Nouvel épisode de Schrems c./ Meta : la publication d’une donnée sensible n’autorise pas son traitement à des fins de publicité ciblée

Note sous CJUE, 4^e ch., 4 octobre 2024, Maximilian Schrems c./ Meta Platforms Ireland Ltd, n° C-446/21.

« La vie privée des anonymes n’intéresse personne, hormis ceux qui leur sont familiers et pour lesquels précisément ils ne sont plus des anonymes. »¹ L’affirmation de Robert Badinter, formulée alors que le droit au respect de la vie privée n’était pas encore gravé dans le marbre de la loi, devrait désormais être conjuguée au passé. En effet, le modèle économique de Meta a fait voler en éclats les standards protecteurs du droit au respect de la vie privée, en particulier dans ce que celle-ci a de plus intime, sans distinguer les utilisateurs en fonction de leur notoriété. Toute leur vie privée est désormais analysée en temps réel, sur la base de traitements de données à caractère personnel dont les sources sont elles-mêmes multiples. Ces opérations permettent de dresser automatiquement des profils détaillés à partir de leurs habitudes et de leurs goûts, voire davantage, de leur santé, de leur orientation ou vie sexuelle.

La Cour de justice de l’Union européenne ne pouvait mieux en résumer la portée que dans son arrêt du 4 juillet 2023 (voir La rem n°68, p.22), dont les incidences ne cessent d’être dégagées : « Le traitement en cause au principal est particulièrement étendu dès lors qu’il porte sur des données potentiellement illimitées et qu’il a un impact important sur l’utilisateur, dont une grande partie, voire la quasi-totalité, des activités en ligne sont monitorées par Meta Platforms Ireland, ce qui peut susciter auprès de celui-ci la sensation d’une surveillance continue de sa vie privée. »² L’implication de données sensibles au sein de ces traitements doit pourtant alerter sur les risques encourus par les personnes physiques. Si le XX^e siècle a suffisamment démontré que ceux-ci pouvaient être poussés jusqu’à attenter à la vie humaine, le scandale « Cambridge Analytica » a plus récemment souligné son impact potentiel sur les droits politiques, tels que le droit de vote (voir La rem n°48, p.90). Le problème est d’autant plus important que ces données peuvent déjà avoir été divulguées, volontairement ou pas, par les personnes concernées ou par des tiers, via d’autres services ou moyens de communications au public. Dans quelle mesure peuvent-elles alors se prêter aux traitements mis en œuvre pour financer par la publicité un service proposé gratuitement aux consommateurs ?

Telle était la question posée à la Cour de justice dans l’un de ses arrêts du 4 octobre 2024, relatif à l’affaire n° C-446/21³. Celle-ci est d’autant plus remarquable que les faits n’intéressaient pas un anonyme à proprement parler, mais un habitué notoire des recours contre Meta, qui n’est autre que Maximilian Schrems. Ce dernier a constaté l’apparition régulière de publicités visant un public homosexuel sur son profil Facebook, alors même qu’il n’y avait jamais fait part de son orientation sexuelle. L’information avait néanmoins été divulguée par l’intéressé à d’autres occasions, notamment lors d’une table ronde organisée en 2019 par la représentation de la Commission européenne en Autriche.

Il importait donc de savoir dans quelle mesure cette divulgation pouvait, ou non, autoriser le traitement de données sensibles à des fins publicitaires, celles-ci étant elles-mêmes intégrées au sein d’opérations de croisement, de synchronisation et de concentration portant sur des quantités importantes de données, traitées de manière indifférenciée et sans limitation de durée.

Le croisement, la synchronisation et la concentration des données à caractère personnel

Que les données soient ou non partagées par les utilisateurs sur les pages des services du groupe Meta n’a aucune incidence sur sa capacité à les traiter par inférence. Et cela reste vrai pour les données avérées comme pour celles qui sont simplement supposées. La Cour de justice prend soin de synthétiser l’étendue des procédés techniques employés par Meta pour parvenir à ce résultat.

