1.

Prezenta cerere de decizie preliminară a fost introdusă de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania), în cadrul unui litigiu între societăți din grupul Meta Platforms ( 2 ), pe de o parte, și Bundeskartellamt (Oficiul Federal al Concurenței, Germania), pe de altă parte, cu privire la decizia prin care acesta din urmă a interzis reclamantei din litigiul principal prelucrarea datelor prevăzute în condițiile de utilizare a rețelei sale sociale Facebook, precum și punerea în aplicare a condițiilor de utilizare menționate și a impus măsuri de încetare a acestor activități ( 3 ).

2.

Întrebările preliminare privesc în esență, pe de o parte, competența unei autorități naționale de concurență, precum Bundeskartellamt, de a examina, cu titlu principal sau incidental, comportamentul unei întreprinderi în lumina anumitor dispoziții din Regulamentul (UE) 2016/679 ( 4 ) și, pe de altă parte, interpretarea acestor dispoziții în ceea ce privește în special prelucrarea datelor cu caracter personal sensibile, condițiile relevante pentru legalitatea prelucrării datelor cu caracter personal și acordarea unui consimțământ liber unei întreprinderi aflate într‑o poziție dominantă.

3.

Articolul 4 din RGPD prevede:

„În sensul prezentului regulament:

[…]

[…]”

4.

Articolul 6 alineatul (1) din acest regulament, intitulat „Legalitatea prelucrării”, prevede următoarele:

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”

5.

Articolul 9 alineatele (1) și (2) din regulamentul menționat, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, prevede:

„(1)   Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

(2)   Alineatul (1) nu se aplică în următoarele situații:

[…]

[…]”

6.

Articolul 51 din același regulament, intitulat „Autoritatea de supraveghere”, care face parte din capitolul VI al regulamentului, intitulat „Autorități de supraveghere independente”, prevede:

„(1)   Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii […]

(2)   Fiecare autoritate de supraveghere contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia, în conformitate cu capitolul VII.

[…]”

7.

Articolul 19 alineatul (1) din Gesetz gegen Wettbewerbsbeschränkungen (Legea împotriva restricțiilor aduse concurenței, denumită în continuare „GWB”) prevede:

„Abuzul de poziție dominantă pe piață săvârșit de una sau mai multe întreprinderi este interzisă.” ( 5 )

8.

Articolul 50f din GWB prevede:

„(1)   Autoritățile de concurență, autoritățile de reglementare, responsabilul federal pentru protecția datelor și libertatea de informare, responsabilii regionali pentru protecția datelor, precum și autoritățile competente în sensul articolului 2 din EU‑Verbraucherschutzdurchführungsgesetz (Legea privind punerea în aplicare a dreptului Uniunii Europene privind protecția consumatorilor) pot, indiferent de procedura aleasă, să facă schimb de informații, inclusiv de date cu caracter personal și de secrete comerciale și de afaceri, în măsura în care acest lucru este necesar pentru îndeplinirea sarcinilor lor, precum și să utilizeze informațiile respective în cadrul procedurilor lor. […]”

9.

Meta Platforms gestionează oferta rețelei sociale digitale „Facebook” în Uniunea Europeană (la adresa www.facebook.com), precum și alte servicii online, inclusiv Instagram și WhatsApp. Modelul economic al rețelelor sociale gestionate de Meta Platforms constă în esență, pe de o parte, în oferirea de servicii gratuite de rețea socială utilizatorilor privați și, pe de altă parte, în vânzarea de publicitate online, adaptată utilizatorilor individuali ai rețelei sociale și menită să prezinte utilizatorului produsele și serviciile care l‑ar putea interesa, în special în funcție de atitudinile personale de consum, de interesele, de puterea de cumpărare și de circumstanțele personale ale acestuia. Baza tehnică a acestui tip de publicitate este alcătuirea automată a unor profiluri foarte detaliate ale utilizatorilor rețelei și ale serviciilor online oferite la nivel de grup ( 6 ).

10.

Pentru colectarea și prelucrarea datelor utilizatorilor, Meta Platforms se bazează pe acordul de utilizare încheiat cu utilizatorii săi prin acționarea butonului „Înregistrare”, prin care utilizatorii menționați acceptă astfel condițiile de utilizare a Facebook. Acceptarea acestor condiții de utilizare este o condiție esențială pentru utilizarea rețelei sociale Facebook ( 7 ). Elementul central al prezentei cauze privește practica reprezentată, în primul rând, de colectarea de date de la alte servicii specifice grupului, precum și de pe site‑uri de internet și din aplicații terțe, prin intermediul unor interfețe integrate în acestea din urmă sau prin intermediul modulelor cookie instalate pe computerul sau pe echipamentul terminal mobil al utilizatorului, în al doilea rând, în asocierea acestor date la contul de Facebook al utilizatorului în cauză și, în al treilea rând, în utilizarea datelor menționate (denumită în continuare „practica în litigiu”).

11.

Bundeskartellamt a inițiat o procedură împotriva Meta Platforms, în urma căreia, prin decizia în litigiu, a interzis acesteia prelucrarea datelor prevăzută de condițiile de utilizare a Facebook, precum și punerea în aplicare a acestor condiții și a impus măsuri de încetare a acestor activități. Bundeskartellamt și‑a motivat decizia în special prin faptul că prelucrarea în cauză constituia o exploatare abuzivă a poziției dominante a acestei societăți pe piața rețelelor sociale pentru utilizatorii privați din Germania, în sensul articolului 19 GWB ( 8 ).

12.

