Le 07.12.2020 (signifié le 28.12.2020), le tribunal régional supérieur (Oberlandesgericht Wien, OLG) a rendu son jugement dans la procédure d'appel. Schrems contre Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Confirmant la décision de la Cour régionale pour les affaires civiles (Landesgericht für Zivilrechtssachen), elle a estimé que la plateforme de médias sociaux avait l'obligation de fournir au demandeur un accès complet aux données détenues à son sujet, obligeant ainsi la société à verser une indemnité de 500 euros (article 82 du GDPR).

Néanmoins, elle a également conclu que l'acte de traitement des données n'exige pas que la plateforme obtienne un consentement distinct et non ambigu de ses utilisateurs conformément à la législation de l'UE sur la protection des données (article 6, paragraphe 1, point a), du GDPR), mais qu'un tel droit d'utilisation des données est intrinsèquement accordé à Facebook en vertu de ses conditions contractuelles.

La décision est centrée sur un certain nombre de plaintes juridiques et donne lieu à trois questions distinctes qui sont présentées ci-dessous.

Attribution des rôles des parties en vertu de la loi sur la protection des données

Demandeur

• Selon le demandeur, l'utilisateur de la plateforme est considéré comme la partie responsable ou le " responsable du traitement " (article 4, paragraphe 7, du GDPR) en ce qui concerne les applications de données exploitées par lui-même à des fins personnelles ;
• Le défendeur agit par contrat en tant que "sous-traitant", ce qui l'empêche d'effectuer des applications de données sans ou contrairement aux instructions du demandeur ;
• Un contrat répondant aux exigences de l'article 28(3) GDPR n'a pas été conclu, bien que le Demandeur ait droit à un tel accord.

Défendeur

• Le défendeur doit être considéré comme la seule partie responsable à l'égard du demandeur, qui n'a pas d'intérêt à un redressement déclaratoire.

OLG (p. 21-23)

• La simple utilisation d'une plateforme de réseau social ne rend pas en soi l'utilisateur coresponsable du traitement des données à caractère personnel effectué par ce réseau ;
• Une différenciation doit être faite en ce qui concerne les pages de fans, l'exploitant de ladite page contribuant au traitement des données à caractère personnel des visiteurs, ce qui en fait un responsable du traitement (CJCE C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 et 41).
• Un utilisateur de Facebook n'est donc qu'un coresponsable concernant les données personnelles de tiers (article 4, paragraphe 7, du GDPR) et qu'une personne concernée par ses propres données personnelles.

Consentement effectif au traitement des données personnelles

Demandeur

• Le fait de consentir aux conditions d'utilisation de la plateforme de médias sociaux et aux directives d'utilisation des données associées ne donne pas lieu à un consentement effectif au sens des articles 6, paragraphe 1, et 7 du GDPR ;
• Contrairement aux dispositions du GDPR, qui sont entrées en vigueur le 25.05.2018, les contrats de droit civil tels que régis par l'ancienne loi sur la protection des données ne prévoyaient pas d'exigences explicites en matière de "consentement" ;
• En intégrant le consentement préalable dans les conditions générales de la société avant l'entrée en vigueur du GDPR, les utilisateurs ont été contraints par inadvertance à un nouveau contrat, ce qui a permis à la plateforme de contourner les normes de protection des données plus strictes prévues par les dispositions actuelles du GDPR ;
• En tant que tel, aucun consentement effectif au sens du GDPR n'avait été donné par le Demandeur quant au traitement des données entrepris par la Défenderesse.

Défendeur

• Le traitement des données tel qu'effectué par la plateforme était conforme aux dispositions de l'article 6, paragraphe 1, point b), du GDPR puisqu'il constituait une partie nécessaire de l'exécution du contrat.

OLG (p. 23-24)

• Le GDPR autorise différentes bases pour le traitement des données personnelles, entre autres, si elles sont nécessaires à l'exécution d'un contrat auquel la personne concernée est partie (article 6, paragraphe 1, point b) du GDPR) ;
• La nécessité est déterminée au cas par cas, en tenant compte de l'objet du contrat et des obligations découlant de son contenu ;
• L'essence du modèle commercial de Facebook et son objectif contractuel sont centrés sur :
  • Pour l'utilisateur : accès à la plateforme de communication personnalisée ;
  • Pour la plate-forme : rendre l'accès disponible sans frais supplémentaires ;
• Ainsi, l'entreprise qui exploite la plateforme peut recourir à d'autres sources de financement, par exemple la publicité personnalisée pour l'utilisateur spécifique ;
• Le traitement des données personnelles des utilisateurs démontre un pilier de soutien fondamental de l'accord entre la plateforme et l'utilisateur, car c'est la base qui permet d'adapter la publicité aux intérêts de l'utilisateur individuel ;
• L'élément de nécessité en ce qui concerne le traitement des données est établi dans la mesure où l'utilisation de ces informations façonne l'expérience individualisée des utilisateurs d'une part, tout en constituant un canal financier par lequel la plateforme obtient son profit.

Demande de fourniture d'informations

Demandeur

• Une demande d'information a été soumise, mais n'a pas encore reçu de réponse, conformément à l'article 15 du GDPR ;
• La mise à disposition partielle des informations relatives à l'utilisation et au traitement des données (personnelles) ne répond pas aux obligations légales de la partie défenderesse ;
• L'incertitude concernant le traitement des données a induit une détresse émotionnelle qui donne droit au plaignant à un préjudice moral de 500 euros.

Défendeur

• La défenderesse n'a pas manqué à son devoir ;
• Aucune allégation concluante concernant la demande de dommages et intérêts n'a été faite par le demandeur.

OLG (24-29)

• Facebook n'avait pas permis à ses utilisateurs d'accéder aux données dans leurs outils d'accès, ce qui confère au plaignant un droit d'action fondé sur l'article 15, paragraphe 1, du GDPR ;
• Le plaignant a droit à des informations concernant :
  • Les données à caractère personnel traitées par Facebook et les finalités de ce traitement (article 15, paragraphe 1, point a) du GDPR) ;
  • À qui les données personnelles respectives sont divulguées, c'est-à-dire les (catégories) de destinataires (article 15, paragraphe 1, point b), du GDPR) ;
  • L'origine des données si elles ne sont pas collectées auprès du demandeur (article 15, paragraphe 1, point g) du GDPR) ;
• Le montant de 500 euros reflète l'importance mineure de la gêne subie par le plaignant et s'avère justifié.

Commentaire

Conformément aux observations du demandeur, l'Agence européenne de protection des données a précédemment interdit expressément le traitement de catégories spéciales de données à caractère personnel, à moins qu'un consentement exprès ne soit donné ou que ce traitement ne soit nécessaire pour des raisons d'intérêt public considérable (article 9, paragraphe 2, point g), du GDPR). Bien que des clauses contractuelles sur l'utilisation des données puissent encore être utilisées pour le transfert des données, elles ne suffiraient pas à remplacer la nécessité de fournir un tel consentement.²

Bien qu'un droit d'appel auprès de la Cour suprême autrichienne ait été accordé par l'OLG, il est prévu que les questions juridiques soulevées soient à nouveau portées devant la Cour de justice de l'Union européenne en temps voulu.

Notes de bas de page

1 Jugement disponible en allemand via : https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung : Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Conseil européen de la protection des données. Disponible à l'adresse suivante : edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [consulté le 05.02.2021].

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.