Zu Artikeldetails zurückkehren Protection des données et droit de la concurrence: la non-conformité en tant qu'abus de position dominante



Protection des données et droit de la concurrence: la non-conformité en tant qu'abus de position dominante

Pranvera Këllezi

L'Office fédéral des ententes en Allemagne a interdit le croisement des données en provenance des services internes et externes de Facebook avec le compte de chaque utilisateur, au motif qu'un tel traitement était contraire au RGPD et que, de ce fait, le réseau social abusait de sa position dominante. En matière de protection des données, la position dominante du responsable du traitement a pour fonction d'écarter tout fondement juridique justifiant un type particulier de traitement, alors que ladite position ne devrait pas être pertinente pour juger de la conformité au RGPD. La décision s'inscrit dans une tendance voulant s'affranchir de critères d'examen du fonctionnement du marché en droit de la concurrence, sans pour autant apporter une vraie valeur ajoutée en matière de protection des données.

Citation: Pranvera Këllezi, Protection des données et droit de la concurrence: la non-conformité en tant qu'abus de position dominante, dans: sui-generis 2019, S. 274

URL: sui-generis.ch/109

DOI: https://doi.org/10.21257/sg.109


I. Introduction

En février 2019, après trois ans d'enquête, l'Office fédéral des ententes en Allemagne (ci-après «Bundeskartellamt»), l'autorité en charge de la protection de la concurrence, a interdit à Facebook d'attribuer les données en provenance des services internes et externes au compte de chaque utilisateur,[1] au motif qu'un tel traitement était contraire au RGPD.[2] Les conditions d'utilisation et les politiques de confidentialité ont été jugées insuffisantes pour obtenir le consentement des utilisateurs dans la mesure où elles conditionnent l'utilisation du service de média social à l'intégration des données des utilisateurs recueillies par d'autres services internes tels que WhatsApp et Instagram, ainsi que des données recueillies par des éditeurs ou publicitaires externes. Le regroupement des données reste possible uniquement si l'utilisateur y consent.

Par jugement du 26 août 2019,[3] la Cour d'appel de Düsseldorf a ordonné l'effet suspensif du recours introduit par Facebook. L'exécution des mesures correctives ordonnées par le Bundeskartellamt est ainsi suspendue en attente du jugement sur le fond ou jusqu'à une éventuelle levée de l'effet suspensif par la Cour fédérale de justice (ci-après «BGH»).[4] En substance, la Cour d'appel de Düsseldorf conclut que la décision Facebook viole le droit et que son annulation est donc très probable. L'examen sommaire de la Cour se base sur la prémisse de l'existence d'une position dominante et ne prend pas position sur la violation du RGPD, points qui feront l'objet de l'examen approfondi sur le fond. Le jugement de la Cour d'appel rejette une violation automatique de l'interdiction de l'abus de position dominante en raison de la non-conformité au RGPD: les conditions spécifiques de l'art. 19 de la loi allemande sur la protection de la concurrence (ci-après «GWB» ou «Gesetz gegen Wettbewerbsbeschränkungen») doivent être remplies pour retenir une violation de cette loi. Aux yeux de la Cour d'appel de Düsseldorf, le traitement des données incriminé ne constitue pas un abus de position dominante, ceci ni sous la forme de l'exploitation des utilisateurs, ni dans la forme de l'exclusion des concurrents.[5] La Cour souligne en outre que la décision ne démontre pas une causalité entre la position dominante de Facebook et l'abus, condition pourtant nécessaire pour retenir une violation de l'art. 19 GWB. Enfin, elle nie, compte tenu des faits présentés dans la décision Facebook, toute situation de dépendance des utilisateurs envers le réseau social qui rendrait invalide l'acceptation des conditions générales d'utilisation.

La mesure de séparation interne des bases de données des médias sociaux de celles collectées par Instagram et WhatsApp, acquises par Facebook respectivement en 2012 et 2014, tente de défaire, au moins en ce qui concerne l'Allemagne, les acquisitions autorisées sans enquête approfondie par la Commission européenne[6] ou d'autres autorités.[7] Facebook fait l'objet de discussions politiques, en particulier aux États-Unis, certains commentateurs suggérant précisément un démantèlement le long des lignes de démarcation des services de WhatsApp et d'Instagram.[8] La FTC enquêterait actuellement sur les acquisitions de Facebook.[9]

Bien que l'enquête du Bundeskartellamt ait commencé avant l'affaire Cambridge Analytica, la décision sera commentée dans le public aussi sous l'angle de l'impact des nouvelles technologies sur la société. La gouvernance de l'Internet est un enjeu majeur. En Europe, les acteurs d'Internet d'envergure mondiale ont fait l'objet de plusieurs décisions fondées sur le droit de la protection des données,[10] le droit de la consommation[11] et les lois contre les conditions générales abusives.[12] L'autorité irlandaise de protection des données, l'autorité chef de file compétente pour agir contre Facebook en vertu de l'art. 56 RGPD, a annoncé la clôture prochaine de plusieurs enquêtes ouvertes contre Facebook, WhatsApp et Instagram.[13]

Dans ce contexte de densité règlementaire croissante, se pose la question de l'apport du droit de la concurrence en matière de droit fondamental des individus à la protection des données. Doit-on l'utiliser pour assurer l'application du RGPD ou d'autres corps de règles? La question ne concerne pas ici le champ d'intervention des autorités de la concurrence: le droit de la concurrence s'applique de manière concurrente aux états de fait qui peuvent entrer dans le champ d'application d'autres lois. La question posée par l'intervention du Bundeskartellamt est l'intégration des conditions d'application d'une autre réglementation (ici le RGPD) pour constater la violation du droit de la concurrence, ceci en lieu et place de ses propres conditions d'intervention: une violation du RGPD devient per se une violation du droit de la concurrence. Ce faisant, cette approche propose d'élargir considérablement les pouvoirs des autorités de la concurrence.

Par la même occasion, l'argumentaire de la décision intègre la position dominante comme un critère distinct d'application du RGPD, en lui donnant une dimension nouvelle concernant les entreprises en position dominante. L'approche suivie par la décision Facebook est susceptible d'avoir une influence sur l'application du droit de la protection des données aux entreprises en position dominante par les autorités chargées de la protection des données (section III).

Le présent article examine en conséquence l'argumentaire de la décision du Bundeskartellamt en se concentrant sur l'impact que pourrait avoir un tel argumentaire sur le droit de la concurrence (section II) et le droit de la protection des données (section III).

Dans chaque section seront présentés premièrement les faits et les arguments principaux de la décision Facebook en lien avec le droit de la concurrence (section II.1) et le droit de la protection des données (section III.1). Dans un deuxième temps, ces arguments seront analysés à la lumière de chaque corps de règles, en examinant les apports et les conséquences que pourraient avoir de tels arguments sur le développement du droit de la concurrence (section II.2) et du droit de la protection des données (section III.2), ainsi que l'impact sur les entreprises.

Nous nous référerons également dans notre article aux objections principales soulevées dans le jugement de la Cour d'appel de Düsseldorf, sans commenter cependant ce jugement compte tenu du caractère sommaire de son examen.

