En vue notamment de l’affichage de publicités ciblées, la société Meta Platforms Ireland (qui gère le réseau social en ligne Facebook) collecte des informations sur les activités de ses utilisateurs, tant à l’intérieur qu’à l’extérieur du réseau social, et les met en relation avec le compte Facebook de l’utilisateur concerné. Les données relatives aux activités en dehors du réseau social proviennent, d’une part, de la consultation de pages internet et d’applications tierces reliées à Facebook à travers des interfaces de programmation et, d’autre part, de l’utilisation des autres services en ligne appartenant au groupe Meta (dont Instagram et WhatsApp). Dans ce cadre, Meta utilise notamment des « social plugins », qui sont insérés dans leurs sites par des exploitants de sites internet tiers, le plus répandu étant le bouton « J’aime » de Facebook. Lors de chaque consultation des pages contenant ce bouton, les « cookies » sont installés sur l’appareil de l'utilisateur et Meta reçoit l’URL de la page consultée, l’heure et l’adresse IP utilisée. Il n’est pas nécessaire que l’utilisateur ait cliqué sur le bouton « J’aime » de la page, le simple fait de la visualiser suffisant à collecter les données.
Ayant commencé à recevoir des publicités ciblées basées sur son orientation politique ou sexuelle après avoir visité des pages de partis politiques destinées à un public homosexuel qui contenait ces « plugins », et alors même qu’il n’avait pas partagé de données relatives à sa vie privée sur son compte Facebook, un utilisateur du réseau social agit contre Meta, lui reprochant notamment d’avoir traité ses données collectées sur Facebook, ou reçues de tiers, sans avoir obtenu un consentement valable (Règl. UE 2016-679 du 27-4-2016, dit « RGPD », art. 6, 1 et 7) et d’avoir traité des données sensibles sans son consentement (RGPD art. 9).
Pour Meta, au contraire, le traitement opéré est licite car il ne repose pas sur le consentement de l’utilisateur, mais sur le caractère nécessaire de ce traitement aux fins de l’exécution du contrat conclu entre elle et l’utilisateur. Elle soutient de plus que l’intéressé a évoqué son homosexualité dans une table ronde publique diffusée sur YouTube et sous forme de podcast, de sorte que cette information aurait « manifestement » été rendue publique et pourrait faire l’objet d’un traitement en dépit de son caractère sensible.
Interrogée sur ces points, la CJUE y apporte les réponses suivantes.
La collecte de l’ensemble des données de l’utilisateur du réseau social, de façon indiscriminée, tant sur ce réseau qu’en dehors de celui-ci, et sans limitation de durée contrevient au principe de minimisation, qui implique que la collecte porte sur des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (RGPD art. 5, 1-c). En l’occurrence, la collecte portait sur les activités de l’utilisateur tant sur le réseau social qu’en dehors de celui-ci, ce qui revient à surveiller la quasi-totalité de son activité sur internet.
Par ailleurs, la déclaration publique de l’utilisateur sur son orientation sexuelle constitue bien un acte par lequel l’intéressé a rendu cette information publique en connaissance de cause, justifiant ainsi l’exception de l’article 9, 2-e du RGPD. Cependant, cette circonstance ne justifie pas la collecte d’autres données à caractère personnel se rapportant à son orientation sexuelle.
A noter :
1° Il a été jugé que le fait que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux ne fait pas obstacle à ce que ses utilisateurs puissent donner un consentement valable, au sens de l’article 4, 1 du RGPD, au traitement de leurs données personnelles. Ainsi, l’alternative offerte par la société Meta aux utilisateurs de Facebook de souscrire un abonnement payant ou de consentir au traitement de leurs données personnelles à des fins de publicité ciblée est acceptable, mais il appartient à l’opérateur d’apporter la preuve d’un consentement donné librement (CJUE 4-7-2024 aff. 252/21). Dans tous les cas, cela ne dispense par l’opérateur de prouver qu’il a respecté les autres obligations posées par le RGPD, notamment l’obligation de minimisation des données.
2° On sait que le RGPD interdit le traitement de certaines données personnelles « sensibles », comme les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ainsi que des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique. Dans le cas d’un traitement de données personnelles effectué par un réseau social, est interdit le traitement de données qui permettent de révéler des informations relevant d’une des catégories précitées de données sensibles. Cette interdiction de principe ne s’applique pas lorsque le traitement porte sur des données qui sont « manifestement rendues publiques par la personne concernée » (art. 9, 1 et 2-e). Il a par exemple été jugé que la collecte de données issues de sites de rencontres pour homosexuels et de sites de partis politiques relève bien de l’interdiction de cette collecte au titre de l’article 9, 1 du RGPD. La simple consultation de tels sites ne constitue pas un acte par lequel l’intéressé rend ces informations publiques (CJUE 4-7-2024 aff. 252/21).
