Le contrat comme fondement juridique ? Une nouvelle décision de la CJUE crée des risques de personnalisation

Le contrat comme fondement juridique ? Une nouvelle décision de la CJUE crée des risques de personnalisation
Le contrat comme fondement juridique ? Une nouvelle décision de la CJUE crée des risques de personnalisation
Photo de Peter Craddock

Quels types de traitement sont nécessaires à l’exécution ou à la conclusion d’un contrat ?

C’est l’une des questions que la Cour de justice de l’Union européenne (CJUE) a été saisie d’examiner dans l’affaire C-252/21 entre Meta Platforms et l’Office fédéral allemand des cartels, dans laquelle elle a rendu un arrêt le 4 juillete2023.

Avant d’examiner l’arrêt, il est utile de rappeler que le règlement général sur la protection des données (RGPD) permet de fonder le traitement des données personnelles sur le « contrat » comme fondement juridique (par opposition, par exemple, aux intérêts légitimes, au consentement et autres). Le comité européen de la protection des données a fait référence à plusieurs reprises à la nécessité d’un «lien objectif» entre ce traitement et le cadre contractuel, et un responsable du traitement doit démontrer cette nécessité, conformément à son obligation de responsabilité.

Cette affaire a spécifiquement examiné la question de savoir si certaines activités de traitement étaient effectivement justifiées par le « contrat » en tant que fondement juridique dans le cadre de la fourniture d’un service de médias sociaux en ligne.

La CJUE a estimé que cette nécessité doit être démontrée et que le critère est que le traitement doit être « objectivement indispensable ». Dans son raisonnement, cependant, la CJUE a fait une évaluation factuelle inhabituelle concernant les services personnalisés – des commentaires qui peuvent avoir des implications profondes et peuvent créer une incertitude importante.

Il est utile de citer des extraits clés pour montrer le raisonnement de la CJUE :

  • « 98. […] pour que le traitement de données à caractère personnel soit considéré comme nécessaire à l’exécution d’un contrat, au sens de cette disposition, il doit être objectivement indispensable à une finalité qui fait partie intégrante de l’obligation contractuelle qui incombe à la personne concernée. Le responsable du traitement doit donc être en mesure de démontrer comment l’objet principal du contrat ne peut être réalisé si le traitement en question n’a pas lieu.
    • Cela signifie, en pratique, non seulement que sans le traitement, le contrat ne pourrait être exécutémais aussi que documentation interne doit être en mesure de soutenir le « contrat » comme fondement juridique.
  • « 99. Le fait qu’un tel traitement puisse être mentionné dans le contrat ou être simplement utile à l’exécution du contrat est, en soi, sans pertinence à cet égard. Le facteur décisif aux fins de l’application de la justification énoncée à l’article 6, paragraphe 1, premier alinéa, point b), du RGPD est plutôt que le traitement de données à caractère personnel par le responsable du traitement doit être essentiel à la bonne exécution de la contrat conclu entre le responsable du traitement et la personne concernée et, par conséquent, qu’il n’existe pas d’alternative viable et moins intrusive.
    • Cela suggère que les responsables du traitement peuvent établir la nécessité en montrant que les « alternatives moins intrusives » ne sont pas réalisables.

Jusqu’ici, tout va bien. Ces paragraphes de l’arrêt de la CJUE montrent qu’il est possible de justifier correctement le recours au « contrat » comme fondement juridique si la description du service n’est pas artificielle et s’il existe des raisons objectives de construire un service d’une manière particulière.

Cependant, un peu plus loin, la CJUE apporte une mise en garde très importante à ce raisonnement, en fournissant sa propre analyse factuelle de la « personnalisation » :

  • « 102. S’agissant, en premier lieu, de la justification tirée d’un contenu personnalisé, il est important de noter que, bien qu’une telle personnalisation soit utile à l’utilisateur, dans la mesure où elle lui permet, entre autres, de visualiser un contenu correspondant dans une large mesure à ses intérêts, il n’en demeure pas moins que, sous réserve de vérification par la juridiction de renvoi, un contenu personnalisé n’apparaît pas nécessaire pour proposer à cet utilisateur les services du réseau social en ligne. Ces services peuvent, le cas échéant, être fournis à l’utilisateur sous la forme d’une alternative équivalente n’impliquant pas une telle personnalisation, de sorte que celle-ci n’est pas objectivement indispensable à une finalité qui fait partie intégrante de ces services.
    • La CJUE procède toujours à une évaluation de la manière dont le droit de l’UE doit être interprété et elle utilise normalement les faits de la cause uniquement comme contexte, afin de comprendre les questions qui lui sont posées. Ce paragraphe particulier contient une opinion sur les faits eux-mêmes – de l’avis de la CJUE (et elle a probablement fourni des informations détaillées sur les faits), la personnalisation du contenu n’est pas objectivement indispensable à la fourniture des « services du réseau social en ligne ». Il peut cependant être difficile pour un juge national (mentionné par l’expression « sous réserve de vérification par la juridiction de renvoi ») de parvenir à une conclusion contraire, en raison de l’autorité morale de la CJUE. Cela rend ce paragraphe particulier inhabituel.

En plus d’être inhabituel, ce paragraphe particulier soulève des questions importantes pour d’autres responsables du traitement qui pourraient s’appuyer sur le « contrat » dans le cadre de la fourniture de services personnalisés. Après tout, si la personnalisation d’un service de médias sociaux n’est pas jugée objectivement indispensable par la CJUE, qu’est-ce qui l’est ? La déclaration semble également contredire la position de la CJUE selon laquelle l’absence d’alternatives viables et moins intrusives montre la nécessité : d’après notre expérience, les entreprises (comme Meta et toutes les autres) ne choisissent généralement pas au hasard d’offrir un service de manière personnalisée ou non personnalisée. ; il existe normalement des raisons objectives en interne pour ignorer ou s’éloigner d’un modèle d’entreprise particulier. Pourtant, la CJUE semble suggérer qu’un service de médias sociaux non personnalisé est, en tout état de cause, réalisable, sans aucune justification évidente pour cette position. Dans ce contexte, ce paragraphe particulier semble regrettable, car il crée, à notre avis, un risque que les autorités de contrôle (que ce soit de leur propre initiative ou sous l’impulsion de plaintes) et les tribunaux pourraient considérer sans justification apparente qu’une alternative particulière qui a été ignorée ou laissé par un contrôleur (pour des raisons valables) est en fait réalisable. Cela peut même arriver aux contrôleurs qui ont construit un service en tant que service personnalisé dès le début.

Au contraire, cette décision montre la nécessité d’examiner attentivement la documentation et la justification de l’utilisation du « contrat » comme fondement juridique.

Il est disponible en ligne, en plusieurs langues.

Pour toute question sur les problèmes de protection des données ou sur la manière de documenter la nécessité du traitement, contactez Peter Craddock ou tout autre membre de l’équipe de droit des données de Keller and Heckman LLP.

Bibliographie :

Livre de cuisine/Tarte au riz.,Référence litéraire de cet ouvrage.

mutualite55.fr vous a reproduit ce post qui parle du sujet « Défense des patients ». Le site mutualite55.fr a pour but de publier plusieurs publications sur le thème Défense des patients développées sur la toile. La chronique est reproduite du mieux possible. Dans le cas où vous envisagez d’apporter des notes sur le thème « Défense des patients », vous êtes libre de prendre contact avec notre équipe. Il y aura plusieurs développements autour du sujet « Défense des patients » à brève échéance, nous vous invitons à naviguer sur notre site internet périodiquement.