II. Les arguments relatifs à la position dominante, son abus et leur incidence sur l'application du droit de la concurrence

Dans cette section, nous allons présenter en premier lieu les arguments principaux de la décision Facebook liés au droit de la concurrence (section II.1). La deuxième partie propose une analyse critique de ces arguments au regard des critères d'intervention classiques en droit de la concurrence (section II.2). Une telle analyse est justifiée par leur impact sur le développement du droit de la concurrence dans d'autres juridictions. Ces arguments vont au-delà des particularités du droit allemand, qui ne feront pas l'objet du présent article.

1. L'argumentaire de la décision Facebook

La décision Facebook est fondée uniquement sur la disposition allemande relative à l'abus de position dominante (art. 19 al. 1 GWB).[14] Il est expliqué que l'art. 102 TFUE ne couvre pas la protection des droits fondamentaux, ni les valeurs protégées par d'autres lois.[15] L'intervention du Bundeskartellamt est toutefois autorisée en vertu de l'art. 3 al. 2 du Règlement 1/2003.[16]

a) Pouvoir de marché, position dominante et données personnelles

Facebook est considéré comme dominant sur le marché national des réseaux sociaux pour les utilisateurs privés.[17] Lorsque le prix du service est zéro et que les paiements monétaires sont remplacés par l'attention de l'utilisateur et la commercialisation de ses données auprès des annonceurs sous la forme d'une publicité ciblée, l'étendue de traitement des données des utilisateurs est également un facteur pertinent pour définir le pouvoir de marché.[18] La décision se réfère à l'art. 18 al. 3 let. a GWB nouvellement introduit concernant l'accès aux données en tant que critère autonome dans l'appréciation du pouvoir de marché.[19] Etant donnée que le pouvoir de marché permet de traiter des données même contre la volonté des utilisateurs,[20] Facebook dispose d'un champ d'action et de traitement des données qui n'est pas suffisamment contrôlé par la concurrence.[21] La quantité de données collectées et traitées est telle qu'elle crée des barrières à l'entrée qui ne peuvent être contestées par les concurrents, sauf par Google.[22] Les données jouent en fait un rôle important dans l'évaluation globale de la position dominante, bien que la décision maintienne qu'une large base de données d'un participant au marché en tant que telle n'est pas une indication du pouvoir de marché.[23]

b) Politiques de confidentialité et conditions d'utilisation comme abus de position dominante

Selon la jurisprudence allemande, les conditions générales d'utilisation peuvent être qualifiées d'abus de position dominante. La décision Facebook est basée sur les arrêts VBL[24] et Pechstein[25] de la BGH. Plus particulièrement, les politiques de confidentialité sont également susceptibles d'être considérées comme abusives. La jurisprudence Pechstein est utilisée comme fondement pour englober la protection des droits fondamentaux des utilisateurs en matière de données personnelles dans les buts poursuivis par l'art. 19 al. 1 GWB,[26] considérant les dispositions du RGPD comme des principes impératifs pour évaluer le caractère raisonnable des politiques de confidentialité.[27] La décision Facebook est fortement basée sur les valeurs constitutionnelles,[28] le droit des utilisateurs à l'autodétermination en matière d'information, respectivement le droit fondamental à la protection des données[29] et l'art. 8 al. 2 de la Charte des droits fondamentaux de l'UE.[30]

Après avoir intégré les principes du RGPD comme condition de l'application de l'art. 19 al. 1 GWB, l'évaluation de l'abus se fait exclusivement par l'application de ces principes (voir section III.1 ci-dessous).

c) Violation du RGPD en tant que manifestation d'un pouvoir de marché

La mise en œuvre des conditions d'utilisation et des politiques de confidentialité constitue un abus de position dominante parce que ces conditions sont la manifestation du pouvoir de marché. L'appréciation de la causalité entre pouvoir de marché et pratique abusive se limite à la constatation qu'il n'y a pas d'exigence de causalité. En se référant aux arrêts de la BGH susmentionnés, il est expliqué que l'exigence selon laquelle l'abus doit être la manifestation d'un pouvoir de marché est une condition suffisante et non une condition nécessaire. En outre, le concept de «causalité normative» (normative Kausalität) rend superflu tout examen de causalité. En examinant la causalité normative, la décision se réfère uniquement au statut du destinataire de la norme[31] (c'est-à-dire à la position dominante de Facebook) et à la violation du droit à l'autodétermination des utilisateurs comme manifestation de cette position dominante.[32]

L'effet anticoncurrentiel au détriment des concurrents est également mentionné dans la décision Facebook, sans examen particulier. L'intégration des données risque de transférer le pouvoir de marché vers d'autres marchés où sont présents WhatsApp ou Instagram. En outre, la combinaison de l'ensemble de données en violation du RGPD crée des barrières à l'entrée. Selon le Bundeskartellamt, il existe une corrélation directe entre l'effet des conditions d'utilisation et le pouvoir de marché.[33] La preuve apportée est un article de doctrine.[34]

2. Les droits fondamentaux comme mécanisme d'élargissement des pouvoirs des autorités de la concurrence

La décision Facebook procède par deux mécanismes d'élargissement des pouvoirs de contrôle du gouvernement. Dans un premier temps, les critères principaux d'application en droit de la concurrence sont rendus inopérants (section II.2.a). Dans un second temps, les droits fondamentaux des individus servent à justifier l'intervention dans le modèle d'affaires d'une entreprise en position dominante (section II.2.b).

a) Effacement des critères d'application en droit de la concurrence

Il y a abus de position dominante lorsqu'une entreprise en position dominante adopte de ce fait une pratique ayant des effets ou des désavantages concurrentiels sur le marché dans lequel elle détient une position dominante ou sur un marché voisin. Ces conditions générales sont les mêmes pour les pratiques d'exclusion ou d'exploitation, ceci y compris en cas d'utilisation de conditions générales de vente. Dans les cas d'abus d'exploitation, le caractère abusif des prix ou des conditions imposées est déterminé par comparaison avec la situation du marché concurrentiel (le contrefactuel). La jurisprudence allemande se réfère dans les cas VBL et Pechstein à un critère normatif basé sur les valeurs protégées par d'autres dispositions. Cette dernière alternative est utilisée par le Bundeskartellamt comme critère d'examen du caractère abusif des pratiques de Facebook.[35] En substance, l'application de ce critère voudrait dire que l'autorité n'a pas besoin d'investiguer un quelconque effet concurrentiel de la pratique sur le marché.

Nous allons examiner ci-dessous un processus d'effacement des conditions d'intervention, très visible dans la décision Facebook. Parmi les critères en droit de la concurrence, seule la position dominante est pleinement examinée dans la décision Facebook, l'abus se référant simplement à la violation du RGPD. Qu'est-ce qui rend possible un tel résultat? Les arrêts VBL et Pechstein ne sont à notre avis pas la seule explication. Une tendance générale au détournement, voire à l'abolition, de critères essentiels en droit de la concurrence est apparue et s'est même établie dans une partie de l'Europe, soutenue par l'inaction ou l'activisme judiciaire de certains tribunaux.

