Exploitation abusive d’une position dominante par violation du RGPD
À l’occasion d’une question préjudicielle posée par le tribunal régional supérieur de Düsseldorf, la Cour de justice de l’Union européenne a dit pour droit, le 4 juillet 2023, qu’une autorité nationale de concurrence pouvait constater, dans le cadre de l’examen d’un abus de position dominante, une violation du RGPD (affaire C-252/21, Meta Platforms e.a.).
D
ans cette affaire, l’autorité fédérale allemande de la concurrence (Bundeskartellamt) avait rendu, le 6 février 2019, une décision contre la plateforme numérique Meta Platforms Ireland (Meta), lui interdisant de subordonner, dans ses conditions générales, l’utilisation du réseau social Facebook à la collecte et au traitement des données relatives aux activités des utilisateurs en dehors de Facebook (« données off Facebook »), c’est-à-dire les données relatives à consultation de pages Internet et d’applications tierces et en lien avec l’utilisation d’autres services de Meta, parmi lesquels Instagram et WhatsApp. Le Bundeskartellamt avait considéré que le traitement des données off Facebook n’était pas conforme aux valeurs du RGPD et que l’acceptation automatique par les utilisateurs de l’agrégation de ces données constituait une exploitation abusive de la position dominante de Meta sur le marché des réseaux sociaux en ligne auprès d’utilisateurs privés résidant en Allemagne.
Meta a introduit un recours devant le tribunal régional supérieur de Düsseldorf, lequel a posé trois questions à la Cour1, dont celle de savoir si une autorité nationale de concurrence (ANC) était habilitée à constater, dans le cadre du contrôle des pratiques anticoncurrentielles, une violation du RGPD2. La Cour a répondu par la positive : dans le cadre de l’examen d’un abus de position dominante, une ANC peut avoir à examiner « la conformité du comportement d’une entreprise à des normes autres que celles relevant du droit de la concurrence, telles que les règles en matière de protection des données à caractère personnel prévues par le RGPD »3. Pour autant, les ANC ne sont pas autorisées à se substituer aux autorités compétentes en matière de protection des données : avant de se prononcer, l’ANC doit vérifier si le comportement qu’elle vise fait l’objet d’un examen des autorités nationales compétentes et attendre, le cas échéant, l’adoption d’une décision de leur part avant d’entamer sa propre appréciation, afin de garantir une application cohérente du RGPD. En l’absence d’objection ou de réponse dans un délai raisonnable, l’ANC peut poursuivre sa propre enquête.
Ainsi, la Cour confirme que le droit de la concurrence peut être utilisé pour constater une violation du RGPD et répondre aux nouvelles problématiques soulevées par l’essor de l’économie digitale, en l’occurrence celle du consentement automatique4. Cet arrêt est un nouvel exemple de ce que la finalité de protection du consommateur peut justifier la mobilisation du droit de la concurrence au soutien d’autres domaines du droit – à cet égard, une proposition de directive de la Commission européenne5 visant à lutter contre l’écoblanchiment prévoit que les États membres pourront désigner les « autorités compétentes » appropriées chargées de faire appliquer ses dispositions. Les ANC pourraient se voir confier ce rôle dans un certain nombre de juridictions, à l’instar de la DGCCRF en France.