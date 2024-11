En vue notamment de l’affichage de publicités ciblées, la société Meta Platforms Ireland (qui gère le réseau social en ligne Facebook) collecte des informations sur les activités de ses utilisateurs, tant à l’intérieur qu’à l’extérieur du réseau social, et les met en relation avec le compte Facebook de l’utilisateur concerné. Les données relatives aux activités en dehors du réseau social proviennent, d’une part, de la consultation de pages internet et d’applications tierces reliées à Facebook à travers des interfaces de programmation et, d’autre part, de l’utilisation des autres services en ligne appartenant au groupe Meta (dont Instagram et WhatsApp). Dans ce cadre, Meta utilise notamment des « social plugins », qui sont insérés dans leurs sites par des exploitants de sites internet tiers, le plus répandu étant le bouton « J’aime » de Facebook. Lors de chaque consultation des pages contenant ce bouton, les « cookies » sont installés sur l’appareil de l'utilisateur et Meta reçoit l’URL de la page consultée, l’heure et l’adresse IP utilisée. Il n’est pas nécessaire que l’utilisateur ait cliqué sur le bouton « J’aime » de la page, le simple fait de la visualiser suffisant à collecter les données.

Ayant commencé à recevoir des publicités ciblées basées sur son orientation politique ou sexuelle après avoir visité des pages de partis politiques destinées à un public homosexuel qui contenait ces « plugins », et alors même qu’il n’avait pas partagé de données relatives à sa vie privée sur son compte Facebook, un utilisateur du réseau social agit contre Meta, lui reprochant notamment d’avoir traité ses données collectées sur Facebook, ou reçues de tiers, sans avoir obtenu un consentement valable (Règl. UE 2016-679 du 27-4-2016, dit « RGPD », art. 6, 1 et 7) et d’avoir traité des données sensibles sans son consentement (RGPD art. 9).

Pour Meta, au contraire, le traitement opéré est licite car il ne repose pas sur le consentement de l’utilisateur, mais sur le caractère nécessaire de ce traitement aux fins de l’exécution du contrat conclu entre elle et l’utilisateur. Elle soutient de plus que l’intéressé a évoqué son homosexualité dans une table ronde publique diffusée sur YouTube et sous forme de podcast, de sorte que cette information aurait « manifestement » été rendue publique et pourrait faire l’objet d’un traitement en dépit de son caractère sensible.

Interrogée sur ces points, la CJUE y apporte les réponses suivantes.

La collecte de l’ensemble des données de l’utilisateur du réseau social, de façon indiscriminée, tant sur ce réseau qu’en dehors de celui-ci, et sans limitation de durée contrevient au principe de minimisation, qui implique que la collecte porte sur des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (RGPD art. 5, 1-c). En l’occurrence, la collecte portait sur les activités de l’utilisateur tant sur le réseau social qu’en dehors de celui-ci, ce qui revient à surveiller la quasi-totalité de son activité sur internet.

Par ailleurs, la déclaration publique de l’utilisateur sur son orientation sexuelle constitue bien un acte par lequel l’intéressé a rendu cette information publique en connaissance de cause, justifiant ainsi l’exception de l’article 9, 2-e du RGPD. Cependant, cette circonstance ne justifie pas la collecte d’autres données à caractère personnel se rapportant à son orientation sexuelle.