La 11 februarie 2019, Meta Platforms a introdus o acțiune împotriva deciziei în litigiu în fața Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) ( 9 ), instanța de trimitere, care în esență are îndoieli cu privire, pe de o parte, la posibilitatea ca autoritățile naționale de concurență să controleze conformitatea unei operațiuni de prelucrare a datelor cu cerințele prevăzute în RGPD, precum și să constate și să sancționeze încălcarea dispozițiilor acestuia și, pe de altă parte, la interpretarea și aplicarea anumitor dispoziții din acest regulament.

13.

În aceste condiții, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

În cazul unui răspuns afirmativ la întrebarea 7, este necesar să se răspundă la întrebările 3)-5) în ceea ce privește datele provenite din utilizarea serviciului Instagram al grupului.”

14.

Au depus observații scrise Meta Platforms, guvernele german, ceh, italian și austriac, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (asociație a consumatorilor, Germania), precum și Comisia Europeană. Aceste părți au prezentat de asemenea observații orale în cadrul ședinței de audiere a pledoariilor desfășurate la 10 mai 2022.

15.

Întrebările preliminare care fac obiectul prezentei cauze, referitoare la interpretarea mai multor dispoziții din RGPD, privesc în esență, în primul rând, competența unei autorități de concurență de a constata și a sancționa o încălcare a normelor privind prelucrarea datelor cu caracter personal și obligațiile sale de cooperare cu autoritatea de supraveghere principală în sensul RGPD (prima și cea de a șaptea întrebare preliminară), în al doilea rând, interdicția prelucrării datelor cu caracter personal sensibile și condițiile aplicabile consimțământului pentru utilizarea acestora (cea de a doua întrebare preliminară), în al treilea rând, legalitatea prelucrării datelor cu caracter personal în lumina anumitor justificări (întrebările preliminare a treia-a cincea) și, în al patrulea rând, validitatea unui consimțământ pentru prelucrarea datelor cu caracter personal acordat unei întreprinderi aflate într‑o poziție dominantă (cea de a șasea întrebare preliminară).

16.

În cadrul următoarelor puncte vom aborda mai întâi prima și cea de a șaptea întrebare preliminară, iar ulterior celelalte întrebări preliminare, în ordinea în care au fost adresate, analizând împreună cea de a treia, cea de a patra și cea de a cincea întrebare preliminară.

17.

Prin intermediul primei întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă, în cadrul urmăririi penale a unor încălcări ale normelor de concurență, o autoritate de concurență poate, pe de o parte, să se pronunțe cu titlu principal ( 10 ) cu privire la încălcarea normelor privind prelucrarea datelor din RGPD de către o întreprindere al cărei sediu principal, unicul responsabil pentru prelucrarea datelor cu caracter personal pentru toată Uniunea, se află într‑un alt stat membru și, pe de altă parte, să dispună încetarea acestei încălcări [prima întrebare litera a)] și, în cazul unui răspuns afirmativ, dacă autoritatea de supraveghere principală competentă în temeiul articolului 56 alineatul (1) din RGPD poate în continuare să supună unei proceduri de examinare condițiile de prelucrare a datelor de către întreprinderea respectivă [prima întrebare litera b)].

18.

Cu toate acestea, sub rezerva verificării de către instanța de trimitere, considerăm că Bundeskartellamt nu a sancționat în decizia în litigiu o încălcare a RGPD de către Meta Platforms, ci a efectuat, doar în scopul aplicării normelor de concurență, o examinare a unei pretinse încălcări a interdicției abuzului de poziție dominantă de către aceasta, luând în considerare printre altele neconformitatea conduitei acestei întreprinderi cu dispozițiile RGPD.

19.

Prin urmare, în opinia noastră, în măsura în care se referă la posibilitatea ca o autoritate de concurență să se pronunțe cu titlu principal cu privire la încălcarea normelor din RGPD și să dispună încetarea acestei încălcări în sensul regulamentului respectiv, prima întrebare litera a) este inoperantă ( 11 ).

20.

Rezultă că prima întrebare litera b), care este subordonată răspunsului afirmativ la prima întrebare litera a), este de asemenea inoperantă ( 12 ).

21.

Prin intermediul celei de a șaptea întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă o autoritate de concurență se poate pronunța cu titlu incidental ( 13 ), în cadrul examinării unor încălcări ale normelor de concurență, cu privire la conformitatea cu RGPD a condițiilor de prelucrare a datelor și a punerii în aplicare a acestora [cea de a șaptea întrebare litera a)] și, în cazul unui răspuns afirmativ, dacă o examinare de către autoritatea de concurență este posibilă inclusiv atunci când, în același timp, autoritatea de supraveghere principală competentă supune aceste condiții unei proceduri de examinare [cea de a șaptea întrebare litera b)].

22.

În ceea ce privește, în primul rând, cea de a șaptea întrebare litera a), considerăm că, deși o autoritate de concurență nu este competentă să constate o încălcare a RGPD ( 14 ), acest din urmă regulament nu se opune, în principiu, ca alte autorități decât cele de supraveghere să poată lua în considerare cu titlu incidental, în exercitarea propriilor competențe și atribuții, compatibilitatea unui comportament cu dispozițiile RGPD. În opinia noastră, acesta este în special cazul în ceea ce privește exercitarea de către o autoritate de concurență a competențelor care îi sunt conferite de articolul 102 TFUE și de articolul 5 primul paragraf din Regulamentul (CE) nr. 1/2003 ( 15 ) sau de orice altă normă națională corespunzătoare ( 16 ).

23.

