ARRÊT DE LA COUR (quatrième chambre)
4 octobre 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement de données à caractère personnel – Règlement (UE) 2016/679 – Réseaux sociaux en ligne – Conditions générales d’utilisation relatives aux contrats conclus entre une plateforme numérique et un utilisateur – Publicité personnalisée – Article 5, paragraphe 1, sous b) – Principe de limitation des finalités – Article 5, paragraphe 1, sous c) – Principe de minimisation des données – Article 9, paragraphes 1 et 2 – Traitement
portant sur des catégories particulières de données à caractère personnel – Données concernant l’orientation sexuelle – Données rendues publiques par la personne concernée »
Dans l’affaire C‑446/21,ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 23 juin 2021, parvenue à la Cour le 20 juillet 2021, dans la procédure
Maximilian Schrems
contre
Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited,
LA COUR (quatrième chambre),
composée de M. C. Lycourgos, président de chambre, Mme O. Spineanu‑Matei, MM. J.‑C. Bonichot, S. Rodin et Mme L.S. Rossi (rapporteure), juges,
avocat général : M. A. Rantos,
greffier : Mme N. Mundhenke, administratrice,
vu la procédure écrite et à la suite de l’audience du 8 février 2024,
considérant les observations présentées :
– pour Maximilian Schrems, par Me A. Egger, rechtsanwalt ainsi que Me K. Raabe-Stuppnig, rechtsanwältin,
– pour Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited, par Me H.-G. Kamann et M. A. Natterer, rechtsanwalt ainsi que Mmes K. Hanschitz, S. Khalil, et B. Knötzl, rechtsanwältin,
– pour le gouvernement autrichien, par MM. A. Posch et C. Gabauer, Dr G. Kunnert, E. Riedl ainsi que Mmes J. Schmoll, en qualité d’agents,
– pour le gouvernement français, par M. R. Bénard ainsi que Mme A.-L. Desjonquères, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée par M. E. De Bonis, avvocato dello stato,
– pour le gouvernement portugais, par Mmes P. Barros da Costa et A. Pimenta, ainsi que M. J. Ramos et Mme C. Vieira Guerra, advogados,
– pour la Commission européenne, par MM. A. Bouchagiar, et F. Erlbacher, ainsi que Mme M. Heller et M. H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 25 avril 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 5, paragraphe 1, sous b) et sous c), de l’article 6, paragraphe 1, sous a) et sous b), et de l’article 9, paragraphe 1 et paragraphe 2, sous e) du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant M. Schrems ( 1 ), un utilisateur du réseau social Facebook, à Meta Platforms Ireland Ltd, anciennement Facebook Ireland Ltd, dont le siège social se trouve en Irlande, au sujet du traitement prétendument illicite, par cette société, des données à caractère personnel de cet utilisateur.
Le cadre juridique
Le droit de l’Union
3 Les considérants 1, 4, 39, 42, 43, 50 et 51 du RGPD énoncent :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne (ci-après la “Charte”) et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[...]
(4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités,
en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. [...] Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à
caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir
que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. [...]
[...]
(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. [...] Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné
librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette
situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
[...]
(50) Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. [...]
(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement[...]. Outre
les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques[...]. »
4 L’article 4 de ce règlement prévoit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre;
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
[...]
23) “traitement transfrontalier”,
a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou
b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ;
[...] »
5 L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à ses paragraphes 1 et 2 :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[...]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; [...] (limitation de la conservation) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 6 du même règlement, intitulé « Licéité du traitement », est libellé comme suit :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
[...]
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données
à caractère personnel ont été initialement collectées, tient compte, entre autres :
a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »
7 L’article 7 du RGPD, intitulé « Conditions applicables au consentement », prévoit :
« 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
[...]
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. »
8 L’article 9 de ce règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
[...]
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
[...] »
9 L’article 13 dudit règlement, relatif aux « [i]nformations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit ce qui suit :
« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
[...]
3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
[...] ».
10 L’article 25, paragraphe 2, du même règlement dispose :
« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à
caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »
Le litige au principal et les questions préjudicielles
11 Meta Platforms Ireland, qui gère l’offre des services du réseau social en ligne Facebook dans l’Union, est le responsable du traitement de données à caractère personnel des utilisateurs de ce réseau social dans l’Union. Elle n’a pas de succursale en Autriche. Meta Platforms Ireland promeut, notamment à l’adresse www.facebook.com, des services qui, jusqu’au 5 novembre 2023, ont été fournis gratuitement aux utilisateurs privés. À partir du 6 novembre 2023, ces services ont continué à être gratuits
uniquement pour les utilisateurs ayant accepté que leurs données à caractère personnel soient collectées et utilisées pour leur adresser de la publicité personnalisée, les utilisateurs ayant la possibilité de souscrire un abonnement payant pour accéder à une version desdits services sans recevoir de la publicité ciblée.
12 Le modèle économique du réseau social en ligne Facebook se fonde sur le financement par la publicité en ligne, qui est adressée de manière ciblée aux utilisateurs individuels du réseau social en fonction notamment de leurs attitudes de consommation, de leurs intérêts et de leur situation personnelle. Une telle publicité est techniquement rendue possible par l’établissement automatisé de profils détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe Meta.