Premièrement, la définition étroite des marchés en cause. Il est courant de définir étroitement les marchés afin de ne pas intégrer des produits à faible substitution. Les relations concurrentielles sont réévaluées lors de l'appréciation de la position dominante en tenant compte de la concurrence potentielle ou du pouvoir de marché compensateur des clients. L'examen des effets anti-concurrentiels de la pratique est un autre correctif à la définition étroite du marché. Dans le même temps, une définition étroite a l'inconvénient d'isoler des marchés qui exercent des pressions concurrentielles horizontales les uns sur les autres, ce qui empêche un contrôle efficace des concentrations. Si un «marché de l'attention» plus vaste avait été défini,[36] la Commission aurait peut-être examiné en profondeur la fusion Facebook/WhatsApp.

Deuxièmement, l'objectif politique de rééquilibrer les relations commerciales a conduit à l'utilisation du mécanisme du contrôle ex post des pratiques abusives en abaissant le seuil de la dominance. Il s'ensuit une dilution du concept même de pouvoir de marché : la préférence des consommateurs pour les marques, le pouvoir de négociation bilatéral, la dépendance économique ainsi que toutes sortes d'influences sont présentés comme des manifestations du pouvoir de marché.[37]

Troisièmement, l'exigence de causalité entre la position dominante et l'abus visant à différencier entre pratiques résultant d'un pouvoir de marché de celles qui ne le sont pas, est négligée. La notion de «causalité normative» utilisé par le Bundeskartellamt est un autre outil pour rendre la causalité entre l'intervention et le pouvoir de marché inopérante. L'exigence de causalité a été diluée à un point tel qu'il n'y en a pratiquement plus. Par conséquent, toute pratique peut être qualifiée d'abus de position dominante, y compris la violation d'une autre loi sans rapport avec le pouvoir de marché.[38] A cet égard, la Cour d'appel de Düsseldorf rappelle avec raison qu'une intervention n'est pas légitime en l'absence de causalité.[39] La doctrine allemande met également en garde contre le risque d'extension inapproprié du champ d'application de la GWB qui en résulte.[40]

Quatrièmement, la raison d'être de l'intervention basée sur le droit de la concurrence, les effets anticoncurrentiels sur le marché, ne sont pas examinés, même dans les affaires d'abus de position dominante. La décision Facebook ne tente même pas d'articuler ou de quantifier les effets anticoncurrentiels d'une combinaison de données.[41] Selon la décision Facebook, l'intégration de données provenant de différents services est problématique en vertu de la législation antitrust, car l'intégration peut transférer et préserver le pouvoir de marché, exclure d'autres acteurs du marché et créer des barrières à l'entrée sur le marché pour des concurrents tels que Snapchat.[42] Toutefois, Facebook ne combine pas l'utilisation des médias sociaux Facebook avec l'utilisation des services WhatsApp ou Instagram, ce qui aurait pu être considéré comme une vente liée: en fait, les utilisateurs peuvent s'inscrire et utiliser chaque service séparément.[43] Enfin, l'effet anticoncurrentiel de la combinaison des données collectées par des partenaires externes est encore plus douteux, car on ne voit pas quels marchés seraient touchés, en particulier vers quels marchés un éventuel pouvoir serait transféré. La collecte de données externes sert uniquement à améliorer l'offre de services personnalisés, le cas échéant à renforcer la position dominante de Facebook. En outre, la décision Facebook maintient tout au long de son argumentaire la confusion quant au type d'abus: l'imposition des conditions générales aux utilisateurs constituerait un abus d'exploitation, tandis que les effets allégués concernent l'exclusion des concurrents. Le manque d'analyse quant aux effets anticoncurrentiels et aux mécanismes d'abus explique le rejet de tout abus de la part de la Cour d'appel de Düsseldorf après un examen sommaire; une atteinte des utilisateurs au sens du droit de la protection des données n'équivaut pas à un problème en droit de la concurrence.[44]

Le seul argument défendable est donc l'accumulation de données et l'augmentation des barrières à l'entrée, arguments qui ont trait à la position dominante, mais non à une pratique abusive. Cette affaire semble être davantage une réglementation ex post de la position dominante elle-même, indépendamment de toute pratique anticoncurrentielle.

Enfin, l'établissement du contrefactuel sert à identifier le résultat d'un marché concurrentiel. La décision n'offre pas d'analyse du contrefactuel. La Cour d'appel de Düsseldorf critique également l'absence d'un examen sérieux du contrefactuel (Als-ob-Wettbewerb) dans la décision Facebook,[45] ce qui rend impossible l'identification d'un comportement qui différerait de la situation concurrentielle. Un contrefactuel fondé sur les droits fondamentaux des utilisateurs, visible en arrière-plan de l'argumentaire de la décision Facebook, repose sur l'hypothèse qu'un marché concurrentiel offrirait un plus grand degré de conformité ou de respect des droits fondamentaux. Mais une telle prémisse n'est pas pertinente pour le marché concurrentiel. Il en est ainsi parce que le marché n'a pas cette fonction.

Le même argumentaire avait été suivi par la Cour d'appel de Munich dans l'affaire Pechstein,[46] renversé par la BGH: la Cour d'appel a jugé que l'imposition par la FIS[47] de l'arbitrage du TAS[48] privait l'athlète du droit à un tribunal impartial et neutre, critères auxquels la structure du TAS ne satisfait pas. Selon le tribunal, dans un marché concurrentiel, l'athlète aurait choisi un tribunal qui satisfait aux exigences d'impartialité et d'indépendance, sans expliquer cependant pourquoi un marché concurrentiel donnerait le choix à l'athlète et pourquoi il instituerait en outre un tribunal impartial et indépendant. Le contrefactuel concurrentiel se fonde sur des normes applicables aux tribunaux étatiques non soumis à la concurrence et sur des valeurs telles que la neutralité et l'impartialité de la justice, qui ne sont pas des valeurs liées au fonctionnement du marché, mais à l'État de droit.

Les critères énumérés ci-dessus relèvent du fonctionnement du marché. En rendant ces critères inopérants, le champ d'intervention des autorités de la concurrence s'élargit, tandis que parallèlement, la sécurité juridique diminue. En fin de compte, l'intervention des autorités de la concurrence n'est pas nécessairement liée au fonctionnement du marché, mais à un autre type de régulation, comme la réglementation de produits, la protection des consommateurs, et même les droits fondamentaux. La confluence des buts des différentes réglementations est mise en exergue par la métamorphose du principe de la responsabilité particulière d'une entreprise dominante à ne pas fausser la concurrence effective, qui désormais devient selon le Bundeskartellamt une responsabilité particulière lorsqu'il s'agit de définir les caractéristiques du produit dans ses conditions d'utilisation et ses décisions stratégiques en matière de produits.[49] En d'autres termes, la responsabilité des entreprises en position dominante est élargie à la violation d'autres prescriptions légales et les autorités de la concurrence sont érigées en autorités qui assurent la conformité aux autres lois par ces entreprises.

b) Les droits fondamentaux comme dispositif de pouvoir disciplinaire de la liberté économique

Dans la décision Facebook, le droit de la concurrence limite la liberté économique de l'entreprise par la confrontation avec le droit à l'autodétermination des utilisateurs. Les droits fondamentaux dans le cadre de l'appréciation de l'abus de la position dominante offrent aux gouvernements un mécanisme pour limiter la liberté économique des entreprises, et ce, sans avoir à appliquer les critères en matière de droit de la concurrence. Telle est la proposition fondamentale de la décision Facebook.

