, afin d’être licite, à la fois les exigences découlant de celle-ci ainsi que les obligations résultant des deux dernières dispositions et, en particulier, remplir au moins l’une des conditions de licéité énoncées à l’article 6, paragraphe 1, dudit règlement [arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, point 78)].
( 44 ) D’autant plus que, dans l’affaire au principal, la juridiction de renvoi se demande si la déclaration effectuée lors de la table ronde en question autorise le traitement d’autres données à caractère personnel, notamment celles collectées à partir d’applications tierces.