Autriche : Le tribunal supérieur de Vienne confirme la demande de dommages-intérêts contre Facebook

Le 07.12.2020 (signifié le 28.12.2020), l'Oberlandesgericht Wien (OLG) a rendu sa décision dans la procédure d'appel Schrems contre Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b)^[1] Confirmant la décision du tribunal régional pour les affaires civiles (Landesgericht für Zivilrechtssachen), elle a estimé que la plateforme de médias sociaux avait l'obligation de fournir au plaignant un accès complet aux données détenues à son sujet, obligeant ainsi la société à verser une indemnité de 500 EUR (article 82 du GDPR).

Néanmoins, elle a également conclu que l'acte de traitement des données n'exige pas que la plateforme obtienne un consentement distinct et sans ambiguïté de ses utilisateurs conformément à la législation de l'UE sur la protection des données (article 6, paragraphe 1, point a), du GDPR), mais qu'un tel droit d'utilisation des données est intrinsèquement accordé à Facebook en vertu de ses termes et conditions contractuels.

La décision s'articule autour d'un certain nombre de plaintes juridiques et donne lieu à trois questions distinctes qui sont mises en évidence ci-dessous.

Attribution des rôles des parties en vertu de la loi sur la protection des données

Le plaignant

• Selon le plaignant, l'utilisateur de la plateforme est considéré comme le responsable ou le "responsable du traitement" (article 4, paragraphe 7, du RGPD) en ce qui concerne les applications de données qu'il exploite à des fins personnelles ;
• Le défendeur agit par contrat en tant que "sous-traitant", ce qui l'empêche d'effectuer des applications de données sans ou contrairement aux instructions du demandeur ;
• Un contrat répondant aux exigences de l'article 28(3) GDPR n'a pas été conclu, bien que le demandeur ait droit à un tel accord.

Défendeur

Le défendeur doit être considéré comme la seule partie responsable par rapport au demandeur, qui n'a pas d'intérêt à obtenir une mesure déclaratoire.

OLG (pp 21-23)

• La simple utilisation d'une plateforme de réseau social ne rend pas en soi un utilisateur coresponsable du traitement des données à caractère personnel effectué par ce réseau ;
• Une distinction doit être faite en ce qui concerne les pages de fans, où l'opérateur de ladite page contribue au traitement des données à caractère personnel des visiteurs, ce qui en fait un responsable du traitement (CJCE C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, en particulier les paragraphes 35, 36 et 41). 35, 36 et 41).
• Un utilisateur de Facebook n'est donc qu'une partie coresponsable en ce qui concerne les données à caractère personnel de tiers (article 4, paragraphe 7, du GDPR) et une personne concernée en ce qui concerne ses propres données à caractère personnel.

Consentement effectif au traitement des données à caractère personnel

Demandeur

• Le fait de consentir aux conditions d'utilisation de la plateforme de médias sociaux et aux lignes directrices relatives à l'utilisation des données qui y sont associées ne donne pas lieu à un consentement effectif au sens de l'article 6, paragraphe 1, et de l'article 7 du GDPR ;
• Contrairement aux dispositions du GDPR, qui sont entrées en vigueur le 25.05.2018, les contrats de droit civil régis par l'ancienne loi sur la protection des données ne prévoyaient pas d'exigences explicites en matière de "consentement" ;
• En intégrant le consentement préalable dans les conditions générales de la société avant l'entrée en vigueur du GDPR, les utilisateurs ont été involontairement contraints de conclure un nouveau contrat, ce qui a permis à la plateforme de contourner les normes de protection des données plus strictes en vertu des dispositions actuelles du GDPR ;
• En tant que tel, aucun consentement effectif au sens du GDPR n'a été donné par le plaignant quant au traitement des données effectué par le défendeur.

Défendeur

Le traitement des données effectué par la plateforme était conforme aux dispositions de l'article 6, paragraphe 1, point b), du GDPR puisqu'il constituait une partie nécessaire de l'exécution du contrat.

OLG (pp. 23-24)

• Le GDPR autorise différents fondements pour le traitement des données à caractère personnel, notamment s'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (article 6, paragraphe 1, point b), du GDPR) ;
• La nécessité est déterminée au cas par cas, en tenant dûment compte de l'objectif contractuel et des obligations découlant du contenu du contrat ;
• L'essence du modèle commercial de Facebook et son objectif contractuel sont centrés sur :
  • Pour l'utilisateur : obtenir l'accès à la plateforme de communications personnalisées ;
  • Pour la plateforme : rendre l'accès disponible sans coûts supplémentaires ;
• En tant que telle, la société qui exploite la plateforme peut recourir à d'autres sources de financement, par exemple la publicité personnalisée pour l'utilisateur spécifique ;
• Le traitement des données personnelles des utilisateurs constitue un pilier fondamental de l'accord entre la plateforme et l'utilisateur, car il permet d'adapter la publicité aux intérêts de l'utilisateur individuel ;
• L'élément de nécessité concernant le traitement des données est établi dans la mesure où l'utilisation de ces informations façonne l'expérience individualisée des utilisateurs d'une part, et constitue d'autre part un canal financier par lequel la plateforme obtient ses bénéfices.

Demande de fourniture d'informations

Demandeur

• Une demande d'information a été soumise, mais n'a pas reçu de réponse conformément à l'article 15 du RGPD ;
• La mise à disposition partielle des informations relatives à l'utilisation et au traitement des données (personnelles) ne répond pas aux obligations légales du défendeur ;
• L'incertitude concernant le traitement des données a provoqué une détresse émotionnelle qui donne droit au plaignant à des dommages-intérêts non matériels de 500 EUR.

Défendeur

• Le défendeur n'a pas manqué à ses obligations ;
• Aucune allégation concluante concernant la demande de dommages-intérêts n'a été faite par le demandeur.

OLG (24-29)

• Facebook n'a pas permis à ses utilisateurs d'accéder aux données contenues dans leurs outils d'accès, ce qui confère au plaignant un droit d'action fondé sur l'article 15, paragraphe 1, du RGPD ;
• Le plaignant a le droit d'obtenir des informations sur :
  • Les données à caractère personnel traitées par Facebook et leurs finalités (article 15, paragraphe 1, point a), du RGPD) ;
  • Les personnes auxquelles les données à caractère personnel sont divulguées, c'est-à-dire les (catégories de) destinataires (article 15, paragraphe 1, point b), du RGPD) ;
  • l'origine des données si elles n'ont pas été collectées auprès du demandeur (article 15, paragraphe 1, point g), du RGPD) ;
• Le montant de 500 EUR reflète l'ampleur mineure de la gêne subie par le plaignant et s'avère justifié.

Commentaire

Conformément aux observations du plaignant, l'Agence européenne pour la protection des données a déjà expressément interdit le traitement de catégories particulières de données à caractère personnel, à moins qu'un consentement exprès ne soit donné ou que ce traitement ne soit nécessaire pour des raisons d'intérêt public majeur (article 9, paragraphe 2, point g), du RGPD). Bien que des clauses contractuelles sur l'utilisation des données puissent encore être utilisées pour le transfert de données, elles ne suffiraient pas à remplacer la nécessité d'un tel consentement^[2].

Bien que l'OLG ait accordé un droit de recours à la Cour suprême autrichienne, les questions juridiques soulevées devraient à nouveau être portées devant la Cour de justice de l'Union européenne en temps utile.

Ressources

1. Jugement disponible en allemand via : https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung : Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Conseil européen de la protection des données. Disponible à l'adresse : edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [consulté le 05.02.2021].

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.