Într‑adevăr, cu ocazia exercitării competențelor sale, o autoritate de concurență trebuie să evalueze printre altele dacă comportamentul examinat constă în a recurge la alte mijloace decât cele care fac parte din concurența pe bază de merite, ținând seama de contextul juridic și economic în care se înscrie acest comportament ( 17 ). În această privință, conformitatea sau neconformitatea comportamentului respectiv cu dispozițiile RGPD, nu în sine, ci având în vedere toate împrejurările cauzei, poate constitui un indiciu important pentru a stabili dacă acest comportament reprezintă o recurgere la mijloace care guvernează concurența normală, înțelegându‑se că natura abuzivă sau neabuzivă a unui comportament în raport cu articolul 102 TFUE nu rezultă din conformitatea sau neconformitatea sa cu RGPD sau cu alte norme juridice ( 18 ).

24.

Prin urmare, considerăm că examinarea unui abuz de poziție dominantă pe piață poate justifica interpretarea de către o autoritate de concurență a normelor care nu țin de dreptul concurenței, precum cele din RGPD ( 19 ), precizând în același timp că o astfel de examinare este efectuată în mod incidental ( 20 ) și nu aduce atingere aplicării acestui regulament de către autoritățile de supraveghere competente ( 21 ).

25.

În ceea ce privește, în al doilea rând, cea de a șaptea întrebare litera b), instanța de trimitere ridică problema referitoare la obligațiile, în cadrul aplicării principiului cooperării loiale prevăzut la articolul 4 alineatul (3) TUE, pe care le are o autoritate de concurență în raport cu autoritatea de supraveghere principală competentă în sensul RGPD atunci când interpretează acest regulament și, mai exact, atunci când același comportament ca și cel examinat de autoritatea de concurență face obiectul unei examinări din partea autorității de supraveghere principale competente.

26.

În prezenta cauză, examinarea, chiar și incidentală, a comportamentului unei întreprinderi în lumina normelor din RGPD de către o autoritate de concurență implică riscul unor divergențe între aceasta și autoritățile de supraveghere în ceea ce privește interpretarea acestui regulament, ceea ce, în principiu, poate aduce atingere interpretării uniforme a RGPD ( 22 ).

27.

Dreptul Uniunii nu prevede norme detaliate privind cooperarea dintre o autoritate de concurență și autoritățile de supraveghere în sensul RGPD într‑o astfel de situație. În special, în cauză nu este aplicabil nici mecanismul de cooperare între autoritățile competente în sensul RGPD cu ocazia aplicării acestuia ( 23 ), nici alte norme detaliate privind cooperarea între autoritățile administrative, precum cele privind cooperarea între autoritățile de concurență și cooperarea dintre acestea din urmă și Comisie cu ocazia aplicării normelor de concurență ( 24 ).

28.

Acestea fiind spuse, atunci când interpretează RGPD, o autoritate de concurență este totuși obligată să respecte principiul cooperării loiale consacrat la articolul 4 alineatul (3) TUE, în temeiul căruia Uniunea și statele membre, inclusiv autoritățile administrative ale acestora ( 25 ), se respectă și se ajută reciproc în îndeplinirea misiunilor care decurg din tratate. În special, cel de al treilea paragraf al acestei dispoziții prevede că statele membre facilitează îndeplinirea de către Uniune a misiunii sale și se abțin de la orice măsură care ar putea pune în pericol realizarea obiectivelor Uniunii ( 26 ). În plus, precum orice autoritate administrativă însărcinată cu aplicarea dreptului Uniunii, o autoritate de concurență este obligată să respecte principiul bunei administrări, ca principiu general al dreptului Uniunii, care include printre altele o obligație extinsă de diligență și de solicitudine în sarcina autorităților naționale ( 27 ).

29.

Astfel, în absența unor norme exacte privind mecanismele de cooperare, a căror adoptare revine eventual legiuitorului Uniunii, o autoritate de concurență este supusă, atunci când interpretează dispozițiile RGPD, cel puțin unor obligații de informare, de cercetare și de cooperare în raport cu autoritățile competente în sensul acestui regulament, în conformitate cu normele interne care îi reglementează competențele (principiul autonomiei procedurale a statelor membre) și cu respectarea principiilor echivalenței și efectivității ( 28 ).

30.

Rezultă, în opinia noastră, că, atunci când autoritatea de supraveghere principală competentă s‑a pronunțat cu privire la aplicarea anumitor dispoziții din RGPD în cazul unei practici identice sau similare, autoritatea de concurență nu poate, în principiu, să se îndepărteze de interpretarea acestei autorități, care este singura competentă pentru aplicarea regulamentului respectiv ( 29 ), și trebuie, în măsura în care este posibil și cu respectarea în special a dreptului la apărare al persoanelor în cauză, să se conformeze eventualelor decizii adoptate de autoritatea respectivă cu privire la același comportament ( 30 ) și, în cazul în care există îndoieli cu privire la interpretarea dată în speță de autoritatea competentă, să o consulte sau, dacă este cazul, atunci când aceasta se află într‑un alt stat membru, să consulte autoritatea națională de supraveghere ( 31 ).

31.

În plus, în absența unei decizii a autorității de supraveghere competente, autoritatea de concurență are totuși obligația de a o informa ( 32 ) și de a coopera cu aceasta în cazul în care autoritatea de supraveghere competentă a inițiat o examinare a aceleiași practici sau și‑a manifestat intenția de a face acest lucru și, eventual, de a aștepta rezultatul examinării efectuate de aceasta din urmă înainte de a iniția propria evaluare, în măsura în care acest lucru este adecvat și nu aduce atingere în special respectării de către autoritatea de concurență a unei perioade rezonabile de investigație și a dreptului la apărare al persoanelor în cauză ( 33 ).

32.