13 Afin de traiter les données à caractère personnel des utilisateurs du réseau social Facebook, Meta Platforms Ireland se fonde sur le contrat d’utilisation auquel ceux-ci adhèrent par l’activation du bouton « s’inscrire » et par lequel ils acceptent les conditions générales établies par cette société. À l’époque des faits au principal, l’acceptation de ces conditions était nécessaire pour pouvoir utiliser le réseau social Facebook. S’agissant du traitement des données à caractère personnel des
utilisateurs, les conditions générales renvoient aux politiques d’utilisation des données et des cookies fixées par ladite société. En vertu de ces dernières, Meta Platforms Ireland collecte des données relatives aux utilisateurs et aux appareils de ces derniers, portant sur les activités des utilisateurs, tant à l’intérieur qu’à l’extérieur du réseau social, et met ces données en relation avec les comptes Facebook des utilisateurs concernés. Les données relatives aux activités en dehors du
réseau social (ci-après également les « données off Facebook ») proviennent, d’une part, de la consultation de pages Internet et d’applications tierces, qui sont reliées à Facebook à travers des interfaces de programmation et, d’autre part, de l’utilisation des autres services en ligne appartenant au groupe Meta, dont notamment Instagram et WhatsApp.
14 Avant l’entrée en vigueur du RGPD, les utilisateurs de Facebook donnaient leur consentement explicite au traitement de leurs données conformément aux conditions d’utilisation de la défenderesse applicables à cette période. Compte tenu de l’entrée en vigueur du RGPD le 25 mai 2018, Meta Platforms Ireland a adopté, le 19 avril 2018, des nouvelles conditions d’utilisation et les a présentées pour approbation à ses utilisateurs. Son compte avait été bloqué, M. Schrems a accepté ces nouvelles
conditions d’utilisation afin de pouvoir continuer à utiliser Facebook. Ce consentement était nécessaire pour pouvoir conserver l’accès à son compte et utiliser les services correspondants.
15 Meta Platforms Ireland a mis en place plusieurs « outils » (tools) pour permettre aux utilisateurs d’avoir un aperçu et un contrôle sur leurs données stockées. Toutes les données traitées ne sont pas visibles dans ces outils, mais seulement celles qui, selon cette société, présentent un intérêt et une pertinence pour les utilisateurs. Il est ainsi possible pour l’utilisateur qui en fait la demande de voir, par exemple, qu’il a ouvert une application via son profil Facebook, visité un site
Internet, effectué une recherche déterminée ou un achat, ou encore cliqué sur une publicité.
16 Meta Platforms Ireland utilise des « cookies » [témoins], des « social plugins » [modules d’extension sociaux] et des pixels ainsi que l’indiquent ses conditions d’utilisation et ses directives. Au moyen des « cookies », elle peut déterminer la source des consultations. En l’absence d’activation des « cookies », de nombreux services fournis par Meta Platforms Ireland ne sont pas utilisables. Les « social plugins » de Facebook sont « insérés » par les exploitants de sites Internet tiers dans leurs
pages. Le plus répandu est le bouton « J’aime » de Facebook. Lors de chaque consultation de pages Internet contenant ce bouton, les « cookies » installés sur l’appareil utilisé, l’URL de la page visitée et d’autres données, telles que l’adresse IP ou l’heure, sont transmis à Meta Platforms Ireland. À cette fin, il n’est pas nécessaire que l’utilisateur ait cliqué sur le bouton « J’aime », étant donné que le simple fait de visualiser une page Internet contenant un tel « plugin » suffit pour que
ces données soient ensuite transmises à cette société.
17 Il ressort de la décision de renvoi que des « plugins » se trouvent également sur les pages Internet des partis politiques et sur des pages destinées à un public homosexuel que M. Schrems a visitées. En raison de ces « plugins », Meta Platforms Ireland a pu suivre le comportement de M. Schrems sur Internet, ce qui a déclenché la collecte de certaines données à caractère personnel sensibles.
18 À l’instar des « social plugins », des pixels peuvent être intégrés dans les pages de sites Internet et permettent de collecter des informations sur les utilisateurs ayant visité ces pages afin, notamment, de mesurer et d’optimiser la publicité sur celles-ci. Par exemple, en intégrant un pixel Facebook dans leurs propres pages Internet, les exploitants de celles-ci peuvent obtenir de Meta Platforms Ireland des rapports sur le nombre de personnes qui ont vu leur publicité sur Facebook et qui se
sont ensuite connectées à leur propre page Internet afin de la consulter ou effectuer un achat.
19 Les « social plugins » et les pixels, en combinaison avec les « cookies », constituent ainsi un élément essentiel de la publicité sur Internet, étant donné que la grande majorité des contenus disponibles sur Internet sont financés par la publicité. En particulier, les « plugins » permettent de présenter aux utilisateurs les annonces pertinentes et les pixels servent aux annonceurs pour mesurer les performances des campagnes publicitaires ainsi que pour obtenir des informations sur des groupes
ciblés d’utilisateurs.
