Blog Données personnelles

Protection des données et concurrence : une ambition commune

La Commission Nationale de l’Informatique et des Libertés (ci-après désignée la « CNIL ») et l’Autorité de la concurrence (ci-après l’« ADLC ») sont deux autorités administratives indépendantes. La première est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. La deuxième a pour mission de protéger la concurrence libre et non-faussée entre les entreprises sur les marchés.

La transformation numérique conduit à la multiplication des convergences entre les missions de ces deux autorités de régulation. On se rappelle notamment que par un arrêt Meta rendu le 4 juillet 2023 contre la célèbre plateforme, la Cour de Justice de l’UE a rappelé le principe de coopération loyale qui s’impose à toutes les autorités nationales en vertu du Traité sur l’Union Européenne.

Prenant acte de ce besoin de collaboration renforcé, la CNIL et l’ADLC ont publié une déclaration conjointe, le 12 décembre dernier, intitulée Protection des données et concurrence : une ambition commune [1] aux termes de laquelle elles s’engagent à :

  • intégrer au sein de leurs missions et de leurs réflexions aussi bien des problématiques liées à la protection des données personnelles, que des questions relatives à la concurrence ;
  • se consulter, aussi bien à titre informel que pour préparer des saisines formelles ;
  • conduire des travaux prospectifs ;
  • se réunir périodiquement dans le cadre de séminaires ;
  • porter sur le plan européen la coopération entre les autorités de protection des données et les autorités de concurrence.

Ces mesures viennent renforcer un cadre d’entraide déjà bien installé entre les deux autorités. Conformément aux dispositions de la loi du 20 janvier 2017 portant statut général des autorités administratives indépendantes, les autorités doivent se saisir mutuellement pour avis dans un cadre consultatif ou contentieux. La CNIL et l’ADLC ont également collaboré dans plusieurs dossiers contentieux, tels que les affaires « GDF Suez » ou « Apple ATT » ou pour l’élaboration de recommandations, notamment sur les applications mobiles, à paraître en 2024.

La Cour de justice a également consacré avec force que : « l’accès aux données à caractère personnel et la possibilité de traitement de ces données sont devenus un paramètre significatif de la concurrence entre entreprises de l’économie numérique ». Autrement dit, il importe que les autorités de concurrence soient à même d’apprécier les abus de marché découlant de la violation du RGPD.

C’est ainsi que, dans l’affaire précitée, l’autorité de concurrence allemande a initié des poursuites contre Meta et lui a fait interdiction de subordonner, dans ses conditions générales, l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs données off Facebook [2] et de procéder, sans leur consentement, au traitement de ces données sur la base des conditions générales alors en vigueur. Elle lui a également imposé d’adapter ces conditions générales de sorte qu’il en ressorte clairement que lesdites données ne seront ni collectées, ni mises en relation avec les comptes d’utilisateurs Facebook, ni utilisées sans le consentement de l’utilisateur concerné, et a clarifié le fait qu’un tel consentement n’est pas valide lorsque celui-ci constitue une condition pour l’utilisation du réseau social.

La Cour de justice ayant validé le principe qu’une violation du RGPD puisse constituer un abus de position dominante, il revient à présent au juge national saisi de confirmer ou invalider la décision prise par l’autorité de concurrence allemande.

Pour leur part, l’ADLC et la CNIL ont d’ores et déjà détaillé les principales problématiques qui devraient émerger à la confluence de leurs champs d’intervention :

  • la montée en puissance d’offres payantes « affichant une plus grande protection de la vie privée des utilisateurs que leurs concurrentes » ;
  • une tendance à l’accumulation et à la combinaison des données aux mains d’une poignée d’opérateurs bénéficiant d’un fort pouvoir de marché ;
  • un pouvoir de négociation insuffisant et une asymétrie d’information des utilisateurs ;
  • une réflexion à mener sur les injonctions que peuvent ordonner les autorités en charge, qu’il s’agisse d’engagements comportementaux, consistant à obliger les opérateurs détenant des bases de données trop importantes à mettre en place des « silos de données » ou des obligations d’accès, ou d’engagements structurels, tels que cession ou suppression de données.

Les autorités de régulation disposent désormais d’un arsenal foisonnant [3] pour nourrir leur réflexion et mener leurs travaux tant au niveau national qu’européen et accompagner la transformation numérique de l’économie ainsi que l’importance grandissante des données dans les nouveaux modèles d’affaires.


[2C’est-à-dire des données concernant la consultation de pages Internet et d’applications tierces, qui sont reliées à Facebook à travers des interfaces de programmation – les « Outils Facebook Business » – et, d’autre part, des données relatives à l’utilisation des autres services en ligne appartenant au groupe Meta, dont Instagram, WhatsApp, Oculus et – jusqu’au 13 mars 2020 – Masquerade.

[3Notamment : le Règlement sur la gouvernance européenne des données (ou « Data Governance Act »), le Règlement sur les marchés numériques (appelé « Digital Markets Act » ou « DMA »), ou encore le Règlement sur les données (« Data Act »).