FYTT #CJUE Arrêt du 4 octobre 2024 │ 4ème Chambre│ C‑446/21 │Traitement portant sur des catégories particulières de données à caractère personnel │ Données concernant l’orientation sexuelle │ Données rendues publiques par la personne concernée

Cour de Justice de l'Union Européenne

Arrêt du 4 octobre 2024 │ 4ème Chambre │ C‑446/21 │Traitement portant sur des catégories particulières de données à caractère personnel │ Données concernant l’orientation sexuelle │ Données rendues publiques par la personne concernée

Principe de minimisation des données (art. 5, §1, c) : la Cour a déclaré contraire au RGPD la collecte indifférenciée et illimitée dans le temps de données personnelles à des fins publicitaires

L’article 5, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

Même si une donnée sensible est rendue publique par un utilisateur, cela ne confère pas un droit automatique à son traitement par des tiers. Toute exploitation connexe doit être limitée à la finalité directement accessible et nécessiter un consentement explicite.

L’article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.



CJUE Arrêt du 4 octobre 2024 │ 4ème Chambre │ C‑446/21 │Traitement portant sur des catégories particulières de données à caractère personnel │ Données concernant l’orientation sexuelle │ Données rendues publiques par la personne concernée

 


L’affaire oppose Maximilian Schrems, défenseur notoire des droits en matière de protection des données personnelles, à  Meta Platforms Ireland. Ce litige s’inscrit dans la continuité des précédentes actions juridiques engagées par Schrems contre Meta, qui ont déjà conduit à des arrêts majeurs de la Cour de justice de l’Union européenne (CJUE), notamment les affaires Schrems I et II, impactant les transferts transatlantiques de données.

Les faits spécifiques de l’affaire ayant conduit aux poursuites sont les suivants :

1. Collecte et traitement extensifs des données : Meta collecte et traite les données personnelles de Schrems, non seulement sur sa plateforme mais aussi en dehors, via des “cookies”, des “social plugins” (comme le bouton “J’aime”) et des “pixels” intégrés sur des sites tiers. Ces outils permettent à Meta de suivre l’activité de Schrems sur internet, même lorsqu’il n’est pas connecté à Meta.

2. Publicité ciblée : Meta utilise ces données pour créer un profil détaillé de Schrems, y compris des informations sensibles comme ses opinions politiques et son orientation sexuelle, afin de lui proposer de la publicité personnalisée. Par exemple, Schrems a reçu des publicités pour des événements ciblant les personnes homosexuelles, bien qu’il n’ait jamais explicitement indiqué son orientation sexuelle sur son profil Meta.

3. Traitement de données sensibles : Meta traite des données relatives aux convictions politiques de Schrems, comme son intérêt pour certains partis politiques (“Die Grünen”, “neos”) et lui a présenté des publicités pour des politiciens spécifiques sur la base de ces données.

4. Absence de consentement explicite : Schrems argue que Meta traite ces données sensibles sans avoir obtenu son consentement explicite, comme l’exige le RGPD pour ce type de données.

5. Déclaration publique de Schrems : Lors d’une table ronde publique organisée par la représentation de la Commission européenne en Autriche le 12 février 2019, Schrems a mentionné son orientation sexuelle. Cette déclaration est au cœur d’un débat juridique sur la notion de “données manifestement rendues publiques” au sens du RGPD.

6. Modèle économique de Meta : Schrems conteste le modèle économique de Meta qui repose sur la monétisation des données personnelles des utilisateurs en échange de services gratuits. Il remet en question la validité du fondement juridique invoqué par Meta pour justifier ce traitement massif de données personnelles.

7. Impossibilité de supprimer certaines données : Schrems soulève également le problème de l’impossibilité de supprimer certaines de ses données personnelles de la plateforme sans fermer complètement son compte.

Ces circonstances ont conduit Schrems à intenter une action en justice devant les tribunaux autrichiens, contestant la licéité du traitement de ses données personnelles par META et demandant une clarification sur l’interprétation de plusieurs dispositions clés du RGPD.