20 En l’occurrence, il ressort de la décision de renvoi que M. Schrems n’a pas autorisé Meta Platforms Ireland à traiter ses données à caractère personnel, qu’elle obtient d’annonceurs et d’autres partenaires, sur les activités de M. Schrems en dehors de Facebook à des fins de publicité personnalisée. Toutefois, certaines données relatives à M. Schrems auraient été obtenues par Meta Platforms Ireland grâce à des « cookies », des « social plugins » et des technologies comparables intégrés sur les
sites Internet de tiers et auraient été utilisées par cette société afin d’améliorer les produits Facebook et d’envoyer de la publicité personnalisée à M. Schrems.
21 En outre, il ressort également de cette décision que M. Schrems n’a indiqué aucune donnée sensible sur son profil Facebook, que seuls ses « amis » peuvent visualiser ses activités ou les informations figurant sur sa « timeline » [journal] et que sa « liste d’amis » n’est pas publique. M. Schrems a également choisi de ne pas autoriser Meta Platforms Ireland à utiliser, à des fins de publicité ciblée, les champs de son profil relatifs à sa situation amoureuse, son employeur, son emploi et sa
formation.
22 Cependant, au vu des données à sa disposition, Meta Platforms Ireland peut également identifier l’intérêt que M. Schrems porte à des sujets sensibles, tels que la santé, l’orientation sexuelle, les groupes ethniques et les partis politiques, ce qui permet de lui adresser de la publicité ciblée sur telle orientation sexuelle ou telle conviction politique par exemple.
23 Ainsi, d’une part, M. Schrems a reçu une publicité concernant une politicienne autrichienne, qui se basait sur l’analyse effectuée par Meta Platforms Ireland selon laquelle il avait des points en commun avec d’autres utilisateurs qui avaient marqué cette politicienne avec la mention « J’aime ». D’autre part, M. Schrems a également reçu régulièrement des publicités visant un public homosexuel et des invitations à des événements correspondants, alors même qu’il ne s’était jamais intéressé
auparavant à ces évènements et qu’il ne connaissait pas le lieu desdits événements. Ces publicités et invitations ne se baseraient pas directement sur l’orientation sexuelle du requérant au principal et de ses « amis », mais sur une analyse de leurs centres d’intérêt, en l’occurrence sur le fait qu’un des amis de M. Schrems aurait marqué un produit en appuyant sur le bouton « J’aime ».
24 M. Schrems a fait effectuer une analyse relative aux déductions pouvant être tirées de sa liste d’amis et il en est ressorti qu’il avait fait son service civil à la Croix Rouge à Salzbourg et qu’il était homosexuel. En outre, sur la liste de ses activités en dehors de Facebook, detenue par Meta Platforms Ireland, figurent, entre autres, des applications et des sites Internet de rencontre pour homosexuels ainsi que le site Internet d’un parti politique autrichien. Parmi les données stockées du
requérant au principal figure également une adresse e-mail qui n’était pas indiquée dans son profil Facebook, mais qu’il avait utilisée pour adresser des demandes à Meta Platforms Ireland.
25 Il résulte encore de la décision de renvoi que M. Schrems communique publiquement le fait d’être homosexuel. Toutefois, il n’a jamais mentionné son orientation sexuelle sur son profil Facebook.
26 M. Schrems a fait valoir devant le Landesgericht für Zivilrechtssachen Wien (tribunal régional statuant en matière civile de Vienne, Autriche) que le traitement de ses données à caractère personnel effectué par Meta Platforms Ireland violait plusieurs dispositions du RGPD. À cet égard, il a considéré que son consentement aux conditions d’utilisation de la plateforme numérique de la défenderesse au principal n’était pas conforme aux exigences de l’article 6, paragraphe 1, et de l’article 7 de ce
règlement. En outre, Meta Platforms Ireland traiterait des données sensibles du requérant au principal, au sens de l’article 9 dudit règlement, en l’absence du consentement nécessaire à cette fin, en vertu de l’article 7 du même règlement. De même, aucun consentement valide n’existerait quant au traitement de données personnelles de M. Schrems que Meta Platforms Ireland aurait reçues de la part de tiers. Dans ce contexte, M. Schrems a demandé, entre autres, à ce qu’il soit enjoint à la
défenderesse de cesser le traitement de ses données à caractère personnel à des fins de publicité personnalisée tout comme l’utilisation de ces données découlant de la consultation de sites Internet de tiers et obtenues par des tiers.
27 Meta Platforms Ireland a considéré, en revanche, que le traitement des données de M. Schrems a été effectué conformément aux conditions d’utilisation du réseau social en ligne, lesquelles seraient compatibles avec les exigences du RGPD. Ce traitement de données serait licite et ne reposerait pas sur le consentement du requérant au principal exigé par l’article 6, paragraphe 1, sous a), de ce règlement, mais sur d’autres justifications, parmi lesquelles principalement le caractère nécessaire de ce
traitement aux fins de l’exécution du contrat conclu entre ce dernier et la défenderesse au principal, au sens de l’article 6, paragraphe 1, sous b), dudit règlement.
