Nouveaux développements sur la prise en compte de la concurrence par la protection des données !
Faisant suite à une mission de réflexion portant sur l’articulation entre protection des données et concurrence, les conclusions publiées le 19 décembre 2024 formulent une quinzaine de propositions visant à renforcer la prise en compte de la concurrence dans la protection des données, une perspective jusqu’ici peu développée, tant en termes d’analyse que de coopération.
Si les développements relatifs à la prise en compte de la protection des données en matière de concurrence continuent d’alimenter l’actualité juridique, tant au niveau européen que national, c’est relativement moins le cas en ce qui concerne la prise en compte de la concurrence en matière de protection des données. Cela étant, les lecteurs se souviendront probablement que l’arrêt Meta Platforms de la CJUE du 4 juillet 2023 (CJUE 4 juill. 2023, aff. C-252/21, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic 
; D. 2023. 1313 ; Dalloz IP/IT 2024. 45, obs. A. Lecourt ; RTD eur. 2023. 754, obs. L. Idot ) a notamment ouvert la voie aux autorités nationales de protection des données pour prendre en compte les concepts du droit de la concurrence au soutien de leurs propres analyses. On y reviendra.
Dans ce sillage, il s’avère que, le 19 décembre 2024, des conclusions faisant suite à la mission de réflexion confiée à M. Bruno Lasserre, président de la Commission d’accès aux documents administratifs (CADA) et ancien président de l’Autorité de la concurrence, par Mme Marie-Laure Denis, présidente de la Commission nationale informatique et libertés (CNIL), concernant l’articulation entre protection des données et concurrence ont été publiées.
Lesdites conclusions s’inscrivent également dans la continuité de la déclaration conjointe de l’Autorité de la concurrence et de la CNIL (CNIL et Aut. conc., Concurrence et données personnelles : une ambition commune – Déclaration conjointe de l’Autorité de la concurrence et de la Commission nationale de l’informatique et des libertés, 12 déc. 2023), en ce qu’elles visent à approfondir les « synergies » entre les deux cadres de régulation, mais – et on leur en sait gré de le rappeler – sans jamais céder à la tentation de fusionner ces règles juridiques et les mandats de ces autorités. Il ne s’agit pas tant, pour reprendre les termes qui figurent dans les conclusions, de parvenir à une « reconnaissance mutuelle », c’est-à-dire à une intégration des deux cadres, mais à une « inspiration mutuelle », en vue de favoriser une convergence entre ces régulations, caractéristique de l’« interrégulation » (M.-A. Frison-Roche, L’hypothèse de l’interrégulation, in Les risques de régulation, M.-A. Frison-Roche [dir.], Sciences Po et Dalloz, 2005, p. 70).
Dans cette optique, les conclusions précitées formulent une quinzaine de propositions. Elles posent les principes de cette articulation renforcée entre protection des données et concurrence avant d’en tirer toutes les conséquences en termes de coopération.
Les principes de l’articulation entre protection des données et concurrence
Les conclusions rappellent d’abord l’essor et, par conséquent, l’importance de la collecte et de l’utilisation massives de données, dont la plupart ont un caractère personnel, dans les modèles d’affaires de l’économie numérique, soulignant ainsi le lien étroit entre protection des données et concurrence (v. déjà en ce sens, V. Giovannini, Données massives et droit de la concurrence, préf. D. Bosco, Bruylant, 2024). Il s’avère, en effet, que la protection de la vie privée et des données personnelles est un paramètre de concurrence, dont certaines entreprises peuvent tirer profit, puisqu’il leur permet de se différencier de leurs concurrents, et ainsi de faire émerger des formes de concurrence par l’innovation dans ce domaine. Cependant, il est important de ne pas négliger certaines conséquences économiques et concurrentielles néfastes que pourraient avoir les règles de la protection des données sur la concurrence. Ceci est illustré par le fait que le coût de la protection des données est proportionnellement moins élevé pour une grande entreprise que pour des entreprises de plus petite taille, avec pour conséquence qu’une telle asymétrie est susceptible d’ériger des barrières à l’entrée. C’est pourquoi les conclusions recommandent à la CNIL de prendre en compte les questions concurrentielles en amont dans ses travaux.