Cette proposition trouve son fondement dans l'arrêt Pechstein de la BGH, qui intéresse également la Suisse étant donné le siège de la FIS et du TAS. L'affaire Pechstein est cependant un exemple de la façon dont la BGH s'est abstenue d'utiliser le droit de la concurrence pour restreindre les droits fondamentaux d'une association privée suite à une pesée des intérêts en présence. En traitant de la nullité de la clause compromissoire, la Cour devait tenir compte de plusieurs droits fondamentaux : le droit de l'athlète d'avoir accès aux tribunaux[50], sa liberté économique et le droit à l'autonomie d'une association sportive.[51] C'est dans ce contexte qu'a eu lieu la mise en balance des intérêts: l'application du droit de la concurrence par l'Etat afin de protéger les droits fondamentaux de l'athlète risquait de compromettre l'autonomie organisationnelle de la FIS.[52] Le Bundeskartellamt, en revanche, déduit de l'arrêt Pechstein un élargissement du champ du droit de la concurrence à la protection des droits fondamentaux en général, ce qui lui permettrait d'intervenir même en absence d'effets anticoncurrentiels sur le marché. La Cour d'appel de Düsseldorf, non sans rappeler que Pechstein invoquait sa liberté économique en tant que patineuse professionnelle, rejette cette hypothèse, en précisant qu'une violation des droits fondamentaux des cocontractants d'une entreprise en position dominante ne constitue pas un abus per se.[53] A cet égard, un éventuel recours du Bundeskartellamt devant le BGH permettrait précisément de clarifier la portée de la jurisprudence Pechstein.

S'il est vrai que le droit de la concurrence a déjà intégré un équilibre entre l'intérêt public à une concurrence libre, d'une part, et la liberté économique des entreprises dominantes, d'autre part,[54] l'équilibre n'est maintenu que si le droit de la concurrence applique des critères pertinents relatifs à la position dominante, au préjudice à la concurrence et à la causalité entre la première et ce dernier. Inversement, l'équilibrage fait défaut si l'intervention se fonde uniquement sur la violation du RGPD ou les droits fondamentaux des utilisateurs.

Enfin, la décision Facebook adopte une vision paternaliste du droit à l'autodétermination des utilisateurs. La liberté de renoncer aux services Facebook n'est pas prise en compte dans la décision, car, du point de vue du Bundeskartellamt, ce n'est pas un choix réel. Par conséquent, Facebook doit offrir deux versions de ses services: l'une avec des données groupées et l'autre où l'utilisateur peut refuser la combinaison des données Facebook et WhatsApp tout en utilisant les deux services.[55] Ce faisant, le droit de la concurrence donne aux utilisateurs plus qu'un choix : elle leur donne le droit d'être sur Facebook en plus du choix des fonctionnalités des services utilisés. Il englobe ainsi des techniques de gouvernementalité qui vont au-delà du paradigme du choix du consommateur[56] en instaurant des droits pour les consommateurs, des droits créés pour ces derniers, mais aussitôt captés et exécutés par la coercition gouvernementale: le choix de produits et leurs fonctionnalités ne sont pas déterminés par le marché, mais par les autorités de la concurrence.

Les critères en matière de droit de la concurrence ne pouvant pas être remplis, la décision se concentre sur l'application du RGPD, la seule règlementation pertinente à l'état de fait incriminé.

III. Non-conformité au RGPD en tant qu'abus de position dominante et ses répercussions en matière de protection des données

Dans cette section nous allons présenter en premier lieu les arguments principaux de la décision Facebook liés à la non-conformité au RGPD (section II.1). La deuxième partie de cette section propose une analyse critique des arguments utilisés dans la décision Facebook au regard de leur impact sur l'application du droit de la protection des données (section II.2). L'apport principal de la décision Facebook étant l'intégration de la notion de position dominante dans l'analyse du RGPD, nous examinerons la pertinence de cette notion comme critère d'app-lication du RGPD, critère qui peut être utilisé par les autorités de protection des données pour restreindre la possibilité des entreprises en position dominante à traiter des données personnelles.

1. L'argumentaire de la décision Facebook: non-conformité faute de fondement juridique

Rappelons l'argument principal de l'affaire: l'utilisation et la mise en œuvre des conditions d'utilisation et des politiques de confidentialité constituent un abus de position dominante au sens de la clause générale de l'art. 19 al. 1 GWB parce que, en tant que manifestation du pouvoir de marché, ces conditions enfreignent les principes du RGPD.[57]

La collecte et le traitement des données lors de l'ouverture d'un compte Facebook,[58] WhatsApp ou Instagram ne font pas l'objet de la décision Facebook. Son objet est l'intégration d'ensembles de données, donc un type de traitement de données. Par conséquent, le principe de minimisation des données n'est pas en cause (art. 5 al. 1 let. c RGPD). A cet égard, l'argumentaire concernant le traitement des données collectées par les partenaires externes est plus ambigu, car dans ses considérants la décision examine aussi l'étendue des données collectées,[59] même si la mesure corrective interdit un type de traitement, soit l'attribution des données collectées au profil d'utilisateur Facebook, sous réserve du consentement spécifique de l'utilisateur.

L'art. 6 RGPD reflète l'approche de l'UE fondée sur une liste limitative de fondements juridiques pour le traitement des données ; en l'absence de fondement juridique, le traitement des données est interdit.[60] Nous allons décrire brièvement les arguments rejetant les fondements juridiques avancés par Facebook, les fondements juridiques les plus pertinentes étant le consentement (art. 6 al. 1 let. a, et art. 9 al. 2 let. a du RGPD), le contrat (art. 6 al. 1 let. b, et art. 9 al. 2 let. b RGPD) et l'intérêt légitime (art. 6 al. 1 let. f du RGPD).

a) Consentement

L'acceptation des conditions générales et des politiques de confidentialité lors de l'enregistrement n'a pas été considérée comme libre,[61] étant donné le «déséquilibre manifeste» résultant de la position dominante de Facebook.[62] La position quasi-monopolistique avec 90% du marché, associée à des effets de réseau directs, empêche l'utilisateur de se tourner vers d'autres services, de sorte qu'il n'y a pas delibre choix au sens du RGPD. S'abstenir d'utiliser les services de médias sociaux n'était pas non plus une option, puisque ceci comporte des inconvénients importants pour les utilisateurs, car ils ne peuvent pas répondre à leurs besoins de participer au réseau social.[63]

b) Contrat

La décision Facebook soulève trois objections à l'application du contrat comme fondement (art. 6 al. 1 let. b RGPD).

Premièrement, le contrat ne peut pas être utilisé comme fondement juridique par une entreprise en position dominante.[64] Le critère de nécessité étant interprété de manière restrictive, le contrat relatif aux services sociaux de Facebook ne peut justifier le traitement de données collectées auprès d'autres services internes (tels que WhatsApp) ou de services externes, qui ne sont pas considérés comme nécessaires au fonctionnement du réseau social. La décision Facebook critique la «définition étendue et illimitée» des services Facebook dans ses conditions générales,[65] qui ne rend pas automatiquement nécessaire le traitement de toutes sortes de données.

Deuxièmement, le contrat ne peut être utilisé pour regrouper tous les produits Facebook en un seul objet contractuel pour justifier un traitement de données de cette ampleur.[66] La position dominante de Facebook justifie plutôt une définition étroite de la finalité principale du contrat et, par conséquent, des données traitées à cette fin.

