BREAKING : l'OGH autrichien demande à la CJUE si Facebook "sape" le GDPR depuis 2018

20 Juil 2021

BREAKING : la Cour suprême autrichienne demande à la CJUE si Facebook "porte atteinte" au GDPR en confondant le "consentement" avec un prétendu "contrat".

Dans le cadre d'une affaire civile de longue date opposant Max Schrems à Facebook, la Cour suprême autrichienne (Oberster Gerichtshof, ou "OGH") a accepté la demande de M. Schrems de poser un certain nombre de questions à la Cour de justice de l'Union européenne (CJUE, la plus haute juridiction de l'UE). Les quatre questions soulèvent des doutes fondamentaux sur la légalité de l'utilisation des données de tous les clients de l'UE par Facebook

Parallèlement, la Cour suprême d'Autriche a également décidé, dans un jugement partiel, que M. Schrems obtient 500 euros de dommages émotionnels symboliques parce que Facebook n'a pas donné un accès complet aux données de M. Schrems, mais a organisé une "chasse aux œufs" pour les données des utilisateurs.

(1) Renvoi à la CJUE :

Question centrale : "Consentement" ou "contrat" ? La Cour suprême autrichienne a des doutes sur la base juridique utilisée par Facebook pour la quasi-totalité du traitement des données des utilisateurs. Le GDPR énumère six options pour traiter légalement des données personnelles, parmi lesquelles le "consentement" et le "contrat". Vous ne pouvez invoquer le "contrat" que si le traitement est nécessaire à l'exécution du contrat.

Avant l'entrée en vigueur du GDPR, Facebook affirmait que les utilisateurs "consentaient" au traitement de la publicité personnalisée. Cependant, le GDPR a relevé les exigences pour que le consentement soit valide et a également donné aux utilisateurs le droit de retirer leur consentement à tout moment.

Ainsi, le 25 mai 2018, lorsque le GDPR est devenu applicable, Facebook n'a plus prétendu s'appuyer sur le consentement. Au lieu de cela, Facebook a déclaré que les clauses de consentement devaient être considérées comme un "contrat" dans lequel les utilisateurs "commandaient" une publicité personnalisée. Selon Facebook, ce contournement lui permet de dépouiller les utilisateurs de tous les droits liés au consentement en vertu du GDPR. Les exigences d'un consentement "librement donné" ou "éclairé" ne s'appliqueraient plus s'il est interprété comme un "contrat".

Max Schrems, président de noyb.eu :" Facebook tente de priver les utilisateurs de nombreux droits liés au GDPR en " réinterprétant " simplement le consentement comme un contrat de droit civil. Ce n'était rien d'autre qu'une tentative bon marché de contourner le GDPR."

OGH : Facebook pourrait illégalement " miner " le GDPR. La Cour suprême autrichienne semble partager ces préoccupations. Dans sa saisine de la CJUE, la Cour suprême autrichienne résume son point de vue au paragraphe 54 de la saisine :

"Une question centrale de la présente procédure est de savoir si la déclaration d'intention de traiter peut être déplacée par le défendeur en vertu du concept juridique selon l'article 6(1)(b) GDPR afin de "saper" ainsi la protection nettement plus élevée que la base juridique "consentement" offre au plaignant."

Max Schrems :"En gros, toute utilisation de données qui génère des profits pour Facebook dans l'UE repose sur cet argument juridique. Si Facebook perd devant la CJUE, il devra non seulement y mettre fin et supprimer toutes les données générées illégalement, mais aussi verser des millions de dommages et intérêts aux utilisateurs. Je suis très heureux de cette référence."

Autres questions sur la minimisation des données et les données sensibles. La Cour suprême autrichienne a renvoyé à la Cour de justice trois autres questions sur la légalité de l'utilisation des données personnelles par Facebook. La CJUE devra décider si l'utilisation de toutes les données sur facebook.com et d'innombrables autres sources, telles que les sites web qui utilisent les boutons "Like" de Facebook ou la publicité, à quelque fin que ce soit , est compatible avec le principe de "minimisation des données" du GDPR. Deux autres questions concernent l'utilisation par Facebook de données sensibles (comme les opinions politiques ou l'orientation sexuelle) pour la publicité personnalisée.

Max Schrems :"Ces autres questions sont cruciales. Facebook pourrait ne plus être autorisé à utiliser toutes les données pour des publicités, même s'il a obtenu un consentement valide. De même, il pourrait devoir filtrer les données sensibles comme les opinions politiques ou les données sur l'orientation sexuelle. Jusqu'à présent, Facebook a fait valoir qu'il ne faisait pas de différence entre ces types de données."

(2) Jugement partiel sur les dommages, l'accès, les rôles et les "Easter Eggs" (œufs de Pâques)

En outre, la Cour suprême autrichienne a rendu un jugement définitif sur certaines demandes qui peuvent être décidées sans qu'il soit nécessaire de saisir la CJUE.

500 € pour " nuisance massive ", manque d'accès aux données et " œufs de Pâques ". La Cour suprême d'Autriche a décidé que M. Schrems recevrait une compensation financière de 500 euros parce que Facebook ne lui a pas donné un accès complet à ses données. La Cour a estimé qu'il n'a pas obtenu toutes les données brutes, ni des informations cruciales telles que la base juridique sur laquelle ses données ont été traitées. La Cour a souligné que les données proposées par Facebook via son outil en ligne étaient dispersées parmi plus de 60 catégories de données, avec des centaines, voire des milliers de points de données, ce qui nécessiterait quelques heures de travail.

La Cour a déclaré au paragraphe 153 : " Le demandeur souligne à juste titre que le GDPR est fondé sur une demande d'accès unique, et non sur une "chasse aux œufs de Pâques" ".

La Cour suprême autrichienne a également été assez claire sur la prétention de Facebook à avoir donné à M. Schrems toutes les données qu'elle jugeait "pertinentes" (paragraphe 152) :

"Le fait que l'obligation de fournir des informations ne peut pas dépendre de la simple auto-évaluation du défendeur ("pertinent") ne nécessite pas d'explication supplémentaire."

Charge de la preuve sur Facebook. La Cour suprême a également souligné à plusieurs reprises que c'est à Facebook qu'il incombe de prouver qu'il a donné un accès complet ou que le traitement est légal (par exemple au paragraphe 151). Au cours de la procédure, Facebook a estimé qu'il appartiendrait à M. Schrems de démontrer que Facebook n'a pas fourni toutes les données et a simplement refusé de répondre aux questions de M. Schrems.

Qui est "propriétaire" des données sur Facebook ? L'affaire a remis en question le rôle des acteurs de la plateforme Facebook. M. Schrems a fait valoir qu'il est le principal responsable des données de son profil ou de ses messages sur Facebook (juridiquement en tant que "responsable du traitement"), ce qui signifie que Facebook doit suivre ses ordres lorsqu'il s'agit par exemple de supprimer des données (en tant que simple "sous-traitant"). Facebook a estimé qu'il était le "responsable du traitement" pour toutes les données des utilisateurs sur Facebook - à quelques exceptions près. La Surpeme Court autrichienne a déclaré que la question n'était pas pertinente, car l'utilisation de Facebook relèverait de l'"exception domestique" et la question ne se poserait donc pas.

Max Schrems :"Sur cet élément, nous avons techniquement "perdu", mais selon l'opinion de la Cour, Facebook serait légalement responsable de tout traitement illégal sur facebook.com - même si cela est fait par d'autres. Nous avons proposé un résultat plus nuancé, mais la Cour ne s'est pas penchée sur la question."