Les données personnelles : un levier pour différents régulateurs

Rédigé par Déborah ZRIBI

 - 

05 juillet 2019


Le 7 février 2019, l’Autorité de la concurrence allemande sanctionnait Facebook pour l’exploitation croisée de données des utilisateurs sans leur consentement explicite. Un exemple significatif des interactions toujours plus fortes entre le droit de la protection des données personnelles, le droit de la concurrence et le droit de la consommation.

Pixabay cc-by time2innov8
La collecte massive de données s’avère être une préoccupation stratégique pour différents régulateurs. Si l’enjeu est central pour les autorités de protection des données (CNIL, CEPD - Contrôleur européen à la protection des données), elle occupe également une place croissante pour les autorités de la concurrence. La collecte de données peut constituer une barrière à l’entrée pour les nouveaux entrants qui ne sont pas en mesure de collecter le même type, ni la même qualité de données que les entreprises déjà en place. Elle constitue ainsi un facteur concurrentiel déterminant qui peut renforcer les positions dominantes acquises par les grands acteurs du numérique, donnant lieu à de potentiels effets anticoncurrentiels. Les institutions chargées de la protection du consommateur se sont elles aussi intéressées au sujet, et interviennent face aux possibles atteintes à la protection du consommateur.
 
On arrive ainsi à des interactions de plus en plus fortes entre les organismes chargés de l’application du droit de la protection des données personnelles, le droit de la concurrence, et le droit de la consommation. 
 
En mai 2017, l’autorité de protection de la concurrence italienne, qui a la particularité de regrouper également les compétences de protection du consommateur, condamnait WhatsApp à une amende de 3 millions d’euros pour le partage de données avec Facebook. Elle visait les manquements relatifs au consentement sur le fondement du code italien de la consommation. En décembre 2017, la CNIL mettait en demeure WhatsApp pour des faits similaires, mais cette fois sur le fondement de la Loi Informatique et Libertés. 
 

Vers une prise en compte des principes de protection de données pour caractériser l’abus de position dominante ? 

 
Dernièrement, une autre décision vient s’ajouter, et relève cette fois-ci de l’Autorité de la concurrence fédérale allemande du 7 février 2019. Après trois années de contrôle visant les activités de Facebook outre-Rhin, le Bundeskartellamt (l’autorité de la concurrence fédérale Allemande) a rendu cette décision mettant en demeure Facebook de recueillir le consentement de la personne concernée avant de procéder à la combinaison de données. Deux sources de données croisées ont été identifiées : les données issues des réseaux Instagram et WhatsApp (filiales de Facebook) et les données issues de pages web et applications tierces, via les boutons « like » et « partage » intégrés à des sites tiers
 
La particularité du raisonnement est alors pour l’Autorité de concurrence de se positionner pour la première fois sur le terrain du Règlement Général de protection des données (RGPD) pour caractériser un abus de position dominante. Cette dernière se caractérise par la réunion de deux conditions : une position dominante sur un marché spécifique (ici les réseaux sociaux), et l’identification de l’abus de cette même position dominante. La position dominante de Facebook a été retenue au regard de sa part de marché du réseau social, avec plus de 95% d’utilisateurs actifs par jour. C’est dans un second temps, que l’Autorité allemande caractérise « l’abus » de cette position dominante par le fait que Facebook a eu accès à un nombre important d’informations en imposant aux utilisateurs des conditions non respectueuses du RGPD. Cette décision très remarquée constitue ainsi une véritable évolution dans la prise en compte des règles en matière de protection des données dans l’analyse concurrentielle. 
 

Données personnelles, concurrence et consommateurs

 
Dans l’éditorial du rapport d’activité 2018 de la CNIL, Marie-Laure Denis rappelle que « la politique répressive doit s’opérer en conciliant le respect des règles issues du RGPD et la préservation des équilibres économiques, en recherchant un point d’équilibre entre la mission du régulateur et les intérêts des acteurs. »
 
Les liens entre protection des données des individus et protection du consommateur ont déjà été tissés : la CNIL coopère depuis 2011 avec la DGCCRF, l’autorité française chargée de la protection du consommateur, et a encore renforcé cette coopération en janvier 2019. Les points de convergences dans les objectifs de protection des individus se retrouvent parmi les objectifs de la concurrence. La CNIL abordait ces convergences dès 2014 dans son rapport annuel. La protection de la « concurrence non faussée » implique notamment d’atteindre une diversité d’objectifs socialement souhaitables, incluant la protection économique du consommateur. Ainsi, le droit européen de la concurrence évoque explicitement dans son article 102 (b) du TFUE (Traité sur le fonctionnement de l’Union européenne) le « préjudice des consommateurs ». En juin 2019, l’économiste en chef de la Direction de la concurrence de la Commission européenne, Tommaso Valleti, a d’ailleurs appelé, dans une interview donnée au journal Le Monde, les autorités de concurrence à bien appliquer le Règlement général de protection des données, comme levier de régulation. La protection des données, dans un contexte de numérisation de l’économie, tend ainsi à devenir de plus en plus le point de convergence de ces différentes régulations.
 

