Bezirkshauptmannschaft Landeck | Police Justice | Tentative d’accès aux données d’un téléphone
La réglementation de l’Union pertinente s’applique non seulement en cas d’accès réussi aux données personnelles contenues dans un téléphone portable, mais également à une tentative d’y accéder (déverrouillage bloqué); cet accès peut constituer une ingérence particulièrement grave dans les droits fondamentaux de la personne concernée, dès lors qu’elles peuvent inclure des données particulièrement sensibles, des messages, des photos et l’historique de navigation sur Internet, et pourraient permettre, le cas échéant, de tirer des conclusions très précises concernant la vie privée de cette personne.
Un tel accès doit être strictement encadré par le législateur (éléments à prendre en compte, nature et catégories des infractions concernées..) et doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, sauf en cas d’urgence dûment justifié.
La personne concernée doit être informée des motifs sur lesquels repose l’autorisation d’accéder à ses données, dès que la communication de cette information n’est plus susceptible de compromettre les enquêtes.
CJUE 4 octobre 2024 | Bezirkshauptmannschaft Landeck | C‑548/21
Lindenapotheke | Vente en ligne de médicaments & Consentement explicite
La vente en ligne de médicaments réservés aux pharmacies nécessite le consentement explicite du client sur le traitement de ses données.
La Cour considère que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale ; ces données, en effet, sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable.
Par suite, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.
Le RGPD ne s’oppose pas à ce qu’une règlementation nationale considère qu’une atteinte à la protection des données personnelles constitue une pratique concurrentielle déloyale susceptible de sanctions pour violation du RGPD devant des juridictions civiles.
CJUE 4 octobre 2024 | Lindenapotheke | C‑21/23
Schrems v. Meta | Données off Facebook “Manifestement Rendues Publiques”
Meta collecte et traite aux fins de publicité ciblée des données à caractère personnel des utilisateurs de Facebook portant sur leurs activités « en dehors » de son réseau auprès de l’utilisateur lui-même ou auprès de tiers, pouvant provenir notamment de la consultation de pages de sites internet de tiers ou de l’utilisation d’applications mobiles du groupe Meta (WhatsApp, Instagram…) ou d’applications tierces (« données off Facebook »).
La CJUE juge que le principe de minimisation s’oppose à une conservation et à une utilisation de ces données sans limitation dans le temps et sans distinction en fonction de leur nature, dès lors que leurs collectes et traitements — particulièrement étendus et donc potentiellement illimités – s’apparentent à une surveillance quasi continue de la vie privée des utilisateurs et par là-même relèvent d’une ingérence grave dans leurs droits fondamentaux.
Aussi, en ce qui concerne la part desdites données pouvant être qualifiées de « données sensibles », la Cour considère que « la circonstance » qu’un utilisateur « rende manifestement publiques » (table ronde ouverte, Youtube, etc..) « certaines » données concernant son orientation sexuelle, n’autorise pas, « à elle seule » le traitement à des fins de publicité ciblée « d’autres » données se rapportant également à son orientation sexuelle mais collectées par ailleurs, dès lors qu’il ne les aura pas rendu publiques en toute connaissance de cause.
CJUE 4 octobre 2024 | Maximilian Schrems v; Meta Platforms aka Facebook | C‑446/21
Autorité de contrôle des données personnelles & Opportunité dans le prononcé d’une sanction
Les Autorités de Contrôle de la Protection des Données (e.g. CNIL en France), ne sont pas soumises par le RGPD à l’obligation absolue de prononcer une sanction (amende, publicité de la décision…) alors même qu’elles auront relevé dans leur décision et sans contestation possible des violations de données importantes; ainsi en est-il, notamment, lorsque le responsable du traitement poursuivi aura pris des mesures nécessaires et jugées adaptées par l’Autorité pour que lesdites violations prennent fin et ne se reproduisent pas.
CJUE 26 Septembre 2024 | Land Hessen | C-768/21
Qualcomm, Inc. , Nvidia Corp. | Prix d’éviction
Qualcomm demande au Tribunal de l’Union européenne d’annuler ou, à titre subsidiaire, de réduire substantiellement le montant de l’amende infligée et soulève à cette fin quinze moyens basés notamment sur des irrégularités de procédure, dont la durée excessive de l’enquête, le caractère prétendument succinct de certaines notes prises lors d’entretiens non enregistrés par la Commission avec des tiers, des erreurs manifestes d’appréciation, de fait et de droit, ainsi qu’un manquement à l’obligation de motivation par la Commission concernant plusieurs aspects de la décision en question.