De façon globale, ceux-ci servent autant à traiter des données provenant de ses propres services que des données issues de sources tierces, dites off Facebook, à l’aide d’applications et d’interfaces de programmation (§ 13). Qu’il s’agisse de cookies ou de social plugins, tels que le bouton « J’aime », il est possible d’analyser en temps réel les pages consultées par une personne tant dans les services de Meta que dans d’autres services (§ 16-19), sans qu’elle en soit réellement informée. Les données issues des différents services de Meta font, de plus, l’objet de croisements et de synchronisations, permettant d’affiner les profils liés aux utilisateurs et de mesurer plus précisément leurs interactions, que ceux-ci soient ou non membres de ces mêmes services. Le rachat de certains d’entre eux a d’ailleurs pu être motivé par ces facilités, qui constituent une véritable concentration des données personnelles des utilisateurs.

Ces pratiques ne sont pas nouvelles, et ont déjà donné lieu à de multiples sanctions au niveau national et européen, lesquelles ont été commentées dans les pages de la présente revue. Ainsi en est-il du rachat de WhatsApp, et de la mutualisation des données de leurs utilisateurs qui s’est ensuivie (voir La rem n°41, p.20 et n°42-43, p.18), du recours aux social plugins, tel que le bouton « J’aime » (voir La rem n°42-43, p.18 ; n°44, p.17 ; n°52, p.18 et n°55, p.25), ou encore de l’analyse de données par « amis » interposés (voir La rem n°52, p.18). L’imbrication de ces traitements croisés est telle qu’elle en étend la responsabilité aux tiers qui ont implémenté ces procédés sur leurs sites⁴.

Sur ce premier point, l’une des questions préjudicielles posées à la Cour de justice portait sur la question de savoir si toutes les données traitées à des fins de publicité ciblée pouvaient être agrégées et traitées sans limitation dans le temps et sans distinction en fonction de leur nature. Eu égard aux principes de minimisation des données et de limitation de la durée de traitement, figurant à l’article 5 du RGPD, et de protection des données par défaut, consacré à l’article 25 dudit règlement, la réponse est évidemment négative. Selon la Cour, « l’utilisation indifférenciée de l’ensemble des données à caractère personnel détenues par une plateforme de réseau social à des fins publicitaires, quel que soit le degré de sensibilité de ces données, n’apparaît pas comme une ingérence proportionnée dans les droits garantis utilisateurs de cette plateforme par le RGPD » (§ 64).

La complaisance vis-à-vis de la vie privée ne vaut pas divulgation générale et définitive

C’est bien par ces différents moyens que Meta s’est trouvé en mesure de connaître l’orientation sexuelle de Max Schrems, ses centres d’intérêt personnels ayant pu être déduits aussi bien de ceux de ses « amis », au regard de leurs actions communes et interactions, que de l’analyse de ses données de consultation de sites tiers (§ 20-24). L’intéressé bénéficiant d’une certaine notoriété, l’information avait, par ailleurs, déjà été divulguée par lui-même dans les circonstances précitées. La problématique renvoie à l’articulation du droit au respect de la vie privée avec l’exercice légitime de la liberté d’expression, s’agissant des personnalités publiques.

La complaisance de la personne qui publie elle-même des informations sur sa vie privée peut en principe exclure toute atteinte au droit au respect de celle-ci, y compris en cas de nouvelle publication⁵. Le problème concerne le plus souvent les personnalités du monde médiatique qui instrumentalisent leur vie privée, y compris à des fins lucratives. Pour autant, la portée de cette divulgation ne peut être étirée à l’infini, ni faire disparaître tout risque d’atteinte ultérieure au droit au respect de la vie privée⁶. Si elle est clairement établie, ce qui n’est pas toujours le cas⁷, elle peut être prise en compte pour réviser à la baisse l’évaluation du préjudice en fonction de plusieurs critères : l’attitude initiale de la personne, la nature et l’importance de l’information divulguée et les circonstances de sa nouvelle publication, notamment le support de diffusion et les éventuelles déformations et extrapolations⁸. Sur ce point, il est vrai que le droit du public à l’information autorise ordinairement une certaine marge de manœuvre au profit des journalistes, allant même jusqu’à passer outre le consentement de la personne. L’intimité de la vie privée n’a pas échappé à cette appréhension, qui a été poussée jusqu’aux sentiments exprimés entre membres d’une même famille⁹. Mais la divulgation volontaire ne peut être considérée comme un blanc-seing valant pour tout type de nouvelle publication ou de traitement de données.