În prezenta cauză, considerăm că faptul de a fi inițiat o cooperare cu autoritățile de supraveghere responsabile la nivel național ( 34 ) și de a fi contactat de asemenea, în mod informal, autoritatea de supraveghere principală irlandeză, împrejurări menționate de Bundeskartellamt și pe care instanța de trimitere trebuie să le verifice, poate fi suficient pentru a se concluziona că această autoritate și‑a îndeplinit obligațiile de diligență și cooperare loială ( 35 ).

33.

În concluzie, propunem să se răspundă la cea de a șaptea întrebare preliminară că articolele 51-66 din RGPD trebuie interpretate în sensul că o autoritate de concurență poate examina cu titlu incidental, în cadrul competențelor sale în temeiul normelor în materie de concurență, conformitatea practicilor analizate cu normele RGPD, luând în considerare orice decizie sau investigație a autorității de supraveghere competente în temeiul RGPD și informând autoritatea națională de supraveghere și, după caz, consultând‑o.

34.

Prin intermediul celei de a doua întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă articolul 9 alineatul (1) din RGPD trebuie interpretat în sensul că practica în litigiu, în măsura în care privește consultarea paginilor de internet și a aplicațiilor terțe ( 36 ), se înscrie în domeniul prelucrării datelor sensibile cu caracter personal enumerate ( 37 ), care este interzisă ( 38 ) [a doua întrebare litera a)], și, în cazul unui răspuns afirmativ, dacă articolul 9 alineatul (2) litera (e) din acest regulament trebuie interpretat în sensul că un utilizator face publice în mod manifest, în sensul acestei dispoziții, datele care sunt, pe de o parte, dezvăluite prin consultarea paginilor de internet și a aplicațiilor sau, pe de altă parte, a celor care sunt inserate sau care rezultă din acționarea butoanelor de selecție integrate în aceste pagini de internet sau aplicații ( 39 ) [a doua întrebare litera b)].

35.

În ceea ce privește, în primul rând, cea de a doua întrebare litera a), reamintim că, în temeiul articolului 9 alineatul (1) din RGPD, prelucrarea datelor cu caracter personal sensibile este interzisă. Protecția specială a acestor date este motivată, astfel cum reiese din considerentul (51) al acestui regulament, de faptul că ele sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale și prelucrarea acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. În plus, în pofida caracterului oarecum obscur al formulării acestei dispoziții ( 40 ), nu considerăm că, astfel cum presupune instanța de trimitere, aceasta introduce o diferență substanțială între datele cu caracter personal care sunt sensibile pentru că „dezvăluie” o anumită situație și datele care sunt sensibile prin ele însele ( 41 ).

36.

În prezenta cauză, în opinia noastră, este evident că practica în litigiu constituie o prelucrare de date cu caracter personal care, în principiu, se poate încadra în domeniul de aplicare al acestei dispoziții și poate fi interzisă atunci când datele prelucrate „dezvăluie” una dintre situațiile sensibile enumerate în aceasta. Prin urmare, trebuie să se stabilească dacă și în ce măsură consultarea site‑urilor de internet și a aplicațiilor sau introducerea unor date în acestea poate „dezvălui” una dintre situațiile sensibile vizate de dispoziția în cauză.

37.

În această privință, avem îndoieli că este relevant (și că mai este posibil) să se facă distincția între, pe de o parte, un simplu interes al persoanei în cauză pentru anumite informații și, pe de altă parte, apartenența acestei persoane la una din categoriile menționate de dispoziția în cauză ( 42 ). Chiar dacă pozițiile părților din litigiul principal sunt opuse în această privință ( 43 ), considerăm că un răspuns la această întrebare poate fi căutat numai de la caz la caz și în funcție de fiecare dintre activitățile care constituie practica în litigiu.

38.

În timp ce, astfel cum subliniază guvernul german, simpla colectare de date sensibile cu caracter personal referitoare la consultarea unui site de internet sau a unei aplicații nu constituie, în sine, în mod necesar, o prelucrare de date sensibile cu caracter personal în sensul acestei dispoziții ( 44 ), asocierea acestor date la contul de Facebook al utilizatorului în cauză sau utilizarea acestora constituie, în schimb, un comportament care ar putea constitui mai ușor o astfel de prelucrare. Elementul decisiv pentru aplicarea articolului 9 alineatul (1) din RGPD este, în opinia noastră, posibilitatea ca datele prelucrate să permită crearea de profiluri ale utilizatorului în funcție de categoriile care rezultă din enumerarea datelor cu caracter personal sensibile efectuată de această dispoziție ( 45 ).

39.

În acest context, pentru a putea determina dacă o operațiune de prelucrare a datelor intră în domeniul de aplicare al acestei dispoziții, ar putea fi util să se facă distincția, eventual, între, pe de o parte, prelucrarea datelor care pot fi clasificate la prima vedere în categoria datelor sensibile cu caracter personal și care permit prin ele însele crearea de profiluri ale persoanei vizate și, pe de altă parte, prelucrarea datelor care nu sunt ele însele sensibile, dar care necesită o activitate ulterioară de regrupare în scopul desprinderii unor concluzii plauzibile pentru crearea de profiluri ale persoanei vizate.

40.

Acestea fiind spuse, trebuie precizat că existența unei clasificări în sensul acestei dispoziții este independentă de întrebarea dacă această clasificare este adevărată sau corectă ( 46 ). Ceea ce contează este posibilitatea ca o astfel de clasificare să creeze un risc semnificativ pentru drepturile și libertățile fundamentale ale persoanei vizate, astfel cum se amintește în considerentul (51) al RGPD, posibilitate care este independentă de veridicitatea acesteia.

41.

