L'affaire porte sur une plainte du fameux Max Schrems contre Facebook et la publicité ciblée trop intrusive qu'il a reçue. Comme utilisateur de Facebook, il n'a jamais mis en évidence ses orientations sexuelles, nulle part, ni sur son profil, ni sur ses posts. On peut dire que son orientation homosexuelle était restée inconnue de Facebook. Il n'avait même pas autorisé Facebook à lui envoyer de la publicité ciblée sur base de son profil, son employeur, ses études.

Et pourtant, remarquait-il, il recevait de la publicité ciblée liée à son homosexualité jusqu'à des invitations à des évènements correspondants, alors même qu'il n'y avait jamais participé ni même montré de l'intérêt pour ceux-ci. Ces publicités ne pouvaient venir que de Facebook qui avait enregistré, d'une manière ou d'une autre, des données de Max Schrems, y compris celles obtenues par des parties tierces qui l'ont donc incité à envoyer cette publicité ciblée. À noter que ceci se passait bien après l'entrée en vigueur du RGPD en 2018. Max Schrems avait signé les nouvelles conditions générales de Facebook.

Données sensibles, mais publiques

Peu après, en 2019, Max Schrems au cours d'un panel avait fait explicitement état de son homosexualité pour illustrer qu'il était victime de publicité ciblée, de manière illégale à ses yeux. Cette divulgation, qui rendait son homosexualité publique, était telle de nature à rendre ces données moins sensibles qu'elles ne le sont ?

La Cour européenne de Justice avait à répondre à deux questions : une plateforme peut-elle faire un usage large de toutes les données qu'elle détient sur quelqu'un, même avec son consentement, y compris par des parties tierces, sans restriction de temps ni sur le type de données.

L'autre question tout aussi sensible : avoir fait état publiquement d'une donnée sensible change-t-elle sa nature au point que toute autre donnée sur le même sujet puisse être utilisée pour fournir de la publicité ciblée ?

La réponse est non dans les deux cas. Rendre publique son homosexualité ne permet pas à Facebook de pouvoir traiter des données de cette nature dont Facebook disposerait alors même que l'orientation sexuelle perd son caractère sensible. Le RGPD admet que Facebook traite des données personnelles, mais uniquement dans un but donné. Par défaut, le traitement des données sensibles comme l'orientation sexuelle est interdit sauf si la personne concernée a rendu manifestement public ces données. Pour l'avocat général tout est dans « manifestement ». Il faut que la personne soit pleinement consciente que par un acte explicite, cette donnée personnelle soit accessible et devienne connue de tous. Participer à un panel, pour l'avocat général participe de cette divulgation.  Cependant, un usage d'Internet, en accédant à des sites web, en laissant ses coordonnées, en acceptant les cookies, en utilisant des likes ou en partageant le contenu avec des tiers ne constitue pas un critère suffisant pour dire que les données qui résultent de ces interactions et qui révèleraient le caractère homosexuel de l'intéressé constituent un acte de vouloir rendre manifestement public son homosexualité.

Se prêter au jeu du panel pour révéler son homosexualité n'y change rien et ne constitue certainement pas un consentement indirect donné à Facebook pour traiter ces données sensibles.

Par contre, le caractère sensible des données est tout de même annulé par ce « coming out » dit l'avocat général, mais cela ne donne toujours pas l'autorisation à la plate-forme de traiter ces données.

Le traitement des données sensibles est non seulement interdit quand elles restent sensibles, mais même si elles ne le sont plus, parce que publiques, le RGPD impose que comme toutes autres données, Facebook doit prouver son intérêt légitime à les traiter.

Ratisser (trop) large

L'autre question demandait qu'on statue sur la possibilité de ratisser large dans les données disponibles à un Facebook pour concocter de la publicité ciblée. Et cela va loin : ce sont des données en possession de Facebook ou de tiers, et même stockée en dehors de la plateforme sans restriction de temps ou de type de données. C'est vrai qu'il y a des données qu'on est appelé à utiliser sans restriction de temps puisqu'elles sont statiques, comme l'âge, le sexe pour de la publicité ciblée. Si on les connait une fois, on les connait pour toujours. Il y a les données comportementales comme les sites qu'on a visité et là, la question du temps de rétention joue forcément. L'avocat général considère aussi qu'il faut distinguer entre les données collectées directement depuis Facebook et celles collectées en dehors de Facebook, ou carrément données extraites de l'appareil même.

Si la cour confirme l'opinion de l'avocat général, ce qui est souvent le cas (pourquoi sinon déjà publier un communiqué de presse), voilà un sérieux pavé dans la mare de la publicité ciblée. Rendre une donnée sensible publique n'autorise personne à utiliser cette donnée (qui n'est plus) sensible. Et surtout, aucune plateforme ne peut utiliser des données personnelles de manière illimitée dans le temps, quel que soit leur type pour de la publicité ciblée.
_____

Pour en savoir plus

OPINION OF ADVOCATE GENERAL RANTOS,  25 April 2024, Case C‑446/21, Maximilian Schrems v Meta Platforms Ireland Limited, formerly Facebook Ireland Limited