Aussi, la révélation par Maximilian Schrems de son homosexualité doit elle-même être délimitée au regard de ces critères. Déjà, il importe de distinguer la complaisance assumée d’une personnalité médiatique ou du monde artistique et celle d’une personnalité du monde politique ou judiciaire, ces deux qualités impliquant par nature une finalité et un contexte différents. La révélation de détails croustillants de la vie intime d’une célébrité dans la presse people ne saurait être équivalente à celle qui porte sur une information isolée, et intervenue au cours d’un évènement consacré à la défense des droits fondamentaux des personnes, en particulier du droit au respect de la vie privée, ce qui était le cas en l’espèce. De même, le changement de support peut avoir un impact différent au niveau de la diffusion, non seulement parce qu’il peut renforcer la publicité de l’information, mais aussi parce que celle-ci peut se trouver plus aisément décontextualisée. Enfin, si le droit du public à l’information peut justifier de telles divulgations, dans un cas comme dans l’autre, cela ne signifie pas que les informations puissent se prêter à des traitements poursuivant des finalités différentes, notamment commerciales¹⁰. Et c’est là que le droit des données à caractère personnel prend le relais.

La complaisance vis-à-vis de la vie privée ne vaut pas publication de données sensibles au sens de l’article 9 du RGPD

En l’espèce, il importait de savoir si cette donnée sensible qu’est l’orientation sexuelle avait été manifestement rendue publique par Max Schrems au sens de l’article 9. 2. e) du RGPD, ce qui en autoriserait le traitement par Meta. Par là même, cela impliquait aussi de délimiter la portée de cette disposition.

En premier lieu, le fait que la personne en cause jouisse d’une certaine notoriété est totalement indifférent sur le plan des traitements dont ses données font l’objet. La Cour de justice avait déjà pu considérer, dans une précédente décision impliquant également Max Schrems, que celui-ci devait être qualifié de « consommateur » vis-à-vis des services de Meta, dès lors qu’il en fait un usage non professionnel, sans égard pour son expertise et ses engagements¹¹. La qualité de personnalité publique, qui peut être prise en compte sur le terrain de la liberté d’expression et du droit du public à l’information, ne saurait donc ôter la qualité de consommateur, au risque d’établir des distinctions infondées au regard des finalités poursuivies par le traitement des données sensibles.

De là s’explique également que la notion de publication volontaire doive être interprétée restrictivement, autrement dit support par support, et résulter d’un acte positif clair et non univoque¹². Surtout, elle ne saurait dédouaner le responsable du traitement du respect des obligations prévues par le RGPD, tel que le principe de minimisation des données, et des droits des personnes en cause¹³. Le fait que des données et des informations soient rendues accessibles, y compris à un public indéterminé, ne justifie pas qu’elles soient traitées pour toutes sortes de finalités. En France, il a ainsi pu être jugé, avant même l’entrée en vigueur du règlement, que les numéros de téléphone publiés sur le web par des internautes au sein d’annonces immobilières ne sauraient être employés à des fins de prospection commerciale par SMS sans que les personnes en soient informées et sans qu’elles puissent exercer leur droit d’opposition¹⁴. De façon générale, la publication sur un support précis d’une donnée sensible ne peut être considérée comme une renonciation définitive de la personne à se prévaloir de son droit au respect de la vie privée vis-à-vis d’autres responsables de traitement poursuivant d’autres finalités.

C’est bien pourquoi Meta ne pouvait tirer argument de la révélation faite par Max Schrems lors d’un évènement ouvert au public. Il est d’ailleurs avéré que le traitement de cette donnée par Meta avait déjà commencé avant cet évènement (§ 68). La Cour rappelle à ce titre que les dérogations à l’interdiction de traitement des données sensibles sont d’interprétation restrictive (§ 76).

