Cour suprême autrichienne (OGH) : Meta doit fournir un accès complet à toutes les données personnelles de l'utilisateur dans un délai de 14 jours, y compris les sources, les destinataires et les objectifs pour lesquels chaque information a été utilisée. Toutes les demandes de Meta concernant des secrets commerciaux ou d'autres limitations ont été rejetées, ce qui a permis un accès sans précédent au fonctionnement interne de Meta. Meta collectait également illégalement des données provenant d'applications et de sites web tiers et ne peut fournir des publicités personnalisées que si l'utilisateur a donné son consentement "spécifique, éclairé, non ambigu et librement consenti". Meta doit également veiller à ce que les données révélant des informations sensibles (telles que les opinions politiques, l'orientation sexuelle ou la santé) ne soient pas traitées en même temps que d'autres données, à moins qu'une base juridique valable conformément à l'article 9, paragraphe 2, du GDPR ne s'applique. Meta ne peut se soustraire à l'application de l'article 9 du GDPR en faisant valoir qu'elle ne collecte pas intentionnellement de telles données ou qu'elle ne peut techniquement les distinguer ou les séparer. L'affaire, intentée par Max Schrems en 2014, a duré 11 ans et a été portée devant la Cour suprême autrichienne à trois reprises et devant la CJUE à deux reprises. M. Schrems s'est vu accorder 500 euros de dommages et intérêts.
Accès complet à toutes les données personnelles et autres informations dans un délai de 14 jours. En vertu de l'article 15 du GDPR, Meta doit non seulement fournir une copie complète de toutes les données personnelles à tout utilisateur qui en fait la demande, mais aussi fournir des informations sur les finalités pour lesquelles ces données ont été traitées, les sources et les destinataires de chaque élément d'information. Depuis 2011, le plaignant (Max Schrems) a essayé d'obtenir un accès complet à ses données personnelles, mais Meta n'a fourni qu'un accès partiel. Pour les utilisateurs moyens, Meta n'a fait que renvoyer à un "outil de téléchargement" qui contenait ce qu'il appelait des informations "pertinentes" et a renvoyé à sa politique générale en matière de protection de la vie privée. La Cour suprême autrichienne a décidé que Meta devait divulguer toutes les données à caractère personnel (chacune d'entre elles) et fournir des informations spécifiques sur toutes les données, telles que la source, le destinataire ou la finalité du traitement, le tout dans un délai de 14 jours se terminant le 31.12.2025. Le délai par défaut prévu par la loi est d'un mois, délai qui a déjà expiré il y a plusieurs années. Les demandes de Meta sur les limitations alléguées de tout droit d'accès complet (telles que les secrets commerciaux et autres) n'ont pas été correctement argumentées par Meta et ont donc été entièrement rejetées. L'arrêt définitif et directement exécutoire de la Cour suprême autrichienne permettra donc à M. Schrems d'avoir un accès sans précédent aux pratiques de Meta en matière de traitement de ses données d'utilisateur (et, en réalité, de celles de n'importe qui d'autre).
Katharina Raabe-Stuppning, l'avocate autrichienne représentant le plaignant : "Cela a pris 11 ans, mais il y a maintenant une décision finale selon laquelle Meta doit fournir un accès sans précédent à toutes les données qu'elle a jamais collectées sur M. Schrems. Cela va bien au-delà de l'outil de téléchargement ou des informations figurant sur le site web. Pendant plus d'une décennie, Meta a refusé d'accorder une transparence totale sur les données qu'elle traite sur les utilisateurs européens. L'arrêt est directement applicable dans l'ensemble de l'UE."
Le modèle publicitaire de Meta est illégal dans l'UE depuis des années. La Cour suprême autrichienne a également estimé que Meta devait cesser de fournir des publicités personnalisées à M. Schrems, étant donné qu'elle n'a jamais disposé d'une base juridique pour traiter ses données à caractère personnel à cette fin. À cet égard, les demandes de M. Schrems ont été largement dépassées par l'affaire C-252/21 Bundeskartellamt, dans laquelle la CJUE a déjà estimé que Meta ne disposait pas de la base juridique nécessaire pour traiter les données à caractère personnel des Européens à des fins publicitaires.