Clauses abusives et protection des données 

 
Suite à une série de procédures initiée par l’association de consommateurs UFC-Que Choisir à l’encontre de Twitter, Google et Facebook relatifs à leurs conditions générales d’utilisation et des politiques de confidentialité, ces acteurs ont été condamnés par le Tribunal de Grande Instance de Paris en 2018 et 2019, pour clauses « abusives » au regard notamment d’un manque de transparence sur les finalités de traitement. 
 
Le tribunal adopte un même raisonnement, en se fondant à la fois sur le droit de la consommation mais aussi de la Loi informatique et libertés. On s’aperçoit alors que des logiques de législations distinctes en matière de collecte de données ne sont pas forcément à opposer, pouvant être complémentaires. Ainsi, l’application du code de la consommation permet de demander au juge de « supprimer ou réputer non écrites » les clauses au caractère illicite, tandis que la Loi Informatique et Libertés sanctionne les manquements par des sanctions administratives et pénales. 
 

Droit à la portabilité et droit de la concurrence 

 
Sous un angle plus prospectif, on peut illustrer ces relations entre le droit de la protection des données et droit de la concurrence au travers du droit à la portabilité. Si le droit à la portabilité est une innovation du droit à la protection des données, aurait-elle pu être le produit d’une innovation du droit de la concurrence sur le fondement de l’article 102 du TFUE cité précédemment, comme le soulignent les juristes Graef Damian Clifford et Peggy Valcke
 
Offrir la possibilité de permettre aux utilisateurs de migrer d’un écosystème de services à l’autre avec leurs propres données, pourrait poursuivre une logique de protection des intérêts économiques du consommateur et de concurrence. Le droit à la portabilité permet ainsi, notamment, de rompre l’effet d’enfermement (« lock-in ») pour les membres d’un réseau qui ne disposent pas d’alternatives équivalentes sur le marché.
 
Toutefois, ce droit est plus large que le seul droit à la concurrence auquel il est parfois réduit, il entre dans le cadre du droit fondamental des individus à avoir la maîtrise sur leurs propres données, pour migrer d’un service à un autre, mais pas seulement. Nous avions par exemple évoqué le mécanisme possible de portabilité citoyenne, où comment les individus pourraient récupérer leurs données pour les transmettre à un acteur public ou associatif pour des finalités d’intérêt général, sans notion de concurrence. Les individus enfin, avec ce droit, peuvent faire le choix de reprendre le contrôle de leurs données pour leur usage personnel et pour en contrôler l’accès par des tiers, à l’image des solutions proposées par l’expérimentation Mes Infos développée par la Fing. On voit bien ici qu’une approche par la seule concurrence aurait été restrictive pour le droit à la portabilité et plus largement pour les droits des individus. 
 

Renforcer les mécanismes d’interrégulation

 
Dès 2017, compte tenu de la porosité des secteurs, le Contrôleur européen à la protection des données lançait un débat sur les implications des mégadonnées et la nécessité d’une réflexion par les législateurs et les régulateurs. Suivant la même logique, la CNIL appelle à renforcer les mécanismes d’inter-régulation, consistant à « un système en réseau dans lequel les différentes régulations applicables, tout en restant autonomes les unes des autres, coexistent et prennent en considération les effets de leurs décisions respectives, tant vis-à-vis de l’objet régulé que vis-à-vis des autres régulateurs appelés à se prononcer sur de mêmes faits. » Ainsi, face au rôle central des données personnelles dans les modèles économiques et l’équilibre des marchés, le Règlement général de protection des données offre un levier qui pourra de plus en plus être pris en compte, tant pour la protection des individus-consommateurs que dans la lutte contre les pratiques anticoncurrentielles. 

Déborah Zribi
Article rédigé par Déborah ZRIBI , Stagiaire au sein du pôle études, innovation & prospective