Par conséquent, si la divulgation effectuée dans le contexte précité peut bien être qualifiée de « publication volontaire », cette circonstance « n’autorise pas, à elle seule, […] le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne » (§ 80). Meta ne pouvait donc pas traiter cette information pour cette seule raison, alors qu’elle n’était nullement mentionnée sur le profil de Max Schrems. Qui plus est, il apparaît que cette donnée a été déduite de ses centres d’intérêt, eux-mêmes établis sur la base de ses habitudes de navigation et d’interactions avec d’autres personnes – ce qui relève d’une activité strictement privée. L’acceptation des conditions d’utilisation de Facebook ne saurait valoir consentement au traitement de données sensibles à des fins de publicité ciblée, quand bien même elles auraient été rendues publiques par d’autres moyens. Cette autre dérogation de l’article 9 du RGPD doit donc aussi être écartée (§ 82).

Dans la continuité du risque de réidentification, qui permet de déduire des données à caractère personnel de données non personnelles, les traitements généralisés et indifférenciés conduisent à déduire des données sensibles d’autres données à caractère personnel au mépris des droits fondamentaux des personnes. De tels traitements, qui dépassent les attentes raisonnables des consommateurs, ne peuvent donc pas être effectués. La Cour garantit ainsi une interprétation dynamique de l’article 9 du RGPD, recherchant la plus grande protection du droit au respect de la vie privée.

Celui-ci implique historiquement l’espérance légitime de toute personne, notoire ou non, à ne pas subir d’immixtion dans sa vie privée, à l’image des publicités ciblées non sollicitées.

Sources :

1. Badinter Robert, « Le droit au respect de la vie privée », JCP, 1968, I, n° 2136.
2. CJUE, GC, 4 juillet 2023, Meta Platforms Inc. et a.c./ Bundeskartellamt, n° C-252/21, § 118, CCE, décembre 2023, p. 50-53, note N. Martial-Braz.
3. CJUE, 4^e ch., 4 octobre 2024, Maximilian Schrems c./ Meta Platfoms Ireland Ltd, n° C-446/21.
4. CJUE, 2^e ch., 29 juillet 2019, Fashion ID GmbH & Co. KG c./ Verbraucherzentrale NRW eV, n° C-40/17, CCE, novembre 2019, p. 37-39, obs. N. Metallinos.
5. CEDH, 5^e sect., 23 juillet 2009, Hachette Filipacchi Associés c./ France, n° 12268/03, CCE, octobre 2009, p. 35-40, note A. Lepage.
6. Roussineau Thomas, « La protection de la vie privée et de l’image des personnes », in Beignier Bernard, Dreyer Emmanuel, Lamy Bertrand de, Traité de droit de la presse et des médias, LexisNexis, Paris, 2009, p. 922-925.
7. Voir not. : TGI Paris, réf., 27 juillet 2015, n° 15-56.389, LP, n° 330, septembre 2015, p. 463-464.
8. Voir not. : TGI Paris, réf., 15 mai 2015, n° 15-53.566, LP, n° 331, octobre 2015, p. 525.
9. C. cass., 1^re ch. civ., 8 décembre 2021, n° 20-13.560, RLDI, n° 192, mai 2022, p. 25-28, note M. Marchal.
10. Saint-Pau Jean-Christophe, « Le droit au respect de la vie privée », in Saint-Pau Jean-Christophe [dir.], Droits de la personnalité, LexisNexis, Paris, 2013, p. 777.
11. CJUE, 3^e ch., 25 janvier 2018, Maximilian Schrems c./ Facebook Ireland Ltd, n° C-498/16, § 36-41, CCE, mars 2018, p. 35-37, obs. G. Loiseau.
12. Douville Thibault, Droit des données à caractère personnel, LGDJ, Paris, 2023, p. 211-212.
13. CJUE, GC, 24 septembre 2019, GC et a. c./ CNIL, n° C-136/17, § 64, D., 2020, p. 515-522, note T. Douville. 14 CE, 9^e et 10^e SSR, 23 mars 2015, n° 357556, RLDI, n° 116, juin 2015, p. 35-36, obs. J. de Romanet.