C’est ensuite au tour du dialogue entre les concepts et outils de chacun de ces cadres de régulation d’être exploré, dans le prolongement de l’arrêt Meta Platforms précité. On rappellera, à cet égard, que s’il consacre la possibilité pour une autorité nationale de concurrence de constater, à titre incident, une violation du RGPD aux fins de déterminer l’existence d’un abus de position dominante, il ouvre réciproquement, comme indiqué précédemment, la possibilité pour les autorités nationales de protection des données de prendre en compte les concepts du droit de la concurrence à l’appui de leurs propres analyses ; ce que démontre la prise en compte de la position dominante du responsable de traitement dans l’appréciation de la liberté du consentement des personnes concernées par celui-ci. Ceci exposé, les conclusions proposent un certain nombre de pistes pour instaurer un tel dialogue.
Cela pourrait, en premier lieu, passer par une utilisation des concepts existants, tels que le marché pertinent, la dominance, ou le pouvoir de marché. Mais il peut aussi s’agir d’adapter ces concepts au contexte de la protection des données, par exemple en consacrant la notion de « pouvoir sur les données » ; un concept, emprunté à la doctrine, qui, selon la CNIL, s’entend d’une « entrave à l’autonomie informationnelle de la personne, provenant d’un déséquilibre économique entre elle et le responsable de traitement, se traduisant par une asymétrie d’information ou d’autres biais de la rationalité individuelle, et se mesurant par un risque pour la protection des données de cette personne ou sa vie privée ».
Cela pourrait, en deuxième lieu, passer par la prise en compte des réalités concurrentielles dans le raisonnement juridique de la CNIL pour l’application du RGPD. Par exemple, si l’on sait déjà que l’illicéité d’un traitement de données peut avoir des effets néfastes sur la concurrence et fonder une action en concurrence déloyale, conformément à la jurisprudence interne des juges du fond (v. par ex., Paris 9 nov. 2022, n° 21/00180) et de l’Union européenne (CJUE 4 oct. 2024, ND c/ DR, aff. C-21/23, §§ 46-73, D. 2024. 1777 ; ibid. 2115, point de vue F. Megerlin et E. Pinilla ), une meilleure prise en compte des réalités économiques et concurrentielles permettrait d’apprécier la licéité d’un traitement de données au sens de l’article 5, § 1, a), du RGPD. De même, elles pourraient permettre d’apprécier la nécessité, ou la liberté du consentement, d’un traitement, voire la loyauté de celui-ci. Le rôle des pratiques anticoncurrentielles dans l’accumulation des données pourrait encore être apprécié dans le cadre de l’analyse du respect du principe de minimisation de l’article 5, § 1, c), du RGPD.
Cela pourrait, en troisième lieu, impliquer une approche conjointe des deux régulateurs dans l’exploration des risques, tant congloméraux et verticaux, que structurels et comportementaux, et des marchés dans le cadre du contrôle des concentrations et des pratiques anticoncurrentielles, en recourant, le cas échéant, aux analyses d’impact relatives à la protection des données prévues à l’article 35, § 1, du RGPD.
Les conséquences de l’articulation entre protection des données et concurrence
Dans un second temps, les conclusions tirent un certain nombre de conséquences d’une telle articulation entre protection des données et concurrence, non seulement pour la CNIL elle-même sur un plan plus opérationnel, mais aussi pour la coopération avec l’Autorité de la concurrence et, plus largement, au niveau européen.
S’agissant, en premier lieu, des conséquences opérationnelles pour la CNIL, les recommandations sont assez diverses en la matière. En effet, après avoir évoqué les différentes modalités de coopération entre autorités de protection des données et de concurrence selon les pays, et abordé le mécanisme de saisine pour avis entre la CNIL et de l’Autorité de la concurrence – régulièrement utilisé par celle-ci et pour la première fois par celle-là dans le cadre de son projet de recommandation relatif aux applications mobiles (Aut. conc., avis n° 23-A-20 du 4 déc. 2023, Dalloz actualité, 22 oct. 2024, obs. L.-M. Augagneur) –, les conclusions recommandent de mettre en place au un point de contact au sein de chaque autorité chargé de piloter la coopération. Les conclusions préconisent également d’engager une réflexion commune entre la CNIL et l’Autorité de la concurrence au sujet du droit à la portabilité des données personnelles et d’associer, le cas échéant, d’autres autorités ou acteurs compétents en la matière, comme l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) ou le groupe de haut niveau du Digital Markets Act (DMA). Par ailleurs, et outre l’organisation régulière de formations croisées, il convient de noter qu’elles suggèrent, en matière de sanctions, de prendre en compte la notion d’« entreprise » au sens du droit de la concurrence, afin de mieux proportionner le montant des sanctions de la CNIL à la taille des acteurs et aux risques que leurs activités font peser sur les personnes et la vie privée.