În sfârșit, în ceea ce privește întrebarea instanței de trimitere referitoare la relevanța scopului utilizării în vederea aprecierii în cauză ( 47 ), considerăm, contrar celor susținute de reclamanta din litigiul principal, că, în principiu, nu este necesar ca operatorul să prelucreze aceste date „în cunoștință de cauză și cu intenția de a obține în mod direct categorii speciale de informații din acestea”. Într‑adevăr, obiectivul dispoziției în cauză este în esență de a preveni în mod obiectiv riscurile semnificative pentru drepturile și libertățile fundamentale ale persoanelor vizate care decurg din prelucrarea datelor sensibile cu caracter personal, indiferent de orice element subiectiv, precum intenția operatorului.

42.

În ceea ce privește, în al doilea rând, cea de a doua întrebare litera b), reamintim că, în conformitate cu articolul 9 alineatul (2) litera (e) din RGPD, interdicția de prelucrare a datelor sensibile cu caracter personal nu se aplică în cazul în care prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de persoana vizată. În plus, referința din formularea acestei dispoziții la adverbul „manifest” și faptul că dispoziția menționată constituie o excepție de la principiul interzicerii prelucrării datelor sensibile cu caracter personal ( 48 ) necesită o aplicare deosebit de strictă a acestei excepții, din cauza riscurilor semnificative pentru drepturile și libertățile fundamentale ale persoanelor vizate ( 49 ). Pentru ca această excepție să se aplice, utilizatorul trebuie, în opinia noastră, să fie pe deplin conștient de faptul că, printr‑un act explicit ( 50 ), face publice date cu caracter personal ( 51 ).

43.

În prezenta cauză, considerăm că un comportament care constă în consultarea site‑urilor de internet și a aplicațiilor, în introducerea unor date în aceste site‑uri și aplicații și în acționarea butoanelor de selecție integrate în acestea nu poate fi asimilat, în principiu, unui comportament care face publice în mod manifest datele sensibile cu caracter personal ale utilizatorului, în sensul articolului 9 alineatul (2) litera (e) din RGPD.

44.

În special, menționăm că, în principiu, consultarea site‑urilor de internet și a aplicațiilor face ca datele de consultare să fie accesibile numai administratorului site‑ului de internet sau al aplicației în cauză și terților cărora acesta le transmite informațiile respective, precum reclamanta din litigiul principal ( 52 ). În mod similar, în cazul în care, prin introducerea de date în site‑uri de internet și aplicații, persoana vizată ar putea furniza, în mod direct și voluntar, informații privind anumite date sensibile cu caracter personal, remarcăm de asemenea că aceste informații sunt accesibile numai operatorului site‑ului de internet sau al aplicației în cauză și terților cărora acesta le transmite informațiile respective. Prin urmare, excludem faptul că un astfel de comportament poate reflecta dorința de a pune aceste date la dispoziția colectivității ( 53 ). În plus, deși este evident că, prin acționarea butoanelor de selectare integrate în site‑uri de internet sau aplicații ( 54 ), persoana în cauză își exprimă în mod clar voința de a împărtăși anumite informații cu un public extern site‑ului de internet sau aplicației în cauză, considerăm că, după cum subliniază Bundeskartellamt, prin acest comportament, persoana în cauză este conștientă de faptul că împărtășește informații cu un cerc determinat de persoane, adesea definit de utilizatorul însuși ( 55 ), și nu cu colectivitatea ( 56 ).

45.

În sfârșit, în ceea ce privește relevanța unui eventual consimțământ dat de utilizator în sensul articolului 5 alineatul (3) din Directiva 2002/58 pentru colectarea de date cu caracter personal prin intermediul modulelor cookie sau al unor tehnologii similare, menționat de instanța de trimitere, considerăm că acest consimțământ, având în vedere scopul său specific, nu poate justifica prin el însuși prelucrarea datelor sensibile cu caracter personal colectate prin aceste mijloace ( 57 ). Într‑adevăr, consimțământul menționat, care este necesar pentru instalarea unui mijloc tehnic de captare a anumitor activități ale utilizatorului ( 58 ), nu vizează prelucrarea unor date sensibile cu caracter personal și nu poate fi asimilat voinței de a face aceste date publice în mod manifest, în sensul articolului 9 alineatul (2) litera (e) din RGPD ( 59 ).

46.

În concluzie, propunem să se răspundă la cea de a doua întrebare preliminară că, pe de o parte, articolul 9 alineatul (1) din RGPD trebuie interpretat în sensul că interdicția de prelucrare a datelor sensibile cu caracter personal poate include prelucrarea datelor efectuată de un operator al unei rețele sociale online, care constă în colectarea datelor unui utilizator atunci când acesta consultă alte site‑uri sau aplicații sau introduce astfel de date în aceste site‑uri sau aplicații, în asocierea datelor menționate cu contul utilizatorului în rețeaua socială și în utilizarea acestora, cu condiția ca informațiile prelucrate, considerate în mod individual sau regrupate, să permită crearea de profiluri ale utilizatorului în conformitate cu categoriile care rezultă din enumerarea datelor sensibile cu caracter personal, efectuată prin această dispoziție, și, pe de altă parte, articolul 9 alineatul (2) litera (e) din RGPD trebuie interpretat în sensul că un utilizator nu face publice în mod manifest date prin faptul că ele sunt dezvăluite prin consultarea paginilor de internet și a aplicațiilor sau sunt introduse în aceste pagini de internet sau aplicații ori rezultă din acționarea butoanelor de selecție integrate în acestea.

47.

Prin intermediul întrebărilor preliminare a treia-a cincea, instanța de trimitere solicită în esență să se stabilească dacă articolul 6 alineatul (1) literele (b), (c), (d), (e) și (f) din RGPD trebuie interpretat în sensul că practica în litigiu ( 60 ) se încadrează în domeniul de aplicare al uneia dintre justificările prevăzute de aceste dispoziții și, mai exact:

48.

