Droit de la concurrence et protection des données personnelles : la condamnation de Facebook pour croisement des données
Le 7 février 2019, l’autorité de la concurrence allemande a condamné Facebook pour croisement des données de ses utilisateurs sans leur consentement explicite.
La condamnation de Facebook par l’autorité de la concurrence allemande pour croisement des données sans le consentement de ses utilisateurs
L’Office fédéral de lutte contre les cartels (le Bundeskartellamt) a condamné l’exploitation croisée des données de ses utilisateurs par Facebook.
En effet, deux sources de données croisées ont été identifiées par l’autorité de concurrence allemande :
– Les données issues des réseaux Instagram et Whatsapp, filiales de Facebook ;
– Les données issues de pages Web et applications tierces.
En outre, Facebook procède au croisement des données de ses utilisateurs issues de sites tiers ou de ses filiales grâce aux boutons « like » et « partager » sur lesquels l’utilisateur clique.
Ce croisement de données, qui peut être qualifié d’interconnexion, est opéré sans le consentement explicite des utilisateurs exigé par le RGPD.
Or, la CNIL, qui définit l’interconnexion comme « tout traitement automatisé mis en œuvre par un responsable de traitement qui consiste à mettre en relation des données avec d’autres données ayant une finalité identique ou différente », subordonne ce traitement de données au consentement explicite des personnes.
Partant, l’autorité de concurrence allemande a sanctionné Facebook pour abus de position dominante considérant que Facebook impose aux utilisateurs des conditions d’utilisation contraires au RGPD.
Facebook a annoncé faire appel de la décision et dispose d’un délai de quatre mois pour soumettre une modification de ses conditions d’utilisation au Bundeskartellamt sous peine de subir une amende pouvant atteindre 10% de son chiffre d’affaires annuel.
Cette décision, fondée sur l’abus de position dominante, illustre la coopération de la CNIL (Commission nationale de l’informatique et des libertés) et de la DGCCRF( direction générale de la concurrence, de la consommation et de la répression des fraudes) en cas de manquement au traitement de données personnelles.
Aussi, la CNIL et la DGCCRF ont renforcé leur collaboration par la signature, le 31 janvier 2019, d’un nouveau protocole de coopération mettant à jour celui signé en janvier 2011.
En effet, elles entendent notamment collaborer sur les traitements des données personnelles par les réseaux sociaux.
Par conséquent, l’utilisation des réseaux sociaux par une entité doit faire l’objet d’une vigilance particulière, un manquement pouvant donner lieu à un contrôle de la CNIL, mais aussi de la DGCCRF.