Katharina Raabe-Stuppning : "La Cour suprême autrichienne a, une fois de plus, clairement indiqué que Meta doit obtenir le consentement des personnes concernées pour les suivre et utiliser leurs données à des fins publicitaires
Séparation des "données sensibles" des autres données. En vertu de l'article 9 du GDPR, certaines données "sensibles" sont spécialement protégées. Il s'agit notamment des informations relatives à la santé, aux opinions politiques, à la vie sexuelle ou à l'orientation sexuelle. Meta rejette catégoriquement l'idée qu'elle doive traiter ces données - qu'elle reçoit par l'intermédiaire d'applications tierces, de sites web ou de l'activité des utilisateurs sur ses plateformes - différemment des autres données. La Cour suprême autrichienne a toutefois précisé que même si Meta n'utilisait pas intentionnellement ces données (une affirmation qui a été contestée dans la procédure), elle devait néanmoins se conformer à la loi.
Max Schrems : "Les plateformes comme Facebook ou Instagram ont une influence considérable, par exemple en imposant des opinions politiques aux utilisateurs. Il a toujours été absurde pour Meta de prétendre qu'elle ne traite pas de telles données et qu'elle ne doit pas se conformer à la loi. La décision indique clairement que Meta ne doit pas utiliser de telles préférences d'utilisateur sans le consentement explicite de chaque utilisateur."
Des dommages et intérêts de 500 euros sont réalistes pour la plupart des utilisateurs de Meta. Une décision partielle antérieure avait déjà accordé à M. Schrems des dommages et intérêts d'un montant de 500 euros pour le retard pris dans la réponse à sa demande d'accès. M. Schrems s'est également appuyé sur les autres violations du GDPR pour cette demande. L'arrêt ne semble pas clair quant aux motifs des dommages-intérêts accordés, mais il semble que la Cour suprême autrichienne ait considéré qu'un dommage d'au moins 500 euros était tout à fait justifié pour des violations dont presque tous les utilisateurs de Meta ont fait l'expérience. M. Schrems n'ayant pas demandé plus, la Cour s'est donc contentée d'un plafond de 500 euros.
Katharina Raabe-Stuppning : "Il semble réaliste pour les personnes concernées de réclamer au moins 500 euros de dommages et intérêts non matériels pour les violations massives du GDPR auxquelles Meta s'est livré. Cela pourrait être un bon point de repère pour de nombreuses autres affaires en cours en Europe."
11 ans, 3 arrêts de la Cour suprême et 2 arrêts de la CJUE nécessaires. En tout, cette affaire a duré 11 ans. Le premier tribunal civil régional de Vienne (Landesgericht für Zivilrechtssachen) avait refusé d'entendre l'affaire à deux reprises, même en faisant valoir que M. Schrems n'était pas un "consommateur" pour son compte Facebook privé. Plus tard, il a invoqué l'incertitude quant à la compétence juridictionnelle en vertu du GDPR. La Cour suprême autrichienne s'est prononcée sur l'affaire à trois reprises, notamment en renvoyant deux fois à la Cour de justice de l'Union européenne. Bien que la décision finale sur les coûts soit en suspens, les coûts totaux du litige dépassent à ce jour 200 000 euros, pour une demande financière d'environ 500 euros.
Max Schrems : "La réalité des litiges liés au GDPR est que, pour une personne moyenne, cela prend une décennie et est ruineux. Les grandes entreprises technologiques se cachent derrière des juridictions comme l'Irlande, avancent 100 raisons pour lesquelles les affaires devraient être rejetées et sabotent les procédures à chaque coin de rue. Nous devons nous atteler d'urgence à rendre le GDPR applicable dans la pratique"
Certaines plaintes ont été abandonnées. Au cours de la procédure, M. Schrems a renoncé à un certain nombre de demandes pour des raisons de coûts et de procédure. Certaines demandes ont également été introduites en tant que demandes alternatives (de sorte qu'une seule des demandes aurait pu être acceptée). L'affaire a été considérablement prolongée par des décisions très défavorables rendues en première instance, étant donné qu'en droit autrichien, il est par exemple très difficile d'annuler des constatations factuelles en première instance. De nombreuses demandes légitimes ont donc dû être abandonnées.
