- La CJUE considère que la conservation illimitée dans le temps et sans distinction de données à caractère personnel à des fins de publicité ciblée est disproportionnée et illicite.
- L’article 5 du RGPD (minimisation des données) interdit l’agrégation et le traitement à grande échelle de toutes les données internes et externes à la plateforme, sans aucune différenciation.
- Seules les données sensibles expressément et clairement rendues publiques sont considérées comme “manifestement rendues publiques” ; cela n’autorise pas le traitement d’autres données relatives à la même propriété.
La CJCE s’est prononcée en Arrêt C‑446/21 du 4 octobre 2024 s’est penché sur la question de savoir si. Le jugement concerne un autre litige de Max Schrems contre Meta. Un commentaire de noyb a été ici publié.
Le contexte de l’arrêt est le fait que Meta – Facebook – peut collecter des informations sur les visites de sites tiers par le biais de différents outils, notamment des plug-ins sociaux et des pixels intégrés à des sites tiers. En font également partie les pages “des partis politiques et […] des sites web qui s’adressent à un public homosexuel”. Lorsque Schrems a visité de tels sites, Meta a collecté les données correspondantes le concernant et, par la suite, Schrems a reçu des publicités pour une femme politique autrichienne et des publicités ciblant un public homosexuel.
Sur la proportionnalité (et le contenu essentiel du droit fondamental à la protection des données)
La CJCE se prononce d’abord sur le Principe de proportionnalité (conformément à l’article 5, paragraphe 1, point c), et à l’article 5, paragraphe 2, du RGPD) :
58 En tout état de cause, une stockage illimité dans le temps des données à caractère personnel des utilisateurs d’une plateforme de réseau social à des fins de publicité ciblée, en tant que disproportionné être considéré comme une atteinte aux droits que le RGPD garantit à ces utilisateurs.
59 S’agissant, en troisième lieu, de la circonstance que les données à caractère personnel en cause au principal sont collectées, agrégées, analysées et traitées sans distinction quant à leur nature, à des fins de publicité ciblée, la Cour a déjà jugé que le responsable […] ne peut pas collecter de manière générale et indifférenciée des données à caractère personnel et qu’il doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires aux fins du traitement. […].
60 En outre, le responsable doit prendre des mesures appropriées conformément à l’article 25, paragraphe 2, du RGPDLa Commission a adopté des mesures visant à garantir que, par défaut, seules les données à caractère personnel dont le traitement est nécessaire pour une finalité spécifique sont traitées. Selon cette disposition, cette obligation s’applique, entre autres, à la quantité de données à caractère personnel collectées, à la portée de leur traitement et à leur accessibilité.
Certes, il est L’affaire du responsableLes États membres sont tenus de limiter le traitement de leurs données en conséquence, ce qu’il appartient à la juridiction nationale de vérifier :
57 Dès lors, […] il appartient à la juridiction nationale d’apprécier, en tenant compte de l’ensemble des circonstances pertinentes et en appliquant le principe de proportionnalité visé à l’article 5, paragraphe 1, sous b), du règlement (CE) n° 45/2001, la légitimité de la publicité personnalisée. c du RGPD, d’apprécier si la durée de conservation des données à caractère personnel par le responsable du traitement est raisonnablement justifiée au regard de l’objectif consistant à permettre la diffusion de publicités personnalisées.
Mais : la collecte des données des utilisateurs constitue en l’espèce une atteinte grave. La CJUE renonce donc à laisser la mise en balance au juge du fond et donc à l’argumentation du responsable du traitement. Elle déduit plutôt de l’article 5 du RGPD une interdiction per se du présent traitement, particulièrement étendu à différents égards. En fin de compte, la CJUE considère donc manifestement que le traitement de données à caractère personnel doit être effectué par le responsable du traitement. Contenu essentiel des droits fondamentaux garantis par la Charte blessé :
65 Eu égard à ce qui précède, il y a lieu de répondre à la deuxième question que l’article 5, paragraphe 1, sous b), de la directive 95/46/CE doit être interprété en ce sens qu’il s’oppose à ce que les données à caractère personnel soient traitées dans le cadre de la protection des données. c du RGPD doit être interprété en ce sens que le principe de “minimisation des données” qu’il énonce s’oppose à ce que toutes les données à caractère personnelles informations qu’un responsable, tel que l’exploitant d’une plateforme de réseau social en ligne, reçoit de la personne concernée ou de tiers et qui ont été collectées à la fois sur et en dehors de cette plate-forme, illimité dans le temps et sans distinction agrégées, analysées et traitées selon leur nature à des fins de publicité ciblée.
Concernant les données “manifestement rendues publiques
Le point suivant concerne la question de savoir quand des catégories particulières de données à caractère personnel “.manifestement rendu public“Dans ce cas, l’interdiction de traitement de l’article 9, paragraphe 1 du RGPD est levée (paragraphe 2, point e). Il s’agissait d’une table ronde au cours de laquelle Max Schrems s’était exprimé sur son homosexualité. La CJCE dit ici tout d’abord que la lettre e doit être interprétée de manière restrictive en tant qu’exception – un non-sens dogmatique que l’on entend souvent en Suisse également ; les exceptions ne doivent pas être interprétées de manière restrictive, mais tout simplement selon les méthodes habituelles.
En tout cas : ce qui est déterminant, c’est si la personne concernée a Intention avait expressément demandé les données personnelles en question par un acte de confirmation clair de la part de la accessible au grand public de faire (CJCE, C‑252/21, point 77). En l’espèce, cela n’était “pas à exclure” :
78 En l’espèce, il ressort de la décision de renvoi que […] la table ronde au cours de laquelle M. Schrems s’est exprimé sur son orientation sexuelle a été PublicLe public a eu accès à la table ronde, qui était ouverte à tous, dans la limite des places disponibles. diffusé en streaming a été organisée. De plus, un enregistrement de la table ronde devrait être diffusé plus tard sous forme de Podcast ainsi que sur le Chaîne Youtube de la Commission.
79 Dans ces conditions, et sous réserve des vérifications à effectuer par le juge national, il ne saurait être exclu que la déclaration en cause, même si elle s’inscrivait dans le cadre d’une intervention plus large et n’était faite que dans le but de critiquer le traitement de données à caractère personnel effectué par Facebook, constitue un acte par lequel l’intéressé a, en toute connaissance de cause, rendu manifestement publique son orientation sexuelle au sens de l’article 9, paragraphe 2, sous e), du RGPD.
Toutefois, cela ne signifie pas encore que le méta autres de traiter des données relatives à l’orientation sexuelle de Schrems. La base juridique couvre plutôt exclusivement les données publiées:
81 Ainsi, d’une part, il serait contraire à l’article 9, paragraphe 2, sous e), du RGPD, qui doit être interprété de manière stricte, que toutes les données relatives à l’orientation sexuelle d’une personne soient soustraites à la protection de l’article 9, paragraphe 1, du RGPD au seul motif que la personne concernée a manifestement rendu publiques des données à caractère personnel relatives à son orientation sexuelle.
82 D’autre part, le fait qu’une personne ait manifestement rendu publiques des données relatives à son orientation sexuelle ne permet pas de conclure qu’elle a donné son consentement, au sens de l’article 9, paragraphe 2, sous a), du RGPD, au traitement par l’exploitant d’une plateforme en ligne de réseau social d’autres données relatives à son orientation sexuelle.