Troisièmement, une telle étendue de traitement des données des utilisateurs n'est pas nécessaire pour une expérience d'utilisateur personnalisée.[67] L'entreprise ne peut pas définir elle-même quelles données sont nécessaires pour son offre: la simple utilité des données pour l'expérience personnalisée de l'utilisateur ferait alors du contrat le fondement juridique de son modèle d'affaires, sans qu'il soit nécessaire de faire appel à l'intérêt légitime ou au consentement, ce qui, au final, méconnaîtrait les droits fondamentaux des utilisateurs à la protection des données personnelles et à une autodétermination en matière d'information.[68]

c) Intérêt légitime

L'évaluation de l'intérêt légitime est effectuée séparément pour les services internes et externes, et pour les intérêts légitimes de Facebook et ceux de tiers, selon les mêmes critères d'évaluation. En résumé, Facebook ne peut pas utiliser l'intérêt légitime comme fondement pour justifier le traitement des données collectées à partir d'autres services internes ou de tiers.

Premièrement, Facebook n'a pas clairement indiqué ce que comprend son intérêt légitime.[69] En particulier, il ne précise pas quel serait son intérêt à attribuer toutes les données des services internes (et externes) à un compte utilisateur. L'objection principale est qu'une entreprise ne peut pas décider quel traitement est dans son intérêt légitime: le traitement des données doit être essentiel, nécessaire, et même absolument nécessaire,[70] c'est-à-dire que pour satisfaire au critère de l'intérêt légitime la «finalité ne doit pouvoir être atteinte par aucun autre moyen».[71] La décision fournit même le moyen adéquat: le consentement de l'utilisateur serait une mesure moins intrusive.

En substance, la décision Facebook nie la nécessité de collecter et de traiter les données des utilisateurs dans le but de personnalisation des services de Facebook. Elle s'interroge en particulier sur la valeur ajoutée ou la contribution cruciale de l'intégration automatique des données d'autres services internes ou externes, puisque Facebook est capable d'atteindre un haut degré de personnalisation et d'individualisation avec les données générées par Facebook.com lui-même.[72] La décision rappelle en outre que le simple modèle économique d'une entreprise n'est pas suffisant pour justifier tout traitement de données[73] et que l'entreprise ne peut se prévaloir de son droit fondamental à exercer une activité économique que si le traitement des données est nécessaire pour son modèle économique.[74]

Le résultat du test de mise en balance est négatif.[75] Le type de données traitées est sensible. Le traitement lui-même implique une quantité importante de données, et le profilage des utilisateurs est complété par le suivi des utilisateurs sur un grand nombre de sites web, de services, d'emplacements et de dispositifs, ce qui constitue une atteinte grave à la vie privée de la personne concernée.[76] Un traitement d'une telle ampleur ne correspond pas aux attentes raisonnables des utilisateurs. Enfin, la position dominante de Facebook sur le marché est considérée comme un facteur négatif dans la mise en balance, car les utilisateurs - pour la plupart jeunes et inexpérimentés - n'ont aucun pouvoir de négociation et Facebook peut donc imposer unilatéralement son modèle d'affaires. Cette position lui permet d'imposer indistinctement plusieurs bases pour le traitement de leurs données, telles que les motifs légitimes, le contrat ou encore le consentement.[77]

2. La pertinence de la notion de position dominante en matière de protection des données

L'intégration du concept de position dominante dans les critères d'évaluation d'une violation du RGPD permettrait aux autorités de protection des données d'intervenir de manière plus active contre le traitement de données par les entreprises en position dominante, par exemple en limitant la disponibilité des fondements juridiques qui rendraient licites ces traitements. La question se pose de savoir quelles sont la fonction et la valeur ajoutée du critère de la position dominante en matière de protection des données personnelles et des droits fondamentaux des individus y relatifs. Nous concluons que le concept de position dominante n'est pas pertinent pour juger du bien-fondé de l'utilisation des fondements juridiques du consentement (sous-section a), du contrat (sous-section b) ou de l'intérêt légitime (sous-section c). Il en résulte une limitation non-justifiée des entreprises qui peuvent se trouver en position dominante dans un marché particulier, sans pour autant améliorer la protection des utilisateurs.

a) Fonction de la position dominante et du concept de choix

Dans la décision Facebook, la position dominante du responsable du traitement a pour fonction d'écarter l'application de tout fondement juridique pour un type particulier de traitement de données. Le résultat est préoccupant pour les entreprises qui risquent un jour d'occuper une position dominante dans un marché particulier, ce risque étant réel compte tenu de l'inclination des autorités de la concurrence à définir des marchés étroits. Cela signifie-t-il que les entreprises dominantes ne pourront pas collecter et traiter des données fondées sur le consentement, le contrat ou l'intérêt légitime?

Rappelons d'abord la fonction de la notion du choix de l'utilisateur dans les deux corps de règles. En droit de la concurrence, le choix des consommateurs est pris en compte lors de la définition du marché pertinent: celui-ci englobe tous les produits qui représentent un choix en termes de prix et de qualité pour un nombre suffisamment important de consommateurs dans le marché pour rendre non profitable une hausse de prix. L'analyse du marché et de la position dominante prend acte de l'offre existant sur le marché. Même la proposition la plus interventionniste et extensive des objectifs du droit de la concurrence consistant à adopter le standard du choix des consommateurs[78] se base sur le choix en tant que mécanisme de mise en concurrence de différents produits mis sur le marché par des entreprises concurrentes. En revanche, la position dominante d'une entreprise ne dit rien sur le caractère indispensable du produit en question, ceci même en cas de monopole.[79] En d'autres termes, le droit de la concurrence ne donne pas de droit à obtenir un produit particulier, ceci même lorsque le fournisseur est en position de monopole, ni ne vise à élargir le choix des produits sur le marché par l'intervention étatique.

Dans la perspective de la protection des données, le choix en matière de consentement au traitement des données a pour fonction de permettre à chaque individu plus de contrôle sur ses données personnelles. Le préambule du RGPD explique que le consentement «ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice».[80] Les exemples d'entraves limitant le choix de la personne concernée ont trait aux contraintes techniques liées davantage à la manière de collecter le consentement.[81] Le choix a donc un impact sur la conception même du produit, qui devrait satisfaire par défaut un haut degré de conformité avec les principes et exigences du RGPD.[82] Dans ce sens, les dispositions sur la protection des données visent à réglementer les spécifications des produits et services mis sur le marché. Elles sont plus pertinentes que le droit de la concurrence, qui n'a pas pour vocation de définir les caractéristiques du produit, ni d'augmenter l'étendue du choix des produits sur le marché.

