Le tribunal régional de Vienne pour les affaires civiles est parvenu à un verdict dans le procès sur la protection des données entre l'activiste Max Schrems et la plateforme de médias sociaux Facebook. Ce jugement fait suite aux audiences orales qui se sont tenues dans la capitale autrichienne au début de l'année, au cours desquelles la directrice européenne de la protection de la vie privée de Facebook, Ceilia Alvarez, a été confrontée à des questions centrées sur :

• La capacité de la société à obtenir le consentement de ses utilisateurs ;
• son respect des demandes de données par les personnes actives sur le site de mise en réseau ; et
• Clarification de la terminologie "suppression des données" et de sa signification dans la pratique.

Le jugement rendu le 30 juin 2020 établit que bien que Facebook soit tenu de payer des dommages et intérêts de 500 euros pour avoir violé ses obligations de divulgation concernant l'utilisation des données personnelles du plaignant, le service de réseautage est réputé avoir agi d'une manière contractuelle ou légalement complice quant au traitement des données du plaignant.

La décision

Les questions juridiques suivantes méritent d'être soulignées :

-Traitement des données conformément au règlement général sur la protection des données (RGPD)

• La Cour a décidé que l'Art. 2 PIBR ne s'applique pas au traitement des données à caractère personnel à la lumière d'activités privées ou familiales.
• Le demandeur aurait conclu un contrat ("convention de traitement des données") avec Facebook lors de la création d'un compte privé.
• Son utilisation personnelle de la plateforme l'a fait sortir du champ d'application du GDPR.
• Le traitement des données a donc été effectué conformément au GDPR et restera autorisé tant que le plaignant ne supprimera pas son compte. Ce n'est qu'à ce moment-là que le contrat entre les parties serait résilié.

Conditions générales

• La Cour a en outre estimé qu'une demande de mesure injonctive exige non seulement que l'acte en question soit interdit, mais aussi qu'il existe un risque de répétition dudit acte illégal, c'est-à-dire que le défendeur ait déjà violé la norme légalement établie.
• En l'espèce, le plaignant avait la possibilité de consentir au traitement de ses données personnelles. En acceptant les conditions du défendeur, il en avait accepté volontairement les termes.
• Le modèle économique de la défenderesse est basé sur la génération de revenus par le biais d'une publicité et d'un contenu commercial sur mesure. Afin d'offrir son service gratuitement au public, des revenus sont générés par le traitement des données des utilisateurs pour être vendues aux annonceurs, qui peuvent les utiliser à des fins publicitaires ciblées.
• L'utilisation de la plate-forme amène les utilisateurs à accepter consciemment un contenu commercial, dont le caractère personnalisé est basé sur les goûts, les préférences et les intérêts individuels - des données qui font donc partie des conditions d'utilisation.
• La publicité personnalisée constituant une composante essentielle du service offert et résultant des conditions d'utilisation spécifiques qui font partie du contrat, la défenderesse était chargée de préciser l'objet du contrat, ce que la demanderesse a accepté de bon gré.

Données sensibles

• Selon la Cour, une violation de l'Art. 9 PIBR ne découle pas des faits constatés.
• En ce qui concerne les données sensibles relatives aux intérêts politiques ou à l'orientation sexuelle, la Cour a estimé qu'un intérêt dans un parti politique ou dans le même sexe ne reflète pas nécessairement l'affiliation du défendeur à une opinion politique particulière ou n'implique pas une orientation sexuelle. En outre, puisque cette dernière avait été rendue publique par le demandeur, la GDPR n'avait pas été violée.
• En traitant simplement les données, la Cour n'a pu constater aucune opération illégale de la part du défendeur dont elle pourrait être tenue responsable.

Dommages et intérêts

• 15 La GDPR stipule que la partie défenderesse est tenue de fournir des informations sur toutes les données à caractère personnel à des intervalles appropriés que la partie défenderesse juge pertinents pour l'utilisateur.
• En violant son devoir, le demandeur n'a pas eu une vue d'ensemble suffisante de toutes les données stockées.
• Sa perte de contrôle et l'incertitude qui l'accompagne lui donnent droit à une demande de dommages et intérêts et à la divulgation de toutes les données demandées.

Commentaire

Cet arrêt offre un compte-rendu détaillé sur la manière dont Facebook crée des profils d'utilisateurs, notamment en s'appuyant sur l'historique des pages visitées ainsi que sur les informations obtenues à partir des connexions d'amis ou d'utilisateurs "similaires". Néanmoins, il ne reconnaît pas la sensibilité de ces données. Bien que la divulgation obligatoire des dossiers du plaignant rende très probable un appel de Facebook, M. Schrems a déjà exprimé son intention de déposer une telle action dans les quatre prochaines semaines. On espère que le fait de porter l'affaire devant une Cour supérieure permettra de clarifier la légalité des activités de Facebook et sa (non-)conformité avec le GDPR. Comme cela avait été le cas dans les instances précédentes, cela pourrait également rendre possible le renvoi de plusieurs questions à la CJCE.

Publié initialement le 08 juillet 2020

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.