28 Dans l’affaire au principal, une demande de décision préjudicielle a déjà été adressée à la Cour et a donné lieu à l’arrêt du 25 janvier 2018, Schrems (C‑498/16, EU:C:2018:37). Suite à cet arrêt, par jugement du 30 juin 2020, le Landesgericht für Zivilrechtssachen Wien (tribunal régional statuant en matière civile de Vienne, Autriche) a rejeté les demandes de M. Schrems. De même, l’Oberlandesgericht Wien (tribunal régional supérieur de Vienne, Autriche), saisi en appel, a rejeté le recours
introduit par M. Schrems contre ce jugement au motif, notamment, que le traitement des données à caractère personnel de ce dernier, en tant qu’utilisateur de la plateforme en ligne, y incluse la publicité personnalisée, ferait partie intégrante du contrat d’utilisation de cette plateforme conclu entre les parties. Le traitement de ces données serait donc nécessaire à l’exécution de ce contrat, au sens de l’article 6, paragraphe 1, sous b), du RGPD.
29 Saisie d’un recours en « Revision » par M. Schrems, l’Oberster Gerichtshof (Cour suprême, Autriche) observe que le modèle économique de Meta Platforms Ireland consiste à générer des recettes par de la publicité ciblée et des contenus commerciaux qui reposent sur les préférences et intérêts des utilisateurs de Facebook en traitant les données personnelles de ces utilisateurs. Or, dans la mesure où il permet à Facebook de proposer gratuitement des services à ses utilisateurs, ce traitement pourrait
être considéré comme étant nécessaire à l’exécution du contrat conclu avec lesdits utilisateurs, au sens de l’article 6, paragraphe 1, sous b), du RGPD.
30 Cependant, selon cette juridiction, cette disposition, qui doit être interprétée restrictivement, ne devrait pas permettre un tel traitement de données en se dispensant du consentement de la personne concernée.
31 En outre, ladite juridiction observe que Meta Platforms Ireland traite des données à caractère personnel pouvant être classifiées comme « sensibles », en vertu de l’article 9, paragraphe 1, du RGPD.
32 En l’occurrence, Meta Plaforms Ireland traite des données relatives aux convictions politiques et à l’orientation sexuelle de M. Schrems. Selon les constatations opérées par l’Oberster Gerichtshof (Autriche), M. Schrems communique en public sur son orientation sexuelle. En particulier, dans le cadre d’une table ronde à laquelle il a participé à Vienne le 12 février 2019, sur invitation de la représentation de la Commission européenne en Autriche, M. Schrems a fait référence à son orientation
sexuelle, aux fins de critiquer le traitement de données à caractère personnel opéré par Facebook, dont le traitement de ses propres données. Toutefois, et ainsi qu’il l’a déclaré également à cette occasion, M. Schrems n’a jamais mentionné cet aspect de sa vie privée dans son profil Facebook.
33 Selon cette juridiction, se pose ainsi la question de savoir si l’utilisateur concerné a manifestement rendu publiques des données à caractère personnel sensibles le concernant et a ainsi autorisé le traitement de celles-ci, en vertu de l’article 9, paragraphe 2, sous e), du RGPD.
34 C’est dans ces circonstance que l’Oberster Gerichtshof (Cour suprême, Autriche) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1. Les dispositions de l’article 6, paragraphe 1, sous a) et sous b), du RGPD doivent-elles être interprétées en ce sens que la licéité des dispositions contractuelles, figurant dans les conditions générales d’utilisation, de contrats de plateforme en ligne, telles que celles en cause dans l’affaire au principal (notamment les dispositions contractuelles telles que : « À la place [de payer le service] […] tu déclares qu’en utilisant les produits Facebook auxquels s’appliquent les présentes
conditions d’utilisation, tu consens à ce que nous te montrions des annonce publicitaires […] Nous utilisons tes données personnelles […] pour te montrer des annonces publicitaires plus pertinentes pour toi »), qui prévoient le traitement de données personnelles aux fins d’agrégation et d’analyse des données aux fins de la publicité personnalisée, doivent être appréciées à l’aune des exigences énoncées par les dispositions combinées de l’article 6, paragraphe 1, sous a), et de l’article 7 du RGPD
qui ne peuvent pas être remplacées en se prévalant de l’article 6, paragraphe 1, sous b), du RGPD ?
2. L’article 5, paragraphe 1, sous c), du RGPD (minimisation des données) doit-il être interprété en ce sens que, toutes les données personnelles dont une plateforme, telle celle en cause dans l’affaire au principal, dispose (notamment par le truchement de la personne concernée ou de tiers sur et dehors de la plateforme) peuvent être agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps ou en fonction de la nature des données ?
3. L’article 9, paragraphe 1, du RGPD doit-il être interprété en ce sens qu’il s’applique au traitement des données qui permettent (par exemple à des fins publicitaires) un filtrage ciblé de catégories particulières de données personnelles telles que les convictions politiques ou l’orientation sexuelle, même lorsque le responsable ne différencie pas ces données ?