En revanche, le RGPD ne mentionne pas le choix ou la disponibilité de produits concurrents pour juger de la pertinence du caractère libre du consentement. Le RGPD ne fait pas référence au pouvoir de marché, à la position dominante ou à la situation de monopole. Il se réfère uniquement au concept de «déséquilibre manifeste entre la personne concernée et le responsable du traitement», en donnant l'exemple des autorités publiques.[83] Il est intéressant de noter que même la référence aux relations de travail a été supprimée comme exemple statutaire de «déséquilibre manifeste».[84] Contrairement à ce qui est mentionné dans la décision Facebook, l'existence d'une position dominante n'implique pas nécessairement un déséquilibre manifeste entre le responsable de traitement et l'utilisateur. La dépendance ou une situation de «déséquilibre» entre les parties dépendent davantage du type de relation contractuelle et de la situation de l'utilisateur, que de l'entreprise dominante. En outre, un marché concentré peut limiter le choix des produits disponibles lors de la conclusion des contrats, mais la structure du marché ne détermine pas le modèle d'affaires basé sur la collecte et le traitement des données personnelles: en d'autres termes, la suppression de la position dominante ne va pas rendre un modèle d'affaires conforme au RGPD, ni supprimer un éventuel déséquilibre dans les relations contractuelles.

Dans ce contexte, les mesures prises dans la décision Facebook elle-même montrent que la position dominante n'est pas un obstacle à la capacité de Facebook de recueillir le consentement des utilisateurs à condition que ceux-ci puissent avoir le choix de refuser l'intégration des données collectées. En d'autres termes, le choix restreint de produits dans le marché résultant de la structure du marché ne fait pas obstacle à l'utilisation du consentement comme fondement juridique.

b) La protection des données à l'assaut de la liberté contractuelle?

Le contrat est un autre fondement juridique pour traiter des données personnelles. Or, selon la proposition de la décision du Bundeskartellamt, la position dominante de Facebook ne lui permet pas d'utiliser ce fondement juridique. La règlementation sur la protection des données dissocie le consentement comme condition à la formation du contrat du consentement au traitement des données aux fins de son exécution, les exigences étant plus strictes dans ce dernier cas. Les services financés par la valorisation des données personnelles ne peuvent donc pas bénéficier librement de la sécurité juridique offerte par le contrat.

La question de savoir dans quelle mesure le droit de la protection des données devrait prendre en compte l'étendue de l'offre sur le marché, et par conséquent l'existence devant l'individu d'un choix de différents produits, afin d'examiner le caractère libre du consentement, a fait à ce jour l'objet de décisions contradictoires. Par exemple, le nouvel art. 7 al. 4 a été interprété différemment par les Cours suprêmes d'Italie et d'Autriche. En Italie, la Cour suprême[85] a jugé que l'art. 7 al. 4 RGPD n'entre pas en ligne de compte si le service n'est pas indispensable et que d'autres services interchangeables existent sur le marché; dans ce cas, le consentement aux conditions générales d'utilisation est valable du point de vue du RGPD. La Cour suprême d'Autriche[86] a penché pour une interdiction inconditionnelle à subordonner le consentement contractuel au traitement de données non nécessaires à l'exécution du contrat, indépendamment de la disponibilité d'autres services sur le marché. Cette dernière interprétation signifie que le consentement aux conditions générales d'utilisation n'est pas un fondement valable pour le traitement de données non nécessaires pour la fourniture du service. Les deux affaires concernaient l'envoi de messages publicitaires de partenaires tiers aux clients de services en ligne. Si nous avons davantage de sympathie pour la jurisprudence italienne, plus respectueuse de la liberté contractuelle des parties, il nous semble cependant que la structure du marché ou la position dominante du responsable du traitement ainsi que la disponibilité d'autres produits ne sont pas des critères pertinents pour juger du bien-fondé du traitement de données personnelles.

Le problème réside davantage dans la pertinence même de l'idée exprimée par l'art. 7 al. 4 RGPD: il soustrait de la liberté contractuelle des entreprises et des utilisateurs un ensemble de données considérées comme non-nécessaires au contrat et au modèle économique de l'entreprise, en légitimant ainsi des interventions étatiques illimitées à la liberté des individus et des entreprises. Cela voudrait dire que les individus ne peuvent pas payer avec leurs données considérées comme non-nécessaires. L'avis de l'avocat général dans l'affaire Planet49 répond à ces inquiétudes en clarifiant premièrement que l'interdiction de lier les consentements n'a pas de caractère absolu.[87] Secondement, il considère que du moment où la fourniture de données à caractère personnel constitue l'obligation principale de l'utilisateur pour pouvoir participer au jeu promotionnel, le traitement de ces données à caractère personnel par des entreprises tierces (des sponsors) devrait être considéré comme nécessaire à la participation au jeu promotionnel, ce qui rend le consentement valable.[88] A juste titre, l'étendue de l'offre sur le marché n'était pas pertinente pour l'analyse. De plus, par un processus d'objectivation de l'objet du contrat et d'exigences accrues en matière de consentement, l'art. 7 al. 4 RGPD peut même être utilisé comme fondement pour instaurer une obligation de fournir un service, à l'instar de la proposition de ne plus autoriser les cookie walls.[89]

c) Position dominante et intérêt légitime

L'invocation de la position dominante comme motif d'exclusion de la prépondérance de l'intérêt légitime de l'entreprise est encore plus douteuse, car le test de mise en balance des intérêts devrait rester concentré sur les besoins de l'activité de l'entreprise et les préjudices causés aux individus par le traitement des données. La position du responsable du traitement sur le marché n'apporte aucune information utile pour juger de la légitimité de l'intérêt de l'entreprise, ni d'un éventuel préjudice causé aux individus: le pouvoir d'imposer son propre intérêt à un individu[90] n'augmente ni ne réduit la légitimité de l'intérêt lui-même. L'argument du déséquilibre de pouvoir devient en revanche beaucoup plus pertinent lorsqu'on prend en compte le statut des individus: l'exemple des employés, des étudiants, des patients,[91] des enfants ou d'autres couches de population vulnérables pourrait exiger une règlementation spécifique.

IV. Quelques remarques conclusives

La décision Facebook s'inscrit dans une tendance voulant s'affranchir de critères d'examen relatifs au fonctionnement du marché en droit de la concurrence, sans pour autant apporter une vraie valeur ajoutée en matière de protection des données.

La suggestion principale de la décision Facebook est l'intégration des droits fondamentaux comme dispositif de contrôle de l'activité économique des entreprises en position dominante. Le gouvernement peut ainsi restreindre librement les libertés de l'un en s'appuyant sur les droits fondamentaux des autres, et ceci sans devoir appliquer les critères d'appréciation usuels en matière de droit de la concurrence. Nous ne pouvons que désapprouver. L'espace de liberté qui sert de fondement à la coopération spontanée entre consommateurs et entreprises dans l'économie de marché sera supplantée par un mécanisme de coercition gouvernementale.

En matière de protection des données, la position dominante a pour fonction d'écarter tout fondement juridique justifiant un type particulier de traitement, alors que la position sur le marché du responsable du traitement ne devrait pas être pertinente. La position dominante amplifie ainsi les conséquences d'une liste limitative de fondements juridiques pour pouvoir traiter des données personnelles en conformité avec le RGPD, procédé qui restreint déjà considérablement la latitude des entreprises à déterminer leur modèle économique, et par effet miroir, le choix des consommateurs. Car les consommateurs aussi doivent rester libres d'accéder à plus de services en contrepartie de la mise à disposition de leurs données personnelles.