 


QUESTION(S) PREJUDICIELLE(S) │ SYNTHESE

Suite à ces contestations, la Cour suprême autrichienne, l’Oberster Gerichtshof, a posé quatre questions préjudicielles à la Cour de justice de l’Union européenne (CJUE) pour interpréter plusieurs dispositions clés du RGPD.

1. Base légale et nécessité contractuelle (Article 6, paragraphe 1, sous b))
La question centrale est de savoir si la personnalisation publicitaire peut être considérée comme nécessaire à l’exécution du contrat liant Meta à ses utilisateurs. La juridiction de renvoi souhaite clarifier :
– Si Meta peut invoquer l’article 6(1)(b) du RGPD pour justifier la collecte massive de données sans exiger de consentement supplémentaire ;
– Si la personnalisation commerciale est une finalité essentielle ou simplement accessoire du contrat.

Sur ce point, il est à rappeler que le Comité européen de la protection des données (CEPD) avaitdéjà indiqué dans ses lignes directrices que la personnalisation publicitaire n’est généralement pas considérée comme nécessaire à l’exécution d’un contrat, ce qui remet en cause l’argument de Meta.

2. Minimisation des données et limitation des finalités (Article 5, paragraphe 1, sous b et c))
La Cour doit déterminer si la collecte exhaustive des données des utilisateurs, y compris celles de tiers, respectent les principes de :
– Minimisation des données : seules les données strictement nécessaires devraient être collectées ;
– Limitation des finalités : les données ne doivent pas être détournées de leur finalité initiale.

Meta semble contrevenir à ces principes en agrégeant et en exploitant des données sans limitation claire ni distinction selon leur nature.

3. Traitement des données sensibles (Article 9 du RGPD)
La CJUE doit préciser :
– Si le traitement indirect de données sensibles (par exemple, déduire une orientation sexuelle à partir du comportement en ligne) est soumis aux restrictions de l’article 9(1) du RGPD.
– Si le fait qu’une personne ait exprimé publiquement une donnée sensible (comme Schrems lors de la table ronde) autorise son traitement ultérieur à des fins publicitaires.

L’enjeu est de savoir dans quelles conditions les données personnelles rendues publiques restent protégées.

4. Validité des consentements couplés (Articles 6 et 7 du RGPD)
Schrems fait valoir que son consentement, tel qu’exigé par Meta pour accepter les CGU et accéder à la plateforme, n’est ni libre ni éclairé, ce qui le rend invalide selon l’article 7(4) du RGPD. La Cour doit clarifier si l’accès à un service essentiel peut être subordonné à l’acceptation d’un traitement massif de données.

Après avoir reçu la décision de la Cour (CJUE) du 4 juillet 2023 dans une autre affaire concernant Meta (affaire C‑252/21, Meta Platforms e.a.), la juridiction autrichienne a partiellement retiré deux questions. Lui restaient donc à trancher les points concernant:
Le respect (ou non) du principe de minimisation des données (question 2).
L’impact sur l’article 9, paragraphe 2, point e) RGPD, du fait que M. Schrems a lui-même déclaré publiquement être homosexuel lors d’une table ronde accessible au public (question 4).

° Base légale de traitement : « consentement » ou « nécessité contractuelle » ?

Une première problématique dans le litige, telle qu’initialement posée (mais finalement retirée au regard de l’arrêt C-252/21, Meta Platforms e.a.), concernait la licéité du recours à l’article 6, paragraphe 1, point b), RGPD (exécution d’un contrat) en lieu et place du consentement (art. 6, §1, a) RGPD), pour justifier un traitement de données très large, à des fins de publicité ciblée. M. Schrems faisait valoir que l’usage de la publicité personnalisée n’est pas intrinsèquement « nécessaire » à l’exécution du contrat, la CJUE ayant, dans d’autres affaires, rappelé que l’article 6, §1, b), doit être interprété de manière restrictive.

Bien que la Cour ait déjà tranché cette question dans l’arrêt du 4 juillet 2023 (C-252/21, Meta Platforms e.a.), elle demeure toutefois en toile de fond : Meta soutenait que le traitement de données à des fins publicitaires découle du contrat d’utilisation et serait nécessaire à l’exécution de celui-ci ; M. Schrems arguait au contraire qu’un tel traitement (surtout pour des données potentiellement sensibles ou issues de tiers) exigerait un consentement conforme à l’article 7 RGPD.