Cu titlu preliminar, în pofida unor îndoieli cu privire la admisibilitatea celei de a patra și a celei de a cincea întrebări preliminare ( 68 ), propunem să răspundem în comun la întrebările preliminare a treia‑a cincea, în măsura în care indicațiile pe care le vom furniza în continuare, în principal în ceea ce privește cea de a treia întrebare preliminară, care este cea mai bine motivată, pot fi utile instanței de trimitere și cu ocazia aplicării dispozițiilor care fac obiectul celei de a patra și al celei de a cincea întrebări preliminare.

49.

În principal, observăm că, în conformitate cu articolul 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), datele cu caracter personal trebuie tratate în mod corect, în scopurile precizate și în temeiul unui motiv legitim prevăzut de lege. În această privință, articolul 6 alineatul (1) din RGPD specifică faptul că prelucrarea acestor date este legală numai dacă se aplică cel puțin una dintre cele șase condiții prevăzute de această dispoziție ( 69 ).

50.

În prezenta cauză, în primul rând, considerăm că întrebările preliminare a treia‑a cincea necesită o analiză detaliată, de la caz la caz, a diferitelor clauze din condițiile de utilizare a Facebook în contextul practicii în litigiu, deoarece nu este posibil să se stabilească dacă, în ceea ce privește această practică, „o întreprindere precum [Meta Platforms]” se poate baza, în ansamblu, pe toate (sau pe unele) dintre justificările prevăzute la articolul 6 alineatul (1) din RGPD, chiar dacă nu este exclus ca practica menționată sau unele dintre activitățile sale să poată intra, în anumite cazuri, în domeniul de aplicare al acestui articol ( 70 ).

51.

În continuare, prelucrarea prevăzută de dispozițiile menționate se efectuează, în speță, pe baza condițiilor generale ale contractului impuse de operator, în lipsa consimțământului persoanei vizate ( 71 ) sau chiar împotriva voinței acesteia, ceea ce impune, în opinia noastră, o interpretare strictă a justificărilor în cauză, în special pentru a se evita eludarea condiției privind consimțământul ( 72 ).

52.

În sfârșit, reamintim că, în conformitate cu articolul 5 alineatul (2) din RGPD, operatorului îi revine sarcina de a dovedi că datele cu caracter personal sunt prelucrate în conformitate cu dispozițiile acestui regulament și că, în conformitate cu articolul 13 alineatul (1) litera (c) din regulamentul menționat, operatorul de date cu caracter personal este cel care trebuie să precizeze scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării.

53.

În primul rând, în conformitate cu articolul 6 alineatul (1) litera (b) din RGPD, prelucrarea datelor cu caracter personal este legală în măsura în care este necesară pentru executarea unui contract la care persoana vizată este parte ( 73 ).

54.

În această privință, amintim că noțiunea de „necesitate” nu este definită în legislația Uniunii, dar constituie totuși, conform jurisprudenței, o noțiune autonomă de drept al Uniunii ( 74 ). Pentru ca prelucrarea să fie necesară pentru executarea contractului, nu este suficient ca aceasta să fie efectuată cu ocazia executării contractului, să fie menționată în contract ( 75 ) sau chiar să fie pur și simplu utilă pentru executarea contractului ( 76 ). Potrivit jurisprudenței Curții, prelucrarea trebuie să fie necesară în mod obiectiv pentru executarea contractului, în sensul că nu trebuie să existe alte soluții realiste și mai puțin intruzive ( 77 ), luând în considerare de asemenea așteptările rezonabile ale persoanei vizate ( 78 ). Aceasta include de asemenea faptul că, în cazul în care contractul constă în mai multe servicii sau elemente distincte ale aceluiași serviciu care pot fi executate independent unul de celălalt, aplicabilitatea articolului 6 alineatul (1) litera (b) din RGPD trebuie evaluată separat în contextul fiecăruia dintre serviciile respective ( 79 ).

55.

În cadrul acestei justificări, instanța de trimitere menționează personalizarea conținuturilor și utilizarea uniformă și coerentă a produselor (sau mai degrabă a serviciilor) proprii ale grupului.

56.

În ceea ce privește personalizarea conținuturilor, considerăm că, deși o astfel de activitate poate fi, într‑o anumită măsură, în interesul utilizatorului, prin faptul că permite prezentarea, în special în „fluxul de știri”, a unui conținut care, conform unei evaluări automatizate, corespunde intereselor utilizatorului, nu este evident că aceasta este necesară și pentru prestarea serviciului de furnizare a rețelei sociale în discuție, astfel încât prelucrarea datelor cu caracter personal în aceste scopuri să nu necesite consimțământul utilizatorului respectiv ( 80 ). În scopul acestei examinări, trebuie luat în considerare și faptul că practica în litigiu nu constă în prelucrarea datelor referitoare la comportamentul utilizatorului în cadrul paginii sau al aplicației Facebook, ci a datelor provenite din surse externe și, prin urmare, potențial nelimitate. Prin urmare, ne punem întrebarea în ce măsură această prelucrare ar putea corespunde așteptărilor unui utilizator mediu și, mai general, care este „gradul de personalizare” pe care utilizatorul îl poate aștepta de la serviciul în care se înregistrează ( 81 ).

57.

În ceea ce privește utilizarea uniformă și coerentă a serviciilor proprii ale grupului, observăm că o legătură între diferitele servicii oferite de reclamanta din litigiul principal, de exemplu între Facebook și Instagram, poate fi într‑adevăr utilă pentru utilizator sau chiar uneori dorită de acesta. Totuși, avem îndoieli că prelucrarea datelor cu caracter personal provenite din alte servicii ale grupului (în special Instagram) este necesară pentru prestarea serviciilor Facebook ( 82 ).