Dans l'ensemble, une telle approche risque de délégitimer l'action des autorités chargées de la protection de la concurrence et de la protection de données. Or, ces deux corps des règles sontd'une importance primordiale dans le secteur de l'économie numérique, que ce soit pour examiner l'avantage concurrentiel en matière de données ou la dimension de protection des données (privacy) comme paramètre de la concurrence effective. En matière d'exploitation des données, le contrôle des concentrations est plus adapté pour prévenir les créations de position dominante dans des secteurs qui utilisent et dépendent largement du traitement de vastes quantités de données. Il s'agit d'un mécanisme puissant que les autorités de la concurrence peuvent utiliser de manière plus agile dans le futur. L'interdiction des cartels peut également intervenir en cas d'ententes visant à réduire le degré de protection des individus en matière de données personnelles (privacy), comme un des paramètres concurrentiels importants dans ces marchés. Le contrôle des abus de position dominante reste pertinent, à condition d'appliquer des critères prévisibles liés à la position dominante, au préjudice à la concurrence et à la causalité entre la première et ce dernier.



[1] Arrêt du Bundeskartellamt B6-22/16 du 6 Février 2019, Facebook (ci-après «décision Facebook»).

[2] Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO 2016 L 119, p. 1.

[3] Arrêt du OLG Düsseldorf VI-Kart 1/19 du 26 août 2019, (Facebook).

[4] Le Bundeskartellamt a déjà annoncé un recours contre l'effet suspensif ordonné par la Cour d'appel de Düsseldorf. Voir Deutsche Welle «Facebook-Auflagen des Kartellamts platzen vor Gericht» du 27 août 2019.

[5] Arrêt du OLG Düsseldorf, Facebook (n. 3), p. 32.

[6] Décision de la Commission européenne M.7217 du 3 octobre 2014, (Facebook vs. WhatsApp).

[7] Arrêt du OFT (Royaume-Uni) ME/5525/12 du 14 août 2012, Anticipated acquisition by Facebook Inc of Instagram Inc.

[10] Facebook s'est vu infliger une amende de 1 million d'euros par l'autorité italienne de protection des données pour avoir permis à une application tierce de collecter des données des utilisateurs de Facebook et leurs amis (décision de l'autorité italienne de protection 9121486 du 14 juin 2019 contre Facebook Ireland et Facebook Italy). En outre, l'autorité irlandaise de protection des données s'apprête à conclure son investigation des pratiques de Facebook, voir WSJ «EU Nears Decisions in Facebook Privacy Cases» du 12 août 2019. Google a été condamnée par la CNIL à une amende de 50 millions d'euros pour violation du principe de transparence et de l'obligation de fondement juridique (délibération n°SAN-2019-001 du 21 Janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC).

[11] Facebook a été condamné à une amende de 10 millions d'euros par AGCM pour violation du code de la consommation, notamment pour information trompeuse et pratiques commerciales agressives (décision de l'autorité italienne PS11112 du 29 novembre 2018 contre Facebook; voir également la décision de la même autorité PS10601 du 11 mai 2017 contre WhatsApp).

[12] Plusieurs clauses de la politique de confidentialité et des conditions générales de Google et Twitter ont été considérées comme abusives par les tribunaux français (TGI, arrêt 14/07224 du 12 février 2019, UFC-Que Choisir/ Google Inc; TGI, arrêt du 7 août 2018, UFC-Que Choisir/ TWITTER Inc).

[13] Voir Data Protection Commission, Annual Report 2018, p. 50 s., annonçant cinq enquêtes en cours concernant Facebook Ireland et Facebook Inc., deux concernant WhatsApp Ireland et une enquête concernant Instagram (Ireland). Disponible sur www.dataprotection.ie.

[14] La clause générale de l'art. 19 al. 1 GWB se lit comme suit: «L'abus de position dominante par une ou plusieurs entreprises est interdit.»

[15] Décision Facebook (n. 1), par. 914.

[16] Règlement 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux art. 81 et 82 du traité, JO L 1, 4 janvier 2003, p. 1. Pour une analyse de la compatibilité de la décision Facebook avec l'art. 3 al. 2 du Règlement 1/2003, voir Wils, The Obligation for the Competition Authorities of the EU Member States to Apply EU Antitrust Law and the Facebook Decision of the Bundeskartellamt, 2019.

[17] Décision Facebook (n. 1), par. 374 ss.

[18] Décision Facebook (n. 1), par. 379.

[19] Décision Facebook (n. 1), par. 481.

[20] Décision Facebook (n. 1), par. 385.

[21] Décision Facebook (n. 1), par. 386.

[22] Décision Facebook (n. 1), par. 482.

[23] Décision Facebook (n. 1), par. 482, faisant référence au document conjoint de l'Autorité de la concurrence et du Bundeskartellamt sur le droit de la concurrence et les données, mai 2016.

[24] Arrêt du BGH KZR 47/14 du 24 janvier 2017, VBL-Gegenwert II; Arrêt du BGH KZR 58/11 du 6 novembre 2013, VBL-Gegenwert.

[25] Arrêt du BGH KZR 6/15 du 7 juin 2016, Pechstein; Arrêt du OLG München U 1110/14 du 15 janvier 2015, Kart, Pechstein.

[26] Décision Facebook (n. 1), par. 526 ss.

[27] Décision Facebook (n. 1), par. 534.

[28] Voir la décision Facebook (n. 1), par. 526 ss.

[29] Voir la décision Facebook (n. 1), par. 529.

[30] Journal officiel de l'Union européenne JO 2012 C 326 du 26 octobre 2012, p. 391. Voir la décision Facebook (n. 1), par. 529 et 664.

[31] Décision Facebook (n. 1), par. 875.

[32] Décision Facebook (n. 1), par. 876 ss.

[33] Décision Facebook (n. 1), par. 888.

[34] Voir la note de bas de page no 737 de la décision Facebook (n. 1).

[35] Pour une analyse des conditions d'application de l'art. 19 GWB dans l'affaire Facebook, voir Ellger, Konditionenmissbrauch nach § 19 GWB durch Datenschutzverstoß - Der Facebook-Fall des Bundeskartellamts, WuW 2019/9, p. 446.

[36] Voir les commentaires de Valletti dans Le Monde du 3 juin 2019 «Facebook a induit la Commission européenne en erreur lors du rachat de WhatsApp».

[37] La Cour d'appel de Düsseldorf résiste à cette tendance, en retenant justement que la décision d'«être ou de ne pas être sur Facebook» dépend uniquement des préférences individuelles des utilisateurs et ces préférences ne permettent pas de tirer des conclusions sur la dépendance des utilisateurs envers le réseau social ou sur un quelconque pouvoir de marché de Facebook (Arrêt du OLG Düsseldorf, Facebook [n. 3], p. 28).

[38] Sur le point de savoir si les entreprises en position dominante sont plus susceptibles d'enfreindre le RGPD, il semble que les grandes entreprises se conforment davantage au RGPD que les petites. Voir Haucap, Data Protection and Antitrust: New Types of Abuse Cases? An Economist's View in Light of the German Facebook Decision , CPI Antitrust Chronicle, février 2019, p. 5, faisant référence à Sabatino/Sapi, Online Privacy and Market Structure: An Empirical Analysis , DICE Discussion Paper No. 308, 2019.