° Portée du principe de « minimisation des données » (article 5, §1, c) RGPD)

La question maintenue portait sur la possible violation du principe de minimisation des données : Meta agrège et analyse potentiellement « toutes » les données obtenues, sans distinction de leur sensibilité, ni aucune limite de durée, afin de dispenser une publicité ciblée dédiée.

La CJUE est donc invitée à dire si l’on peut, au regard de l’article 5, §1, point c), « collecter, agréger, analyser et traiter sans limite temporelle ni différenciation en fonction de la nature des données, l’ensemble des données » dont dispose la plateforme (y compris des données obtenues via des cookies/plugin sur d’autres sites).

° Traitement de données sensibles (article 9, §1 RGPD)

Une autre question centrale : Meta traitant l’orientation sexuelle supposée de M. Schrems, ce dernier s’est interrogé sur la possible violation de l’interdiction de principe (article 9, §1, RGPD). Les données en cause permettent de déduire une orientation (par exemple, ciblage publicitaire et invitations à des événements pour personnes homosexuelles). Or l’article 9, §1, RGPD interdit, sauf dérogations, tout traitement de données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne.

La juridiction de renvoi se demandait, d’une part, si l’utilisateur avait « manifestement rendu publiques » ces données, au sens de l’article 9, §2, e), RGPD. En effet, M. Schrems avait évoqué son orientation sexuelle lors d’une table ronde publique, diffusée en streaming et accessible en replay. Mais peut-on en déduire que la plateforme est autorisée à traiter n’importe quelles autres données relatives à cette orientation sexuelle ?

 


MOTIVATION DE LA COUR

A. Sur le principe de minimisation des données (article 5, §1, c) RGPD)

1. Portée générale du RGPD et principes directeurs
La Cour réaffirme que tout traitement de données doit respecter les principes figurant à l’article 5 RGPD, notamment la finalité (b) et la minimisation (c). Par conséquent, même si l’article 6, §1, b) (nécessité contractuelle) est jugé applicable, il faut encore, en plus, que le principe de proportionnalité/minimisation soit assuré.

2. Données potentiellement illimitées
La Cour souligne – comme déjà fait dans l’arrêt C‑252/21 (2023) – que la collecte généralisée et l’agrégation intensive de données d’utilisateurs (y compris en dehors de la plateforme), pour suivre un maximum d’activités en ligne, créent une ingérence grave dans la vie privée protégée par l’article 7 de la Charte et dans la protection des données (article 8 de la Charte). Si Meta veut justifier un tel traitement, elle doit, selon l’article 5 RGPD, en démontrer la nécessité, la proportionnalité et la mise en balance.

3. Limitation dans le temps
Concernant la durée de conservation, la Cour rappelle que l’article 5, §1, e) (limitation de conservation) exige une conservation « pendant une durée n’excédant pas celle nécessaire » aux finalités annoncées. Une durée illimitée d’utilisation de l’ensemble des données, sans critère d’effacement ou d’archivage, est contraire à la minimisation des données.
> La Cour en déduit qu’« une conservation, pour une période illimitée, des données à caractère personnel des utilisateurs d’une plateforme à des fins de publicité ciblée doit être considérée comme une ingérence disproportionnée ».

4. Distinction par « nature » des données
La Cour pointe également l’absence, dans le modèle de Meta, de distinction selon le degré de sensibilité des informations personnelles. Or l’article 5, §1, c) et l’article 25, §2, RGPD exigent un paramétrage protecteur par défaut (« privacy by default ») : seules les données « nécessaires au regard de chaque finalité spécifique » doivent être traitées. Le fait de tout récupérer, sans distinguer si un utilisateur navigue sur un site anodin ou sur un site révélant ses convictions politiques, orientations sexuelles, etc., suscite une tension profonde avec la minimisation.

En conclusion, la Cour répond que le principe de minimisation (article 5, §1, c) RGPD) « s’oppose à ce que l’ensemble des données à caractère personnel, obtenues de la personne concernée ou de tiers, collectées sur la plateforme ou en dehors, soient agrégées et analysées à des fins publicitaires, sans limitation temporelle ni différenciation selon la nature des données ».