4. Les dispositions combinées de l’article 5, paragraphe 1, sous b), et de l’article 9, paragraphe 2, sous e), du RGPD, doivent-elles être interprétées en ce sens que le fait de s’être exprimé sur sa propre orientation sexuelle pour les besoins d’une table ronde autorise le traitement d’autres données relatives à l’orientation sexuelle aux fins d’agrégation et d’analyse des données aux fins de la publicité personnalisée ? »
La procédure devant la Cour
35 Par décision du 7 avril 2022, le président de la Cour a suspendu la présente procédure dans l’attente de la décision mettant fin à l’instance dans l’affaire C‑252/21, Meta Platforms e.a.
36 Par décision du 7 juillet 2023, le président de la Cour a notifié à la juridiction de renvoi dans la présente affaire l’arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), (C‑252/21, EU:C:2023:537) en lui demandant si, compte tenu de cet arrêt, elle souhaitait maintenir sa demande de décision préjudicielle, en tout ou en partie, et, en cas de retrait partiel de cette demande , d’exposer les raisons du maintien d’une partie de celle-ci.
37 Par ordonnance du 19 juillet 2023, parvenue au greffe de la Cour le 9 août 2023, cette juridiction a retiré ses première et troisième questions préjudicielles en faisant valoir que ledit arrêt répondait à ces questions. En revanche, ladite juridiction a maintenu ses deuxième et quatrième questions préjudicielles en faisant valoir que le même arrêt n’avait pas pleinement répondu à celles-ci.
Sur la deuxième question
38 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette
plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.
Sur la recevabilité
39 La défenderesse au principal soutient que cette question est irrecevable au motif, d’une part, que la juridiction de renvoi n’a pas expliqué les raisons pour lesquelles une réponse à ladite question serait utile à la solution du litige au principal et, d’autre part, que cette juridiction s’est fondée sur une prémisse factuelle inexacte, en considérant, à tort, que la défenderesse au principal utilise, à des fins publicitaires, toutes les données à caractère personnel dont elle dispose sans
limitation dans le temps et sans distinction en fonction de la nature de ces données.
40 S’agissant, en premier lieu, de l’argument selon lequel la juridiction de renvoi n’a pas exposé les raisons pour lesquelles elle estime qu’une réponse à sa deuxième question est utile à la solution du litige au principal, il convient de souligner l’importance de l’indication, par la juridiction nationale, des raisons précises qui l’ont conduite à s’interroger sur l’interprétation du droit de l’Union et à estimer nécessaire de poser des questions préjudicielles à la Cour (arrêts du 6 décembre
2005, ABNA e.a., C‑453/03, C‑11/04, C‑12/04 et C‑194/04, EU:C:2005:741, point 46, et du 29 février 2024, Staatssecretaris van Justitie en Veiligheid (Confiance mutuelle en cas de transfert), C‑392/22, EU:C:2024:195, point 85). En l’occurrence, il ressort toutefois des développements de la demande de décision préjudicielle que la juridiction de renvoi cherche à déterminer si, à supposer que le traitement à des fins publicitaires en cause au principal soit justifié au titre de l’article 6,
paragraphe 1, premier alinéa, sous b), du RGPD, l’étendue des données ainsi traitées par la défenderesse au principal respecte le principe de minimisation des données ou si, au contraire, un traitement aussi étendu méconnaît les obligations qui s’imposent au responsable du traitement, en vertu de l’article 5 du RGPD. Les raisons pour lesquelles la réponse à cette question s’avère utile à la solution du litige au principal ressortent dès lors à suffisance de la demande de décision préjudicielle.
41 S’agissant, en second lieu, de l’argument selon lequel la juridiction de renvoi s’est fondée sur une prémisse factuelle inexacte, il est vrai que la deuxième question préjudicielle repose sur la prémisse selon laquelle, d’une part, ainsi qu’il a été évoqué au point 20 du présent arrêt, bien que M. Schrems n’ait pas autorisé Meta Platforms Ireland à traiter ses données à caractère personnel relatives à ses activités en dehors de Facebook, cette société a néanmoins traité certaines de ces données
qu’elle aurait obtenues de tiers partenaires, sur la base de l’acceptation par M. Schrems des conditions générales d’utilisation du réseau social, grâce notamment aux « cookies » et aux « social plugins » de Facebook intégrés sur les sites Internet de ces tiers et, d’autre part, ces données à caractère personnel sont traitées par Meta Platforms Ireland sans limitation dans le temps et sans distinction en fonction de la nature desdites données.
42 Or, il convient de rappeler que, selon une jurisprudence constante, l’article 267 TFUE institue une procédure de coopération directe entre la Cour et les juridictions des États membres. Dans le cadre de cette procédure, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, toute appréciation des faits de la cause relève de la compétence du juge national, auquel il appartient d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une
décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour, alors que la Cour est uniquement habilitée à se prononcer sur l’interprétation ou la validité d’un texte de l’Union à partir des faits qui lui sont indiqués par le juge national (arrêt du 25 octobre 2017, Polbud – Wykonawstwo, C‑106/16, EU:C:2017:804, point 27 et jurisprudence citée).