[39] Arrêt du OLG Düsseldorf, Facebook (n. 3), p. 21. Premièrement, la Cour d'appel considère que la causalité est une condition nécessaire de l'application de l'art. 102 TFUE et de l'art. 19 GWB (p. 18 ss). Secondement, une causalité normative ne suffit pas, l'autorité doit utiliser le standard de «causalité de comportement» (Verhaltenskausalität), qui est plus contraignant pour l'autorité, d'autant plus qu'il s'agit d'une forme d'abus d'exploitation sans impact sur la structure du marché. Enfin, l'acceptation par les utilisateurs du traitement des données en cause lors de l'acceptation des conditions générales d'utilisation du réseau social n'est pas apte à démontrer une quelconque dépendance des utilisateurs envers Facebook, ni que le consentement des utilisateurs résulterait de la position dominante de Facebook (p. 30 ss).

[40] Voir Ellger, (n. 35), p. 453.

[41] Dans l'opération de concentration Facebook/WhatsApp, la Commission européenne a nié l'effet négatif de la combinaison des données de Facebook avec celles de WhatsApp sur le marché de la publicité en ligne, en déclarant qu'«il y aura toujours une grande quantité de données sur les internautes qui sont précieuses à des fins publicitaires et qui ne sont pas sous le contrôle exclusif de Facebook» (Décision de la Commission européenne M.7217 du 3 octobre 2014, [Facebook vs. WhatsApp], par. 187 à 189).

[42] Décision Facebook (n. 1), par. 747.

[43] Sans entrer dans les détails, la décision Facebook (n. 1) mentionne que l'intégration d'Instagram ou de WhatsApp à l'offre de Facebook.com constituerait également un regroupement en droit de la concurrence, entraînant le risque d'un transfert de pouvoir de marché des services de médias sociaux Facebook vers d'autres marchés où Facebook est présent (par exemple WhatsApp). Voir la décision Facebook (n. 1), par. 682, 710 ss.

[44] Arrêt du OLG Düsseldorf, Facebook (n. 3), p. 8.

[45] Arrêt du OLG Düsseldorf, Facebook (n. 3), pp. 7 s.

[46] Arrêt du OLG München, Kart, Pechstein (n. 25).

[47] International Ski Federation - Fédération Internationale de Ski.

[48] Tribunal Arbitral du Sport.

[49] Décision Facebook (n. 1), par. 677. Voir la position du OLG Düsseldorf, pour qui l'entreprise en position dominante n'assume une responsabilité particulière que pour la concurrence (Arrêt du OLG Düsseldorf, Facebook [n. 3], pp. 13 s).

[52] Arrêt du BGH KZR 6/15 du 7 juin 2016, Pechstein, pts 59 et suivantes. Voir pour un cas où l'intervention de l'État par l'application des dispositions du droit civil du travail a été jugée contraire à l'article 11 de la CEDH sur la liberté d'association: Arrêt du CEDH 11002/05 du 27 mai 2007 (Associated Society of Locomotive Engineers & Firemen (ASLEF) c Royaume-Uni).

[53] Arrêt du OLG Düsseldorf, Facebook (n. 3), p. 16.

[54] Décision Facebook (n. 1), par. 890 ss.

[55] La Cour d'appel de Düsseldorf penche pour une position diamétralement opposée: le fait que 50 millions d'Allemands n'ont pas de compte Facebook démontre que ne pas être sur le réseau social est une option, et que par conséquent Facebook n'est pas un service indispensable. Les utilisateurs décident volontairement de devenir membre du réseau social compte tenu des avantages et des désavantages qui en découlent, et ceci n'est pas remis en cause par le fait que la plupart des utilisateurs ne lisent pas les conditions générales et les politiques de confidentialité. Il s'ensuit que, du point de vue de la Cour d'appel de Düsseldorf, l'acceptation des conditions générales d'utilisation est valable et vaut comme consentement au regroupement des données (Arrêt du OLG Düsseldorf, Facebook [n. 3], p. 29).

[56] Voir les contributions dans Choice - A New Standard for Competition Law Analysis?, Nihoul/Charbit/Ramundo éd., Concurrences Review, 2016.

[57] Décision Facebook (n. 1), par. 523.

[58] Décision Facebook (n. 1), par. 696.

[59] Voir par exemple le par. 705 de la décision Facebook (n. 1).

[60] Voir Voigt/von dem Bussche, The EU General Data Protection Regulation (GDPR). A Practical Guide, Springer 2017, p. 92.

[61] Décision Facebook (n. 1), par. 641 ss.

[62] Décision Facebook (n. 1), par. 646 (klares Ungleichgewicht).

[63] Décision Facebook (n. 1), par. 646. Notons l'avis de la Cour d'appel de Düsseldorf, qui rappelle néanmoins que la majorité de la population allemande n'est pas membre du réseau social, ce qui montre que ne pas être présent sur le réseau social est bel et bien une option (Arrêt du OLG Düsseldorf, Facebook [n. 3], pp. 28 et 29).

[64] Décision Facebook (n. 1), par. 668, 676 et 677.

[65] Décision Facebook (n. 1), par. 676 (extensive und uferlose Definition der Dienste).

[66] Décision Facebook (n. 1), par. 679.

[67] Décision Facebook (n. 1), par. 688 ss.

[68] Décision Facebook (n. 1), par. 693.

[69] Décision Facebook (n. 1), par. 738.

[70] Décision Facebook (n. 1), par. 746.

[71] Décision Facebook (n. 1), par. 742.

[72] Décision Facebook (n. 1), par. 744.

[73] Décision Facebook (n. 1), par. 744.

[74] Décision Facebook (n. 1), par. 765.

[75] Décision Facebook (n. 1), par. 764 ss.

[76] Décision Facebook (n. 1), par. 775.

[77] Décision Facebook (n. 1), par. 783.

[78] Voir les contributions dans Choice - A New Standard for Competition Law Analysis?, Nihoul/Charbit/Ramundo éd., Concurrences Review, 2016.

[79] Les particuliers ont droit uniquement aux prestations de services publics ou universels.

[80] RGPD, par. 42 du préambule (nous soulignons).

[82] Voir par exemple l'art. 25 RGPD sur le principe de la protection des données dès la conception et par défaut.

[83] Par. 43 du préambule du RGPD. Le RGPD règle explicitement le cas des pouvoirs publics dans l'exécution de leurs missions, comme un cas particulier de déséquilibre manifeste, au point où les pouvoirs publics ne peuvent pas utiliser l'intérêt légitime comme fondement juridique (art. 6 al. 1 RGPD, dernière phrase).

[84] Voigt/von dem Bussche, The EU General Data Protection Regulation (GDPR). A Practical Guide, Springer 2017, p. 95.

[85] Arrêt de la Cour suprême italienne 17278/2018 du 2 juillet 2018.

[86] Arrêt de la Cour suprême autrichienne 6 Ob 140/18h du 31 août 2018.

[87] Conclusions de l'avocat général M. Maciej Szpunar dans l'affaire C‑673/17 (Planet49 GmbH) du 21 mars 2019, pt 98. L'arrêt de la CJUE C-673/17 du 1er octobre 2019 dans cette affaire ne s'exprime pas sur la question (pt 64).

[88] Conclusions de l'avocat général M. Maciej Szpunar dans l'affaire C‑673/17 (Planet49 GmbH) du 21 mars 2019, pt 99.

[89] Zuiderveen Borgesius/Kruikemeier/Boerman/Hel-berger, Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, EDPL 2017(3), p. 1.

[90] WP 217, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, p. 41

[91] Ibidem.