S’agissant, en deuxième lieu, des conséquences pour la coopération avec l’Autorité de la concurrence, alors que la prise en compte de la protection des données est déjà avancée dans la pratique décisionnelle des autorités de concurrence en général, la mission présente plusieurs pistes susceptibles de faciliter encore davantage son intégration. La CNIL suggère ainsi à l’Autorité de la concurrence de prendre en compte la protection de la vie privée et des données personnelles dès le stade de la définition du marché pertinent, afin de mieux délimiter les marchés de produits et géographiques concernés, en mettant en avant, par exemple, leurs différentes segmentations. Par ailleurs, et dans la continuité des demandes d’avis que nous avons déjà évoquées et qui ont été adressées par le passé à la CNIL par l’Autorité de la concurrence (v. par ex., Aut. conc. 9 sept. 2014, n° 14-MC-02, AJCA 2014. 340, obs. J.-L. Fourgoux ; 17 mars 2021, n° 21-D-07, Dalloz actualité, 1er avr. 2021, obs. F. Masmi-Dazi ; Dalloz IP/IT 2021. 465, obs. A. Lecourt ), la première encourage la seconde à la saisir : d’une part, que ce soit de manière formelle ou informelle, lorsque la vie privée et les données personnelles sont en jeu tant dans le cadre d’une opération de concentration que de pratiques anticoncurrentielles ; et, d’autre part, lorsqu’elle élabore des engagements comportementaux pour lesquels elle constate des traitements non conformes au RGPD, voire pour la mise en œuvre d’engagements « quasi structurels », tels que des accords de licence incluant l’accès à des données personnelles. Dans le même ordre d’idées, l’Autorité de protection des données recommande la mise en place de programmes conjoints de conformité en matière de données personnelles et de concurrence.
S’agissant, en troisième lieu, des conséquences pour la coopération au niveau européen entre autorités de concurrence et de protection des données, la mise en œuvre du « paquet numérique européen » conduit à son renforcement dans la mesure où un certain nombre de ces textes concernent à la fois la concurrence et la protection des données personnelles, à l’image du DMA, ou du Data Act. Le premier de ces règlements prévoit d’ailleurs la mise en place d’un nouveau forum d’échanges : le groupe de haut niveau, qui réunit différents réseaux de régulateurs, dont le Comité européen de la protection des données (CEPD) et le Réseau européen de concurrence (REC). La possibilité de promouvoir les principes de la coopération entre la CNIL et l’Autorité de la concurrence au niveau européen est également évoquée, dans le cadre du CEPD et de sa task force, dont les travaux portent sur l’articulation entre la protection des données personnelles, la concurrence et la protection du consommateur.
Au surplus, on relèvera l’intention des auteurs de ces conclusions d’initier une réflexion sur la gouvernance actuelle de la protection des données. Pour s’en tenir à l’essentiel, en matière de protection des données, on sait qu’en cas de traitement transfrontalier, la désignation d’une autorité chef de file, via le mécanisme du « guichet unique » et donc selon le principe du pays d’établissement du siège du responsable de traitement, peut-être source de difficultés ; en témoignent les critiques exprimées à l’égard de l’autorité irlandaise en raison de son inaction face aux GAFAM. D’où l’amorce d’une réflexion sur la question de savoir si les règles d’attribution et le rôle du CEPD ne pourraient pas évoluer en introduisant un principe inspiré de celui du REC, à savoir celui du pays d’origine, selon lequel l’autorité de concurrence, recevant la plainte ou engageant une procédure, en reste généralement chargée, avec toutefois une éventuelle réattribution visant à s’assurer que l’autorité est bien placée pour traiter l’affaire.
En définitive, si la prise en compte de la concurrence dans la protection des données n’en est qu’à ses débuts, ces conclusions, et les propositions qu’elles formulent, ont le mérite de faire avancer la réflexion sur le sujet. Elles nous semblent également, il faut le répéter, aller dans le bon sens : celui d’une approche équilibrée entre ces deux régulations. Espérons que 2025 poursuivra ce que 2024 a commencé, et sera ponctuée de nouveaux développements stimulants sur l’articulation entre protection des données et concurrence !
© Lefebvre Dalloz