Autriche : Schrems contre Facebook : Une mise à jour

Le tribunal régional de Vienne pour les affaires civiles a rendu son verdict dans le procès sur la protection des données opposant l'activiste Max Schrems à la plateforme de médias sociaux Facebook. Le jugement fait suite aux audiences qui se sont tenues dans la capitale autrichienne au début de l'année, au cours desquelles la directrice européenne de la protection de la vie privée de Facebook, Ceilia Alvarez, a été confrontée à des questions portant sur les points suivants :

• La capacité de l'entreprise à obtenir le consentement de ses utilisateurs ;
• son respect des demandes de données formulées par les personnes actives sur le site de réseautage ; et
• la clarification de la terminologie "suppression des données" et de sa signification dans la pratique.

Le jugement rendu le 30 juin 2020 établit que, bien que Facebook doive payer des dommages-intérêts de 500 EUR pour avoir violé ses obligations de divulgation concernant l'utilisation des données personnelles du plaignant, le service de réseautage est réputé avoir agi avec une complicité contractuelle ou légale en ce qui concerne le traitement des données du plaignant.

L'arrêt

Les points juridiques suivants méritent d'être soulignés :

Traitement des données conformément au règlement général sur la protection des données (RGPD)

• La Cour a jugé que l'art. 2 du RGPD ne s'applique pas au traitement des données à caractère personnel à la lumière des activités privées ou familiales.
• Le plaignant aurait conclu un contrat ("accord de traitement des données") avec Facebook lors de la création d'un compte privé.
• Son utilisation personnelle de la plateforme l'a fait sortir du champ d'application du GDPR.
• Le traitement des données a donc été effectué conformément au GDPR et resterait autorisé tant que le plaignant ne supprimerait pas son compte. Ce n'est qu'à ce moment-là que le contrat entre les parties serait résilié.

Conditions générales

• La Cour a également estimé qu'une demande d'injonction exige non seulement que l'acte en question soit interdit, mais aussi qu'il existe un risque de répétition de cet acte illégal, c'est-à-dire que le défendeur a déjà violé la norme établie par la loi.
• En l'espèce, le plaignant avait la possibilité de consentir au traitement de ses données à caractère personnel. En acceptant les conditions du défendeur, il en a volontairement accepté les termes.
• Le modèle économique de la partie défenderesse est basé sur la génération de revenus par le biais de publicités adaptées et de contenus commerciaux. Afin d'offrir son service gratuitement au public, des revenus sont générés par le traitement des données des utilisateurs en vue de les vendre aux annonceurs, qui peuvent les utiliser à des fins de publicité ciblée.
• L'utilisation de la plateforme amène l'utilisateur à accepter consciemment un contenu commercial, dont le caractère personnalisé est basé sur les goûts, les préférences et les intérêts individuels - données qui font donc partie des conditions d'utilisation.
• La publicité personnalisée constituant une composante essentielle du service offert et résultant des conditions spécifiques d'utilisation intégrées au contrat, il appartenait au défendeur de préciser la finalité du contrat, ce que le demandeur a volontairement accepté.

Données sensibles

• Selon la Cour, la violation de l'art. 9 GDPR n'est pas apparue dans les faits constatés.
• En ce qui concerne les données sensibles relatives aux intérêts politiques ou à l'orientation sexuelle, le tribunal a estimé qu'un intérêt pour un parti politique ou pour le même sexe ne reflétait pas nécessairement l'appartenance du défendeur à une opinion politique particulière ou impliquait une orientation sexuelle. En outre, étant donné que cette dernière avait été portée à la connaissance du public par le plaignant, le GDPR n'avait pas été violé.
• En traitant simplement les données, le tribunal n'a pu constater aucune opération illégale de la part du défendeur dont il pourrait être tenu responsable.

Dommages et intérêts

• 15 Le GDPR stipule que le défendeur a l'obligation de fournir des informations sur toutes les données personnelles à des intervalles appropriés que le défendeur juge pertinents pour l'utilisateur.
• En violant cette obligation, le demandeur n'a pas reçu une vue d'ensemble suffisante de toutes les données stockées.
• Sa perte de contrôle et l'incertitude qui en découle lui donnent droit à des dommages-intérêts et à la communication de toutes les données demandées.

Commentaire

Cet arrêt offre un compte rendu détaillé de la manière dont Facebook crée des profils d'utilisateurs, notamment en s'appuyant sur l'historique des pages visitées ainsi que sur les informations obtenues à partir des connexions avec des amis ou des utilisateurs "similaires". Néanmoins, il ne reconnaît pas la sensibilité de ces données. Bien que la divulgation obligatoire des dossiers du plaignant rende très probable un appel de la part de Facebook, M. Schrems a déjà exprimé son intention d'intenter une telle action dans les quatre semaines à venir. On espère que le fait de porter l'affaire devant une cour supérieure apportera plus de clarté sur la légalité des activités de Facebook et sa (non-)conformité avec le GDPR. Comme cela a été le cas dans des instances antérieures, cela pourrait également rendre possible le renvoi de plusieurs questions à la CJCE.

Ressources

Publié à l'origine le 08 juillet 2020

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.