1. « No harm no foul »
En 2017, une société de droit autrichien a collecté des informations sur les affinités politiques de la population autrichienne. Par voie d’extrapolation statistique, la société a déduit une affinité élevée de la personne ayant formé le recours (requérant) avec un certain parti politique autrichien. Même si les données n’ont pas été transmises à des tiers, le requérant n’avait pas consenti au traitement de ses données à caractère personnel.
La juridiction autrichienne saisie en premier lieu a fait droit à la demande de cessation du traitement de données, mais a rejeté la demande d’indemnisation au titre du préjudice moral : « le fait que des données relatives à ses supposées opinions politiques aient été conservées au sein de cette société aurait suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation. Il ressort de la décision de renvoi qu’aucun préjudice autre que ces atteintes à caractère temporaire et d’ordre émotionnel n’a été constaté. »
Le requérant a alors formé un recours devant la Cour de justice de l’Union européenne (CJUE).
Une des questions posées à la CJUE était : une violation des dispositions du RGPD suffit-elle pour allouer des dommages et intérêts en vertu de l’article 82 du RGPD ?
La CJUE rappelle dans son arrêt du 4 mai 2023[1] que l’art. 82 paragraphe 1 du RGPD dispose que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
- Ainsi, l’existence d’un dommage pour la personne concernée est l’une des conditions du droit à réparation, tout comme l’existence d’une violation du RGPD (faute) et d’un lien de causalité entre le dommage et la faute, ces trois conditions étant cumulatives.
- Toute violation du RGPD ne peut donc conférer à elle seule un droit à réparation au profit de la personne concernée.
2. L’anonymat et l’IA, un mauvais combo ?
L’anonymisation n’est pas obligatoire selon le RGPD mais constitue une méthode intéressante pour pouvoir conserver et exploiter des données personnelles au-delà de leur durée de conservation, sans risque pour les personnes concernées.
La CNIL définit l’anonymisation[2] comme « un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. » Le responsable de traitement qui anonymise doit démontrer que le risque de ré-identification de la personne est nul[3].
Selon les autorités de protection, 3 critères permettent de juger de l’efficacité de l’anonymisation :
- Impossibilité d’individualiser/isoler l’individu dans un jeu de données ;
- Impossibilité de corréler des jeux de données distincts sur ce même individu ;
- Impossibilité de déduire de nouvelles informations sur l’individu.
Or, il apparaît de plus en plus difficile d’assurer une anonymisation des données personnelles lorsque sont collectées en parallèle des données trouvées en ligne (via notamment le web scraping[4]). Les données publiques collectées séparément peuvent conduire à la réidentification de la personne si elles sont croisées avec les données « anonymisées », avec l’usage de techniques d’IA[5].
- Dans un arrêt du 26 avril 2023[6], le Tribunal de l’Union européenne a jugé que des données personnelles entre les mains d’une entreprise peuvent être des données anonymes entre les mains d’une autre entreprise, selon que l’entreprise est détentrice ou non de données complémentaires permettant de réidentifier la personne concernée.
3. Abus de position dominante du fait d’une violation du RGPD : le croisement du RGPD et du droit de la concurrence
En 2019, la société Meta a été jugée pour avoir abusé de sa position dominante sur le marché allemand des réseaux sociaux par ses pratiques de collecte de données.
En effet, le modèle économique de Facebook étant basé sur le financement par la publicité en ligne ciblée, l’acceptation des conditions d’utilisation de Facebook est indispensable pour utiliser le réseau social. Or, les conditions prévoient la collecte des données « off Facebook » à partir d’autres services du groupe Meta (Instagram et Whatsapp notamment) et via des sites ou applications de tiers (sites web comportant le bouton « J’aime » ou « Partager sur Facebook »).
L’autorité allemande de la concurrence a jugé qu’il ne pouvait y avoir de consentement valable de la part des utilisateurs dès lors que le consentement est une condition sine qua none pour utiliser le réseau social, alors en position dominante sur le marché. Une violation du RGPD constituait donc une pratique anticoncurrentielle selon l’autorité allemande.
La CJUE, saisie par la suite, a considéré que[7] :
- Dans le cadre de l’examen d’un abus de position dominante de la part d’une entreprise, il peut s’avérer nécessaire pour l’autorité de la concurrence de l’État membre concerné d’examiner la conformité du comportement de cette entreprise à des normes autres que celles relevant du droit de la concurrence, telles que les règles prévues par le RGPD. Dans ce cas, les autorités de la concurrence nationales doivent se concerter et coopérer loyalement avec les autorités veillant au respect du RGPD.
- La position dominante d’un opérateur d’un réseau social en ligne ne fait pas nécessairement obstacle au consentement libre, spécifique, éclairé et univoque des utilisateurs mais peut affecter la liberté de choix des utilisateurs. Il s’agit donc d’un élément important à prendre en compte. En l’espèce, les utilisateurs devaient pouvoir refuser le traitement de données « off Facebook » sans pour autant renoncer totalement à utiliser le réseau.
Cette affaire illustre la possibilité de prendre en compte une violation du RGPD comme indice pour démontrer un abus de position dominante.
Notes et références
[1] CJUE, 4 mai 2023, UI contre Osterreichische Post AG, affaire C-300/21.
[2] L’anonymisation ne doit pas être assimilée à la pseudonymisation, qui consiste à remplacer les données directement identifiantes par des données indirectement identifiantes (matricule interne plutôt que nom et prénom). La pseudonymisation permet de retrouver l’identité de la personne concernée.
[3] Avis 05/2014 sur les techniques d’anonymisation adopté le 10 avril 2014 par le Groupe de travail « Article 29 »
[4] Extraction de données présentes sur le web, souvent de manière automatisée via des bots. Le web scraping n’est pas de l’intelligence artificielle en soi, mais peut être utilisé avec des techniques d’apprentissage automatique (IA) pour analyser les données collectées, extraire des informations utiles, classer des documents, prendre des décisions automatisées, etc.
[5] L’intelligence artificielle est définie par la CNIL comme un « procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies. » Au-delà de l’automatisation, une grande promesse de l’IA est l’« autonomisation » de la machine : l’algorithme peut apprendre par lui-même à partir de bases de données existantes (machine learning), identifier les récurrences, créer des modèles de raisonnement et prendre des décisions sans intervention humaine (deep learning).
[6] Tribunal de l’Union européenne, 26 avril 2023, affaire T-557/20
[7] CJUE, 4 juillet 2023, Meta contre Bundeskartellamt, affaire C-252/21