La CJCE clarifie la notion d’intérêt légitime

von Olaf Brandt

La Cour de justice européenne (CJE), c’est-à-dire la plus haute juridiction européenne, a rendu son arrêt le 4 juillet 2023 dans l’affaire opposant Meta à l’Office fédéral allemand des ententes(affaire C-252/21). L’arrêt répond, au-delà de Facebook, Whatsapp et Instagram, aux questions relatives à l’intérêt légitime dans le cadre du tracking sur les sites web et les applications.

Les quatre critères de l’intérêt légitime prépondérant

Dans son arrêt, la CJCE indique quatre critères de contrôle concrets :

1. Un intérêt réel du responsable (exploitant du site web) doit être communiqué sur le site web ou l’application.
2. les données doivent être limitées à ce qui est nécessaire au regard des finalités du traitement (minimisation des données) et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités (nécessité)
3. La mise en balance des intérêts en présence doit tenir compte des attentes raisonnables des personnes concernées et de la portée du traitement en question.
4. Le responsable (exploitant du site web) doit être en mesure de prouver la conformité en contrôlant lui-même le fournisseur ou en obtenant une certification indépendante (obligation de rendre des comptes).

Meta, Google, TikTok & Co. uniquement après consentement !

La CJCE mentionne même explicitement la publicité directe comme intérêt légitime. Le défi du point 1 consiste donc principalement à communiquer les finalités spécifiques de manière suffisamment concrète dans les avis de confidentialité.

Mais voilà : la CJCE interprète le principe de nécessité de manière très stricte et exige qu’il soit démontré que les objectifs mentionnés ne peuvent pas être atteints de manière raisonnablement aussi efficace par d’autres moyens qui portent moins atteinte aux droits et libertés fondamentaux des personnes concernées. Il ne doit donc pas y avoir de solution comparable moins contraignante. Un raisonnement du type "cet outil d’analyse est certes nettement moins favorable à la protection des données, mais il est gratuit" est clairement exclu. Dès que le fournisseur poursuit également ses propres objectifs, la solution échoue également au point 2.

En ce qui concerne les attentes raisonnables, la CJCE applique une norme tout aussi stricte et s’oppose à l’idée selon laquelle les utilisateurs de services gratuits doivent s’attendre à ce que leurs données ou des publicités personnalisées soient partagées :

"À cet égard, il convient de noter que, même si les services d’un réseau social en ligne tel que Facebook sont gratuits, l’utilisateur de ce réseau ne peut raisonnablement pas s’attendre à ce que l’exploitant de ce réseau social traite ses données à caractère personnel sans son consentement à des fins de personnalisation de la publicité".

En ce qui concerne l’étendue du traitement des données par les grandes plates-formes de marketing, la CJCE précise

"Par ailleurs, le traitement en cause au principal est particulièrement étendu, puisqu’il porte sur des données potentiellement illimitées et qu’il a un impact considérable sur l’utilisateur, dont une grande partie, voire la quasi-totalité, des activités en ligne sont enregistrées par Meta Platforms Ireland, ce qui peut donner à ce dernier le sentiment que sa vie privée est surveillée en permanence".

Conclusion : après ce jugement, il devrait être presque impossible de faire passer l’utilisation de tags ou d’outils des grandes plateformes de marketing sous l’intérêt légitime.

etracker analytics sans consentement !

En revanche, le jugement a confirmé le fondement de l’utilisation sans consentement d’etracker analytics :

En effet, l’intérêt légitime à l’analyse des données d’utilisation sur les sites web et dans les applications, conformément à l’article 6, paragraphe 1, alinéa 1, point f) du RGPD, constitue, selon la CJUE, une base juridique légitime, à condition qu’un contrôle prouve le respect des critères mentionnés. En cas d’utilisation d’etracker analytics, cela est notamment garanti par les principes suivants :

• Conclusion électronique d’un contrat MO avec la connexion au compte
• Raccourcissement automatique de l’adresse IP avant persistance
• Identifiants anonymes automatiquement limités à 24h en mode sans consentement par défaut
• Reporting avec des données anonymes sans possibilité de ré-identification de l’utilisateur
• Pas d’utilisation des données à des fins personnelles
• Pas de lien avec d’autres sources de données ou des données d’autres clients
• Pas de transfert à des tiers
• Ni enregistrement de session, ni enregistrement des mouvements de la souris
• Fonction d’opposition directe à la déclaration de confidentialité
• Connexion optionnelle côté serveur aux plates-formes marketing pour le téléchargement automatique de données de conversion minimales sans identifiants d’utilisateurs
• Traitement ultérieur optionnel des données anonymisées dans des solutions de reporting telles que Google Looker Studio ou Microsoft Power BI

Pour satisfaire à l’obligation de rendre compte exigée, etracker propose un modèle d’évaluation des intérêts ainsi que le certificat de l’examen indépendant effectué par ePrivacy Consult.

Dans ce sens, je pense : Merci à la CJCE pour ses précisions sur l’intérêt légitime !