En matière de protection des données personnelles, le RGPD dispose que chaque Etat membre doit nommer une ou plusieurs autorités publiques indépendantes chargées d’assurer l’application du Règlement (articles 4, 51 et 55).
Doit-on en déduire que les régulateurs nationaux attachés à la protection de secteurs économiques spécifiques ne peuvent prononcer de sanctions sur le fondement de la protection des données personnelles ?
Un début de réponse pourrait émerger de la décision que le tribunal constitutionnel fédéral allemand sera amené à rendre dans une affaire opposant Facebook à l’Office Fédéral de Lutte contre les Cartels (Bundeskartellamt).
A l’issue d’une enquête sur les pratique de Facebook en matière de traitement des données personnelles de ses utilisateurs, et des conséquences de ce traitement sur le marché des réseaux sociaux, l’Office a condamné Facebook pour abus de position dominante.
Les conclusions provisoires de l’enquête, rendues publiques le 7 février 2019, soulignent quatre points essentiels :
Facebook est en position dominante sur le marché des réseaux sociaux en Allemagne ;
ses activités sont caractérisées par un abus de cette position dominante ;
cet abus de position dominante est rendu possible par la collecte massive des données de ses utilisateurs ;
la combinaison des conditions de la collecte des données et de la position dominante de Facebook entraine une violation de la réglementation européenne en matière de données personnelles.
Pour l’Office, Facebook recueille les données personnelles des utilisateurs de ses applications et des sites tiers sans consentement explicite de leur part. Parmi les applications et les sites tiers visés, on retrouve la messagerie WhatsApp, mais également des sites Internet équipés entre autre du bouton « j’aime ». Facebook peut dès lors collecter des informations dès que les détenteurs de comptes Facebook y accèdent.
L’Office avait ordonné que les données ainsi collectées ne soient plus automatiquement agrégées au compte Facebook des personnes concernées sans consentement exprès et préalable desdites personnes. Par ailleurs, les services tiers permettant une connexion, des commentaires ou des réactions via le profil Facebook des visiteurs devaient également obtenir un consentement exprès et préalable avant de transférer leurs données à Facebook.
Facebook disposait de douze mois pour adapter ses conditions de service et son traitement des données. Des solutions techniques répondant aux exigences du RGPD devaient être soumises au régulateur sous quatre mois.
Facebook a cependant fait appel de cette décision au motif que le Bundeskartellamt ne serait pas compétent pour appliquer le RGPD. Facebook soutenant que l’autorité compétente était l’autorité irlandaise de protection des données personnelles.
Un récent jugement du Tribunal régional de Dusseldorf a cependant décidé de suspendre la sanction prononcée par le régulateur allemand. Le Bundeskartellamt ayant annoncé faire appel de la décision devant tribunal constitutionnel fédéral une décision définitive ne sera pas rendue avant plusieurs années.
Surle même sujet:
Protection des données personnelles : Facebook mis en cause par plusieurs États de l’UE
Facebook peut-elle transférer les données de ses utilisateurs vers les Etats-Unis ?