Gestion des données personnelles et impact sur la concurrence

Le développement de la récolte des données par les marchés numériques et la multiplication des objets connectés ont permis l’émergence de nouveaux acteurs qui réalisent d’importants chiffres d’affaires avec des modèles économiques impliquant la collecte et l’exploitation commerciale des données.

Ces évolutions technologiques ont donc conduit le droit à les prendre en compte, mais ce n’est que récemment que le droit de la concurrence à commencer à s’interroger sur la récolte et la gestion des données personnelles par les entreprises.

Deux branches du droit originairement séparées

Historiquement et à plusieurs reprises, la Cour de Justice des Communautés Européennes comme la Commission Européenne ont été amenées à rappeler la séparation entre ces deux droits.

Ainsi, dans l’analyse de l’acquisition de WhatsApp par Facebook en 2014, la Commission Européenne choisit de ne pas retenir la dimension “données personnelles” dans son analyse, et ce malgré la proposition des avocats de Facebook[1]. À cette occasion, la commission rappelle que les préoccupations concernant la protection de la vie privée n’entraient pas dans le périmètre du droit européen de la concurrence, mais relève de la réglementation de protection des données personnelles[2].

Un nouveau contexte de prise en compte accrue en 2016

L’année 2016 marque une accélération de la collecte de données et un renforcement des positions dominantes sur ce secteur ce qui amène à une prise en compte accrue de ces problématiques, notamment par l’Autorité de la Concurrence française et le Bundeskartellamt allemand.

Cette même année, l’Autorité française le 23 mai 2016 s’autosaisie pour rendre un avis  afin d’analyser les conditions d’exploitation des données dans le secteur de la publicité en ligne[3]. Le 2 mars 2016 le Bundeskartellamt ouvre une procédure contre Facebook visant à déterminer si la validation des conditions générales de Facebook par laquelle l’utilisateur consent à l’utilisation des données personnelles les concernant peut être associée à un abus de position dominante du célèbre réseau social[4].

Rapport conjoint de l’Autorité de la Concurrence et le Bundeskartellamt : “Droit de la Concurrence et données”

Toujours en 2016, l’autorité de la concurrence française et le Bundeskartellamnt allemand ont publié une étude[5] sur les enjeux liés à la protection des données à l’ère des Big Data. Le rapport met en lumière le nécessaire rapprochement entre le droit de la concurrence et le droit au respect de la vie privée, et invite les autorités nationales de la concurrence des États Membres à tenir compte de la protection des données personnelles pour l’avenir.

Le rapport alerte notamment sur le fait que plusieurs pratiques liées à la collecte et à l’usage des  données d’une entreprise comme des particuliers peuvent soulever des préoccupations au niveau la  concurrence. Le rapport fait notamment le lien entre données, pouvoir de marché et préoccupation en matière de violation de la vie privée, notamment en cas de contrôle des concentrations et d’appréciation d’abus de position dominante.

Situation en Europe suite à la réforme de mai 2018

Publiée en 2016 et entré en application dans les états membres le 25 mai 2018[6] le RGPD est l’initiale de Règlement Général pour la Protection des Données et désigne la dernière directive européenne concernant les données personnelles[7].

Le RGDP comprend notamment de nouvelles obligations relatives à la portabilité des données personnelles et à la responsabilisation des dépositaires de ces données qui impactent fortement les usages marketing qui se rapportent à ce type de données. Il instaure de nouvelles obligations à la charge des responsables de traitement, notamment l’obligation de protéger la vie privée dès la conception du produit ou du service, communément désignée par l’expression « Privacy by Design »[8].

L’objectif de la réglementation est d’anticiper tous les risques liés à au traitement de données à caractère personnel via l’adoption de mesures proactives destinées à améliorer la confiance des utilisateurs et à apporter un avantage compétitif avec en contrepartie un allègement des formalités préalables[9]. Le système mis en place par le RGPD est largement inspiré de ce qui se fait en droit de la concurrence[10].

Paradoxe du RGPD

À l’origine le RGPD, loin d’être une contrainte de plus, est perçu comme un moyen pour l’Europe de mieux s’affirmer face aux pouvoirs des GAFA (Google, Apple, Facebook et Amazon) et aux citoyens européens de mieux maîtriser leur vie numérique. Pourtant, ce règlement peut renforcer le duopole de data de Google et Facebook en le protégeant encore mieux de ses concurrents actuels et futurs[11]. En effet, se mettre en conformité avec le RGPD est particulièrement complexe, coûte beaucoup d’argent et de temps, dans un environnement d’incertitude juridique les consommateurs cherchent la sécurité et la sécurité se trouve chez les gros acteurs enfin, les sites de service tels que Facebook ou Google auront beaucoup moins de mal à obtenir ces consentements que d’autre notamment ceux  qui ont des produits à vendre pour qui la collecte de données est secondaire[12].

Une étude réalisée par Louis Janicot, Arthur Belmer, Arnaud Gaillard, Ulysse Olivier, Patrick Péladeau, Thomas Rigaudiere.

[1]  http://www.protection-des-donnees.fr/wp-admin/post-new.php

[2] Cependant la même année 2014, GDF Suez, est épinglée par l’autorité de la concurrence française pour abus de position dominante. Dans cette affaire, l’utilisation d’un fichier client, et donc de données personnelles, devient pour la première fois un motif de condamnation pour abus de position dominante. Son successeur Engie sera condamné pour le même motif en 2017.

[3] http://www.autoritedelaconcurrence.fr/user/standard.php?id_rub=629&id_article=2777

[4] https://www.lemonde.fr/pixels/article/2016/03/02/l-autorite-de-la-concurrence-allemande-ouvre-une-enquete-contre-facebook_4875050_4408996.html

[5] http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf

[6] https://www.usine-digitale.fr/article/quelles-incidences-de-la-protection-des-donnees-personnelles-sur-le-droit-de-l-entreprise.N545763

[7] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

[8] https://www.usine-digitale.fr/article/quelles-incidences-de-la-protection-des-donnees-personnelles-sur-le-droit-de-l-entreprise.N545763

[9] https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/

[10] https://www.grall-legal.fr/fr/rgpd-reglement-general-relatif-a-la-protection-des-donnees-personnelles/#.W186BLh9iUk

[11] https://www.forbes.fr/technologie/rgpd-lespace-de-liberte-est-superieur-a-la-protection-des-donnees/

[12] http://www.strategies.fr/blogs-opinions/idees-tribunes/4007568W/google-et-facebook-peuvent-dire-merci-au-rgpd.html