58.

În al doilea rând, în conformitate cu articolul 6 alineatul (1) litera (f) din RGPD, prelucrarea datelor cu caracter personal este legală în măsura în care este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

59.

Potrivit jurisprudenței Curții, dispoziția în cauză prevede trei condiții cumulative pentru ca o prelucrare a datelor cu caracter personal să fie legală, și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor să nu prevaleze ( 83 ).

60.

În primul rând, în ceea ce privește urmărirea unui interes legitim, reamintim că RGPD și jurisprudența recunosc o gamă largă de interese considerate legitime ( 84 ), precizând în același timp că, în conformitate cu articolul 13 alineatul (1) litera (d) din RGPD, operatorului îi revine sarcina de a indica interesele legitime urmărite în contextul articolului 6 alineatul (1) litera (f) din RGPD ( 85 ).

61.

În al doilea rând, în ceea ce privește condiția referitoare la necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit, potrivit jurisprudenței Curții, derogările de la principiul protecției datelor cu caracter personal și restrângerile impuse acestuia trebuie să fie efectuate în limitele strictului necesar ( 86 ). Prin urmare, trebuie să existe o legătură strânsă între prelucrare și interesul urmărit, în absența unor alternative care să respecte mai bine protecția datelor cu caracter personal, nefiind suficient ca prelucrarea să aibă doar un caracter util pentru operator.

62.

În sfârșit, în ceea ce privește evaluarea comparativă a intereselor operatorului, pe de o parte, și a intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate, pe de altă parte, potrivit jurisprudenței Curții, revine instanței de trimitere sarcina de a realiza o punere în balanță a intereselor în joc ( 87 ). În plus, astfel cum se menționează în considerentul (47) al RGPD, în contextul acestei puneri în balanță, este esențial să se ia în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul și să se stabilească dacă persoana vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop.

63.

În cadrul acestei justificări, instanța de trimitere menționează personalizarea publicității, securitatea rețelei și îmbunătățirea produsului.

64.

În primul rând, în ceea ce privește personalizarea publicității, rezultă din considerentul (47) al RGPD că prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim al operatorului. Cu toate acestea, în ceea ce privește necesitatea prelucrării, trebuie remarcat faptul că datele în cauză provin din surse din afara Facebook și se pune, așadar, întrebarea care este „gradul de personalizare” a publicității care este necesar în mod obiectiv în această privință. În ceea ce privește evaluarea comparativă a intereselor aflate în joc, în opinia noastră, trebuie să se țină seama de natura interesului legitim în cauză (în speță, un interes pur economic), precum și de impactul prelucrării asupra utilizatorului, inclusiv așteptările rezonabile ale acestuia, și de eventualele măsuri de salvgardare puse în aplicare de operator ( 88 ).

65.

Considerații similare pot fi făcute, în continuare, în ceea ce privește securitatea rețelei. Într‑adevăr, în timp ce o astfel de justificare poate constitui un interes legitim al operatorului ( 89 ), este mai puțin evidentă concluzia că prelucrarea este necesară în speță, ținând seama și de faptul că datele în cauză provin din surse din afara Facebook ( 90 ). În orice caz, reamintim că este responsabilitatea operatorului să precizeze scopurile de securitate pe care se poate baza fiecare operațiune de prelucrare.

66.

În sfârșit, în ceea ce privește îmbunătățirea produsului, dacă sunt excluse îmbunătățirile legate de securitate, care se încadrează în justificarea specifică examinată mai sus, considerăm că o astfel de justificare ar trebui să fie mai degrabă în interesul utilizatorului decât cel al operatorului de date. Din această perspectivă, este dificil de înțeles în ce măsură îmbunătățirea produsului ar putea constitui un interes legitim al operatorului și ar putea eluda consimțământul utilizatorului. În ceea ce privește condiția necesității și evaluarea comparativă a drepturilor și intereselor aflate în joc, facem referire la considerațiile de mai sus.

67.

Cea de a patra întrebare preliminară, care constituie, în esență, o prelungire a celei de a doua părți a celei de a treia întrebări preliminare, impune să se stabilească dacă reapariția anumitor situații enumerate implică existența unui interes legitim în sensul articolului 6 alineatul (1) litera (f) din RGPD, în timp ce, prin intermediul celei de a cincea întrebări preliminare, instanța de trimitere solicită să se stabilească dacă necesitatea de a răspunde unei cereri valabile din punct de vedere legal de furnizare a anumitor date, cea de a combate comportamentele prejudiciabile și de a promova securitatea sau scopuri de cercetare în beneficiul societății și necesitatea de a promova protecția, integritatea și securitatea constituie justificări aplicabile practicii în litigiu ( 91 ).

68.

Indiferent de admisibilitatea acestor întrebări ( 92 ), considerăm că, în general, nu este exclus, în ceea ce privește cea de a patra întrebare preliminară, ca anumite clauze care caracterizează practica în discuție să poată fi justificate de interese legitime în împrejurările menționate de instanța de trimitere ( 93 ) și, în ceea ce privește cea de a cincea întrebare preliminară, ca, în anumite situații, practica în litigiu să poată fi justificată pe baza dispozițiilor menționate.

69.