B. Sur le traitement de données « sensibles » et l’article 9, §2, e) RGPD

1. Rappel de la règle et des dérogations
L’article 9, §1 RGPD prohibe, par principe, le traitement de données « sensibles » (incluant la vie sexuelle ou l’orientation sexuelle). Le paragraphe 2 énumère diverses dérogations, dont celle de l’alinéa (e), prévoyant que l’interdiction ne s’applique pas si la personne concernée a « manifestement rendu publiques » de telles données. C’est à interpréter strictement.

2. Déclaration publique de M. Schrems
M. Schrems, lors d’une table ronde publique le 12 février 2019, aurait mentionné son homosexualité pour illustrer son propos critique sur le traitement de données par Facebook. La Cour n’exclut pas que cette mention volontaire, dans un contexte ouvert au public, revienne à rendre publique cette donnée particulière. Mais la conséquence est strictement circonscrite :
> Une fois l’intéressé ayant manifestement rendu publique une information précise, cette information-là échappe à l’interdiction de l’article 9, §1 (sous réserve que le traitement respecte par ailleurs les autres principes du RGPD).
En revanche, cela ne saurait légitimer le traitement d’« autres » données également relatives à la sexualité ou à l’orientation sexuelle d’une personne. De même, déclarer publiquement un fait n’équivaut pas à consentir (article 9, §2, a) RGPD) au traitement par un tiers de toute autre donnée associée.

En conclusion, la Cour précise que le seul fait d’avoir rendu publique une mention relative à l’orientation sexuelle n’autorise pas la plateforme à collecter, agréger et analyser d’autres données relatives à cette orientation, y compris celles obtenues via des sites tiers, pour réaliser de la publicité ciblée.

En d’autres termes, l’arrêt C-446/21 confirme fermement trois principes forts:

1. La « gratuité » d’une plateforme n’exonère pas du respect rigoureux de la minimisation des données.
2. Avoir « rendu publique » une donnée sensible n’empêche pas sa protection pour les autres facettes de la vie privée.
3. Toute agrégation massive, illimitée et indifférenciée de données à des fins publicitaires soulève un sérieux risque de non-conformité au RGPD.

 


PRECEDENTS JURISPRUDENTIELS D’INTERET

Ce dernier épisode du contentieux Schrems v. Meta (C‑446/21) fait appel à la jurisprudence passée source de nombreux précédents, à savoir:

Arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537 : important pour la question de savoir si la base légale « nécessité contractuelle » (art. 6, §1, b) RGPD) peut justifier la publicité ciblée; les point 69 et s. de cet arrêt traitent aussi de l’article 9, §1 RGPD et de l’interdiction (hors dérogations).

Arrêt du 25 janvier 2018, Schrems, C‑498/16, EU:C:2018:37: porte sur la compétence des juridictions autrichiennes et la légitimité d’ester en justice.

Arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773: montre la sensibilité des données relevant de la catégorie « spéciale » et souligne l’interprétation stricte des exceptions.

Arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805.:  rappelle que les principes énoncés à l’article 5 RGPD (y compris minimisation des données) sont cumulatifs et que le responsable du traitement doit démontrer leur respect (« principe de responsabilité »).

Arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022.: explique la logique d’indépendance entre les dérogations de l’article 9, §2, RGPD.

Arrêt du 11 juillet 2024, Meta Platforms Ireland (Action représentative), C‑757/22, EU:C:2024:598: traite aussi d’aspects procéduraux et de l’effet horizontal des droits issus du RGPD.

Arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124.: expose l’exigence de proportionnalité en lien avec la durée de conservation.

Arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958.: affine la question de la durée de traitement et du principe de minimisation.

Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504.

Tous ces arrêts abordent, sous différents angles, la portée de l’article 5 RGPD (principes de licéité, minimisation, limitation de la conservation), l’articulation avec l’article 6 RGPD (bases légales) et l’interdiction de principe de traiter des données sensibles (article 9 RGPD).