43 Dès lors, il y a lieu de répondre à la question posée sur la base de cette prémisse, dont il incombe, cependant, à la juridiction de renvoi de vérifier le bien‑fondé.
44 Partant, la deuxième question préjudicielle est recevable.
Sur le fond
45 En premier lieu, il importe de rappeler que l’objectif poursuivi par le RGPD, tel qu’il ressort de son article 1er ainsi que de ses considérants 1 et 10, consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE (arrêt du 7 mars 2024, IAB
Europe, C‑604/22, EU:C:2024:214, point 53 et jurisprudence citée).
46 À cette fin, les chapitres II et III de ce règlement énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que tout traitement de données à caractère personnel doit respecter. En particulier, sous réserve des dérogations prévues à l’article 23 dudit règlement, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement de telles données énoncés à
l’article 5 du même règlement et satisfaire aux conditions de licéité énumérées à son article 6 et, d’autre part, respecter les droits de la personne concernée figurant aux articles 12 à 22 du RGPD [arrêt du 11 juillet 2024, Meta Platforms Ireland (Action représentative), C‑757/22, EU:C:2024:598, point 49 et jurisprudence citée].
47 Ainsi que la Cour l’a déjà précisé, les principes relatifs au traitement des données à caractère personnel, énoncés à l’article 5 du RGPD, sont applicable de façon cumulative (arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 47).
48 À cet égard, il convient de relever que, en vertu de l’article 5, paragraphe 1, sous a), du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée et que, conformément au point b) de cet article 5, paragraphe 1, ces données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
49 En outre, l’article 5, paragraphe 1, sous c), de ce règlement, qui consacre le principe dit de la « minimisation des données », prévoit que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 109 ainsi que jurisprudence citée].
50 Ce principe, ainsi que la Cour l’a déjà jugé, est une expression du principe de proportionnalité [voir, en ce sens, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 98 et jurisprudence citée et du 30 janvier 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, point 41].
51 Conformément au principe de responsabilité énoncé à l’article 5, paragraphe 2, du RGPD, le responsable du traitement doit être en mesure de démontrer que les données à caractère personnel sont collectées et traitées dans le respect des principes énoncés au paragraphe 1 de cet article (voir, en ce sens, arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 24). En outre, conformément à l’article 13, paragraphe 1, sous c), de ce règlement, lorsque des données à caractère personnel sont
collectées auprès de la personne concernée, il incombe au responsable du traitement d’informer celle-ci des finalités du traitement auquel sont destinées ces données ainsi que de la base juridique de ce traitement [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 95].
52 En deuxième lieu, s’agissant de la limitation temporelle d’un traitement de données à caractère personnel tel que celui en cause au principal, il convient de rappeler que la Cour a déjà jugé que, compte tenu du principe de minimisation des données, le responsable du traitement est tenu de limiter au strict nécessaire, à l’aune de l’objectif du traitement envisagé, la période de collecte des données à caractère personnel en cause [arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des
données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 79].
53 En effet, plus la conservation de ces données est longue, plus les conséquences sur les intérêts et sur la vie privée de la personne concernée sont importantes et plus les exigences relatives à la licéité de la conservation desdites données sont élevées [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 95].
54 En outre, il convient de relever que, aux termes de l’article 5, paragraphe 1, sous e), du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
55 Il ressort ainsi sans ambiguïté du libellé de cet article que le principe de la « limitation de la conservation » qu’il consacre requiert que le responsable du traitement soit en mesure de démontrer, conformément au principe de responsabilité rappelé au point 51 du présent arrêt, que les données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement
traitées (voir, en ce sens, arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 53).
56 Il en résulte, ainsi que la Cour l’a déjà jugé, que même un traitement initialement licite de données peut devenir, avec le temps, contraire aux dispositions du RGPD lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou ultérieurement traitées et que lesdites données doivent être supprimées lorsque ces finalités sont réalisées (voir, en ce sens, arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 54 et jurisprudence citée).
57 Dans ces conditions, ainsi que l’a relevé en substance M. l’avocat général au point 22 de ses conclusions, il appartient à la juridiction nationale d’apprécier, compte tenu de l’ensemble des éléments pertinents et en faisant application du principe de proportionnalité, rappelé à l’article 5, paragraphe 1, sous c), du RGPD, si la durée de conservation des données à caractère personnel par le responsable du traitement est raisonnablement justifiée au regard de l’objectif consistant à permettre la
diffusion de publicités personnalisées.
58 En toute hypothèse, une conservation, pour une période illimitée, des données à caractère personnel des utilisateurs d’une plateforme de réseau social à des fins de publicité ciblée doit être considérée comme une ingérence disproportionnée dans les droits garantis à ces utilisateurs par le RGPD.