Cu toate acestea, nu rezultă clar din decizia de trimitere dacă și în ce măsură Meta Platforms Ireland a indicat, pentru fiecare scop al prelucrării și tip de date prelucrate, care sunt interesele legitime urmărite în mod concret sau celelalte justificări care ar putea fi relevante în speță ( 94 ). Prin urmare, revine instanței de trimitere, având în vedere precizările anterioare, să examineze în ce măsură, în împrejurările menționate de această instanță, practica în litigiu este justificată de existența unor interese legitime ale Meta Platforms Ireland în ceea ce privește prelucrarea datelor în sensul articolului 6 alineatul (1) litera (f) din RGPD sau de o altă condiție dintre cele prevăzute la articolul 6 alineatul (1) literele (c), (d) și (e) din acest regulament.

70.

În concluzie, propunem să se răspundă la întrebările preliminare a treia-a cincea că articolul 6 alineatul (1) literele (b), (c), (d), (e) și (f) din RGPD trebuie interpretat în sensul că practica în litigiu sau unele dintre activitățile care o compun pot intra sub incidența excepțiilor prevăzute de aceste dispoziții, cu condiția ca fiecare modalitate de prelucrare a datelor examinată să îndeplinească condițiile prevăzute în justificarea prezentată în mod concret de operator și, prin urmare, ca:

71.

Prin intermediul celei de a șasea întrebări preliminare, instanța de trimitere solicită în esență să se stabilească dacă articolul 6 alineatul (1) litera (a) și articolul 9 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că un consimțământ valabil și liber, în sensul articolului 4 punctul 11 din acest regulament, poate fi acordat unei întreprinderi care deține o poziție dominantă pe piața națională a rețelelor sociale digitale pentru utilizatori privați.

72.

Cu titlu preliminar, reamintim că articolul 6 alineatul (1) litera (a) și articolul 9 alineatul (2) litera (a) din RGPD prevăd obligația consimțământului persoanei vizate, în ceea ce privește prelucrarea datelor cu caracter personal în general și, respectiv, prelucrarea datelor sensibile cu caracter personal. În plus, în conformitate cu articolul 4 punctul 11 din RGPD, în sensul acestui regulament, „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate ( 95 ).

73.

În ceea ce privește în special condiția „libertății” consimțământului, care este singura contestată în speță, observăm că, în conformitate cu considerentul (42) al RGPD, consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere ( 96 ) sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată ( 97 ). În plus, astfel cum se prevede la articolul 7 alineatul (1) din RGPD [și se amintește în considerentul (42) al acestuia], în cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul trebuie să fie în măsură să demonstreze că această persoană și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

74.

În măsura în care este relevant în speță, reamintim, în primul rând, că, astfel cum se subliniază în considerentul (43) prima teză al RGPD, consimțământul nu constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal atunci când există un „dezechilibru evident” între persoana vizată și operator ( 98 ), în continuare, că, în conformitate cu articolul 7 alineatul (4) din RGPD, atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de împrejurarea dacă, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract ( 99 ) și, în sfârșit, că, în conformitate cu cea de a doua teză a considerentului (43) al RGPD, consimțământul este considerat de asemenea a nu fi fost acordat în mod liber în cazul în care nu se poate acorda un consimțământ separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular ( 100 ).

75.

În prezenta cauză, considerăm că o eventuală poziție dominantă pe piață a operatorului de date cu caracter personal care exploatează o rețea socială joacă un rol în aprecierea existenței unui consimțământ liber din partea utilizatorului rețelei respective. Într‑adevăr, existența unei situații de poziție dominantă de piață a operatorului de date cu caracter personal este susceptibilă să creeze un dezechilibru manifest în raporturile de forțe, în sensul indicat la punctul 74 din prezentele concluzii ( 101 ). Cu toate acestea, trebuie precizat, pe de o parte, că, pentru ca o astfel de situație de poziție dominantă pe piață să fie relevantă din perspectiva aplicării RGPD, aceasta nu trebuie asimilată în mod necesar cu pragul unei poziții dominante în sensul articolului 102 TFUE ( 102 ) și, pe de altă parte, că doar această împrejurare nu poate, în principiu, să priveze un consimțământ de orice valabilitate ( 103 ).

76.

Prin urmare, validitatea unui consimțământ va trebui să fie examinată de la caz la caz, în lumina celorlalți factori menționați la punctele 73 și 74 din prezentele concluzii și luând în considerare toate împrejurările cauzei, precum și faptul că sarcina de a dovedi că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal revine operatorului.

77.

În concluzie, propunem să se răspundă la cea de a șasea întrebare preliminară că articolul 6 alineatul (1) litera (a) și articolul 9 alineatul (2) litera (a) din RGPD trebuie interpretate în sensul că simpla împrejurare că întreprinderea care exploatează o rețea socială se bucură de o poziție dominantă pe piața națională a rețelelor sociale digitale pentru utilizatori privați nu poate, prin ea însăși, să lipsească consimțământul utilizatorului rețelei respective pentru prelucrarea datelor sale cu caracter personal de valabilitate în sensul articolului 4 punctul 11 din RGPD. Totuși, o asemenea împrejurare joacă un rol în aprecierea libertății consimțământului în sensul acestei dispoziții, pe care operatorul trebuie să o demonstreze, ținând seama, dacă este cazul, de existența unui dezechilibru vădit al raporturilor de forță între persoana vizată și operator, de eventuala obligație de a consimți la prelucrarea datelor cu caracter personal, altele decât cele strict necesare pentru prestarea serviciilor în cauză, de necesitatea ca consimțământul să fie specific pentru fiecare scop al prelucrării și de necesitatea de a evita ca retragerea consimțământului să cauzeze un prejudiciu utilizatorului care își retrage consimțământul.

78.

Având în vedere considerațiile menționate anterior, propunem Curții să răspundă la întrebările preliminare adresate de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) după cum urmează: