La CJUE a rendu son jugement (contre Meta) :
- Dans le cadre d'une enquête pour abus de position dominante, une autorité de la concurrence peut examiner les pratiques de l'entité contrôlée sous le prisme du RGPD lorsque ce constat est nécessaire pour établir l'abus (de position dominante) ;
- Une autorité de la concurrence ne peut pas sanctionner les manquements au RGPD autrement que sous le prisme du droit de la concurrence, cela reste de la compétence des APD. Elle ne peut pas diverger des décisions identiques ou similaires rendues par les APD ;
- Une position dominante ne fait pas obstacle à la base légale du consentement, mais c'est un élément pour apprécier s'il a été donné librement et valablement (la charge est au responsable du traitement) ;
- Les boutons « like » ou « partager » sur un site web, y compris leur activation, ne signifient pas que l'internaute rend manifestement publiques les données sensibles (origine raciale ou éthique, opinions politiques, convictions religieuses, orientation sexuelle, etc.) contenues sur le site web, sauf s'il a, au préalable, activé un paramètre visant à rendre ces données publiquement accessibles à un nombre illimité de personnes ;
- La pub personnalisée n'empêche pas l'objet principal d'un contrat d'être atteint, donc sa base légale ne peut pas être la nécessité pour exécuter un contrat. De même, les bases légales de sauvegarde des intérêts vitaux (avec le suivi de la pandémie Covid, c'était bien tenté), de l'obligation légale et de la mission d'intérêt public (car FB prétend effectuer des « recherche[s] pour le bien de la société ») ne sont pas adaptées ;
- Concernant l'intérêt légitime :
- La publicité personnalisée ne peut pas être fondée sur l'intérêt légitime, surtout que le traitement de FB est étendu (la quasi-totalité des activités en ligne sont prises en compte). Suivant le point précédent, cela signifie qu'il reste uniquement le consentement ;
- Garantir la sécurité du réseau peut être fondé sur cette base légale, sous réserve que les données soient effectivement nécessaires, s'il n'y a pas moyen de faire moins attentatoire et/ou avec moins de données ;
- L'amélioration du service peut reposer sur cette base légale, là encore sous réserve de l'ampleur du traitement, et des autres paramètres de l'intérêt légitime.
Communiqué de presse ici.
Décision là.
Via https://twitter.com/bayartb/status/1676223642626142208.