Cour supérieure de Vienne : Facebook peut "contourner" le consentement de la GDPR, mais doit donner accès aux données

29 Déc 2020

La Cour supérieure de Vienne (Oberlandesgericht Wien) a rendu aujourd'hui un jugement selon lequel Facebook doit payer à M. Schrems 500 euros de dommages émotionnels et lui accorder un accès complet à toutes les données que Facebook détient à son sujet. Cependant, le géant de l'internet n'a pas besoin d'obtenir le consentement des utilisateurs pour utiliser leurs données en vertu de la législation européenne sur la protection des données (GDPR). Facebook peut simplement s'accorder le droit d'utiliser toutes les données dans ses conditions générales.

Le "contournement du consentement" de Facebook est-il légal ? La GDPR autorise différentes bases pour le traitement des données personnelles : Par exemple, le consentement ou un contrat. Les contrats de droit civil n'ont pas besoin de remplir les exigences strictes du "consentement" selon la GDPR. Cela signifie que l'entreprise n'est pas tenue de donner aux utilisateurs un libre choix et d'obtenir un consentement distinct et non équivoque. En dehors du système de consentement, les utilisateurs ne pourraient pas non plus retirer leur accord lorsqu'ils changent d'avis.

Suivant cette idée, Facebook a simplement copié le consentement précédent dans ses conditions de droit civil la nuit du 25.5.2018, lorsque le GDPR est entré en vigueur. L'entreprise prétend maintenant avoir un "contrat" pour traiter les données des utilisateurs. Ce nouveau contrat remplace donc le consentement qui était utilisé avant l'entrée en vigueur de la GDPR. Cette mesure visait clairement à contourner les exigences plus strictes en matière de protection des données exigées par le législateur européen : Les utilisateurs de Facebook ont maintenant moins de droits en vertu de la GDPR qu'ils n'en avaient auparavant en vertu de l'ancienne loi sur la protection des données car, selon la Cour supérieure régionale de Vienne, ils ont conclu un contrat pour recevoir de la publicité personnalisée.

Cependant, dans une enquête représentative menée auprès de 1 000 utilisateurs de Facebook, seuls 1,6 % des utilisateurs ont reconnu un tel "contrat". La majorité a supposé un "consentement" - tout comme la plaignante. Le Conseil européen de la protection des données (CEPD) n'autorise pas non plus explicitement les "contrats d'utilisation des données" en lieu et place du consentement.

Schrems :"Le tribunal autrichien permet à Facebook de contourner les nouvelles exigences du GDPR. Facebook a simplement copié le "consentement" dans un autre document la nuit où la GDPR est entrée en vigueur et affirme qu'il s'agirait d'un contrat et non d'un consentement. Cela aurait pour conséquence que les Européens seraient dépouillés de leurs nouvelles protections. Facebook abuse clairement de la loi et cela ne peut être toléré"

Facebook doit payer 500 euros et donner un accès complet aux données. D'autre part, Facebook a perdu son recours sur le droit d'accès. Les tribunaux autrichiens ont jugé à deux reprises que Facebook n'accorde pas aux utilisateurs un accès complet à toutes les données pertinentes dans leurs différents "outils" d'accès. La Cour a également jugé que les utilisateurs ont le droit d'être informés des autres parties qui ont fourni des données à Facebook ou si et à qui Facebook a fourni des données. Comme Facebook a constamment laissé M. Schrems dans l'ignorance de ces détails, ils sont tenus de payer au moins le montant symbolique de 500 € que M. Schrems a demandé au titre du préjudice moral.

M. Schrems :"Il est clair que Facebook ne fournit pas les informations pertinentes. Je suis heureux de voir que la Cour a également accordé des dommages et intérêts dans de tels cas, où les entreprises refusent systématiquement aux utilisateurs leur droit de savoir quelles données une entreprise détient sur eux"

Appel devant la Cour suprême autrichienne et éventuellement renvoi devant la CJUE : La Cour supérieure de Vienne a autorisé un recours devant la Cour suprême autrichienne (OGH). M. Schrems introduira un tel recours auprès de son avocate Katharina Raabe-Stuppnig. Il est probable que la Cour suprême autrichienne puisse saisir la Cour de justice des Communautés européennes (CJUE) de ces questions. Cette cour suprême de l'UE aurait le dernier mot si le contournement du GDPR de Facebook est légal.

M. Schrems :"Il semble que la Cour n'ait pas vraiment examiné de manière approfondie les nombreux problèmes que cette affaire soulève. Nous allons clairement essayer de porter cette affaire jusqu'aux plus hautes instances judiciaires. Il pourrait y avoir un renvoi à la CJUE sur les questions essentielles au printemps 2021. Si l'industrie est autorisée à ajouter une ligne à ses conditions, à contourner les exigences de consentement du GDPR, nous pouvons déchiqueter de grandes parties du GDPR"