59 En troisième lieu, s’agissant de la circonstance que les données à caractère personnel en cause au principal seraient collectées, agrégées, analysées et traitées à des fins de publicité ciblée, sans distinction en fonction de la nature de ces données, il importe de rappeler que la Cour a déjà jugé que, eu égard au principe de minimisation des données, prévu par l’article 5, paragraphe 1), sous c), du RGPD, le responsable du traitement ne peut procéder, de manière généralisée et indifférenciée, à
la collecte de données à caractère personnel et qu’il doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement [arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 74].
60 Il convient également de relever que l’article 25, paragraphe 2, de ce règlement exige du responsable du traitement qu’il mette en œuvre les mesures appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Aux termes de cette disposition, une telle exigence s’applique notamment à la quantité de données à caractère personnel collectées et à l’étendue de leur traitement, tout comme à
leur durée de conservation.
61 En l’occurrence, il ressort de la décision de renvoi que Meta Platforms Ireland collecte les données à caractère personnel des utilisateurs de Facebook, dont M. Schrems, portant sur les activités de ces utilisateurs tant sur ce réseau social qu’en dehors de celui-ci, dont notamment les données relatives à la consultation de la plateforme en ligne ainsi que de pages Internet et d’applications tierces, et suit également le comportement de navigation des utilisateurs sur ces pages au moyen de
« social plugins » et de « pixels » insérés sur les pages Internet concernées.
62 Or, ainsi que la Cour l’a déjà jugé, un tel traitement est particulièrement étendu dès lors qu’il porte sur des données potentiellement illimitées et qu’il a un impact important sur l’utilisateur, dont une grande partie, voire la quasi-totalité, des activités en ligne sont monitorées par Meta Platforms Ireland, ce qui peut susciter auprès de celui-ci la sensation d’une surveillance continue de sa vie privée [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un
réseau social), C‑252/21, EU:C:2023:537, point 118].
63 Dans ces conditions, le traitement de données en cause au principal se caractérise par une ingérence grave dans les droits fondamentaux des personnes concernées, en particulier de leurs droits au respect de la vie privé et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, qui ne parait pas, sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, raisonnablement justifié au
regard de l’objectif consistant à permettre la diffusion de publicités ciblées.
64 En toute hypothèse, l’utilisation indifférenciée de l’ensemble des données à caractère personnel détenues par une plateforme de réseau social à des fins publicitaires, quel que soit le degré de sensibilité de ces données, n’apparaît pas comme une ingérence proportionnée dans les droits garantis aux utilisateurs de cette plateforme par le RGPD.
65 Compte tenu de ce qui précède, il y a lieu de répondre à la deuxième question que l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur
cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.
Sur la quatrième question
66 Par cette question, la juridiction de renvoi demande, en substance, si l’article 9, paragraphe 2, sous e), du RGPD, doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, autorise l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme
à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée.
67 Plus particulièrement, la juridiction de renvoi cherche à déterminer si, par la déclaration faite par M. Schrems à l’occasion d’une table ronde, celui-ci n’a plus droit à la protection conférée par l’article 9, paragraphe 1, du RGPD et si, par conséquent, Facebook était en droit de traiter d’autres données relatives à son orientation sexuelle.
68 À titre liminaire, il importe de relever que la table ronde évoquée par la juridiction de renvoi, dans le cadre de laquelle M. Schrems a fait une déclaration concernant son orientation sexuelle, s’est tenue le 12 février 2019 et que, ainsi qu’il ressort de la décision de renvoi, à cette date, Meta Platforms Ireland traitait déjà des données à caractère personnel concernant l’orientation sexuelle de M. Schrems de sorte que cette déclaration serait postérieure par rapport au début d’un tel
traitement de données.
69 Il s’ensuit que la quatrième question posée par la juridiction de renvoi doit être comprise comme concernant uniquement les éventuels traitements de données relatives à l’orientation sexuelle de M. Schrems qui auraient été réalisées par Meta Platforms Ireland, après le 12 février 2019. Il appartient néanmoins à la juridiction de renvoi de vérifier si de tels traitements ont effectivement eu lieu après cette date, conformément à la jurisprudence rappelée au point 42 du présent arrêt
70 Afin de répondre à cette question, il importe, en premier lieu, de rappeler que le considérant 51 du RGPD énonce que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et ces droits. Ce considérant précise que de telles données à caractère personnel ne devraient pas
faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans les cas spécifiques prévus par ledit règlement.
71 Dans ce contexte, l’article 9, paragraphe 1, du RGPD pose le principe de l’interdiction du traitement portant sur des catégories particulières de données à caractère personnel qu’il mentionne. Il s’agit, notamment, des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ainsi que des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
72 Aux fins de l’application de l’article 9, paragraphe 1, du RGPD, il importe de vérifier, dans le cas d’un traitement de données à caractère personnel effectué par l’opérateur d’un réseau social en ligne, si ces données permettent de révéler des informations relevant d’une des catégories visées à cette disposition, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique. Dans l’affirmative, un tel traitement de données à caractère personnel est alors interdit,
sous réserve des dérogations prévues à l’article 9, paragraphe 2, du RGPD.
73 Ainsi que la Cour l’a déjà jugé, cette interdiction de principe, prévue à l’article 9, paragraphe 1, du RGPD, est indépendante du point de savoir si l’information révélée par le traitement en cause est exacte ou non et si le responsable du traitement agit dans le but d’obtenir des informations relevant d’une des catégories particulières visées à cette disposition. En effet, compte tenu des risques importants pour les libertés fondamentales et les droits fondamentaux des personnes concernées,
engendrés par tout traitement de données à caractère personnel relevant des catégories visées à l’article 9, paragraphe 1, du RGPD, celui-ci a pour objectif d’interdire ces traitements, indépendamment de leur but affiché [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, points 69 et 70].
74 Cela étant, si cet article 9, paragraphe 1, interdit, par principe, le traitement des données concernant, notamment, l’orientation sexuelle, le paragraphe 2 dudit article prévoit, à ses points a) à j), dix dérogations qui sont indépendantes les unes des autres et qui doivent donc être appréciées de manière autonome. Il s’ensuit que le fait que les conditions d’application de l’une des dérogations prévues à ce paragraphe 2 ne sont pas réunies ne saurait faire obstacle à ce qu’un responsable de
traitement puisse se prévaloir d’une autre dérogation mentionnée à cette disposition (arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 47).
75 S’agissant, en particulier, de la dérogation prévue à l’article 9, paragraphe 2, sous e), du RGPD, il y a lieu de rappeler que, en vertu de cette disposition, l’interdiction de principe de tout traitement portant sur des catégories particulières de données à caractère personnel, posée par cet article 9, paragraphe 1, ne s’applique pas dans l’hypothèse où le traitement porte sur des données à caractère personnel qui sont « manifestement rendues publiques par la personne concernée ».
76 Dans la mesure où il prévoit une exception au principe de l’interdiction du traitement des catégories particulières de données à caractère personnel, l’article 9, paragraphe 2, sous e), du RGPD doit être interprété de manière restrictive [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, points 76 et jurisprudence citée].
77 Il s’ensuit que, aux fins de l’application de l’exception prévue à l’article 9, paragraphe 2, sous e), du RGPD, il importe de vérifier si la personne concernée a entendu, de manière explicite et par un acte positif clair, rendre accessibles au grand public les données à caractère personnel en question [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 77].
78 En l’occurrence, il ressort de la décision de renvoi que la table ronde organisée à Vienne le 12 février 2019, dans le cadre de laquelle M. Schrems a fait une déclaration sur son orientation sexuelle, était accessible au public, qui pouvait obtenir un billet pour y assister en présence dans la limite des places disponibles, et qu’elle était diffusée en streaming. En outre, un enregistrement de celle-ci aurait été publié par la suite sous forme de podcast ainsi que sur la chaîne Youtube de la
Commission.
79 Dans ces conditions, et sous réserve des vérifications incombant à la juridiction nationale, il ne saurait être exclu que cette déclaration, bien que s’inscrivant dans un discours plus large et effectuée aux seules fins de critiquer le traitement de données à caractère personnel opéré par Facebook, constitue un acte par lequel l’intéressé, en toute connaissance de cause, a rendu manifestement publique, au sens de l’article 9, paragraphe 2, sous e), du RGPD, son orientation sexuelle.
80 En second lieu, si la circonstance que la personne concernée a rendue manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, par dérogation à l’interdiction prévue à l’article 9, paragraphe 1), du RGPD et conformément aux exigences découlant des autres dispositions de ce règlement [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 64],
cette circonstance n’autorise pas, à elle seule, contrairement à ce que fait valoir Meta Platforms Ireland, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne.
81 Ainsi, d’une part, il serait contraire l’interprétation restrictive qu’il convient de donner à l’article 9, paragraphe 2, sous e), du RGPD de considérer que l’ensemble des données relatives à l’orientation sexuelle d’une personne échappent à la protection découlant du paragraphe 1 de cet article au seul motif que la personne concernée a manifestement rendu publique une donnée à caractère personnel se rapportant à son orientation sexuelle.
82 D’autre part, le fait qu’une personne ait manifestement rendue publique une donnée concernant son orientation sexuelle ne permet pas de considérer que cette personne a fourni son consentement, au sens de l’article 9, paragraphe 2, sous a), du RGPD, au traitement par l’exploitant d’une plateforme de réseau social en ligne d’autres données relatives à son orientation sexuelle.
83 Eu égard à ce qui précède, il y a lieu de répondre à la quatrième question que l’article 9, paragraphe 2, sous e), du RGPD, doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de
cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée.
Sur les dépens
84 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (quatrième chambre) dit pour droit :
1) L’article 5, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans
distinction en fonction de la nature de ces données.
2) L’article 9, paragraphe 2, sous e), du règlement 2016/679
doit être interprété en ce sens que :
la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles‑ci, afin de lui proposer de la
publicité personnalisée.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
( 1 ) Le greffe de la Cour a pris informellement contact avec les avocats du requérant au principal lesquels, après avoir consulté leur client, ont confirmé par écrit qu’une anonymisation n’était pas souhaitée par l’intéressé.