Le Tribunal confirme la décision de la Commission dans toutes ses branches, hormis le quantum de l’amende qu’il fixe à 238, 7 millions d’euros contre 242 millions, retenant le moyen de Qualcomm quant aux modalités de calcul.
TUE 18 septembre 2024 | Qualcomm, Inc./Nvidia Corp. | T-671/19
Google AdSense for Search (AFS) / Intermédiation publicitaire liée aux recherches en ligne
Dans une décision du 20 mars 2019 relative au marché de l’intermédiation publicitaire Google AdSense for Search liée aux recherches en ligne, la Commission avait condamné Google au paiement d’une amende de près de 1,5 Milliard d’euros pour avoir tenté de maintenir et de renforcer sa position sur ce type de marché et ainsi s’être rendu coupable de trois abus de position dominante sur ses “partenaires directs” parties aux Accords de Services Google (ASG) compte tenu de la mise en oeuvre abusive et de l’effet d’éviction produits par trois des clauses y figurant, à savoir, une clause d’exclusivité, une clause d’autorisation préalable, et une clause de placement.
Le Tribunal annule la décision de la Commission, considérant que celle-ci a commis des erreurs dans son appréciation de la durée des clauses litigieuses et de son estimation de la partie du marché couverte par celles-ci pendant l’année 2016.
TUE 18 septembre 2024 | Google AdSense for Search (AFS) | T-334/19
Google Shopping / Refus d’accès à une facilité essentielle
La Cour, réunie en grande chambre, rejette le pourvoi formé par Google LLC et sa société mère Alphabet Inc. contre l’arrêt du Tribunal du 27 juin 2017 confirmant l’amende de 2,4 milliards d’euros qui leur a été infligée par la Commission pour abus de position dominante sur plusieurs marchés nationaux de la recherche sur Internet.
Le comportement identifié comme étant source de l’abus était, en substance, que Google affichait son propre comparateur de produits sur les pages générales de résultats sélectionnées par son moteur de recherche de manière proéminente et attrayante dans des « boxes » dédiées, sans qu’il fût soumis à ses algorithmes d’ajustement, alors que, dans le même temps, les comparateurs de produits concurrents ne pouvaient apparaître sur ces pages que sous forme de résultats de recherche générale, et jamais dans un format enrichi, tout en étant sujets à être rétrogradés au sein du classement des résultats génériques par ces algorithmes d’ajustement.
CJUE Grande Chambre 10 septembre 2024 | Google Shopping | C-48/22 P
Google Italy vs Enel X / Plateforme Android Auto
L’objet du débat porte sur un défaut d’interopérabilité de l’application JuicePass d’Enel X [recharge des voitures électriques] avec la plateforme Android Auto consécutif à un manque de coopération non justifié d’Alphabet/Google avec les développeurs de JuicePass, leur interdisant de fait d’accéder à l’audience des utilisateurs finaux et au gisement de leurs données personnelles; Google ne souhaitant pas “partager” avec Enel X Italia l’énorme gisement de données utilisateurs collectées notamment par le biais de son application propriétaire Google Maps naturellement intégrée à Android Auto.
Aux termes des Conclusions de l’avocate générale, le refus de Google de fournir aux tiers un accès à Android Audo constitue une infraction aux règles de la concurrence.
CJUE Conclusions Avocat Général 5 septembre 2024 | Google Italy / Enel X | C‑233/23
Bytedance Ltd (aka TikTok) | Digital Markets Act (DMA) & Notion de Contrôleur d’accès aka Gatekeeper
La qualification de Bytedance Ltd. et de l’ensemble de ses filiales (TikTok & al.) en tant que “Contrôleur d’Accès” (Gatekeeper) au sens du Règlement sur les Marchés Numériques (DMA Digital Markets Act) est confirmée par le Tribunal de l’Union.
Le Tribunal confirme, par ailleurs, sa jurisprudence en matière de droits de la défense, aux termes de laquelle même si Bytedance n’a pas eu l’occasion de présenter ses observations sur des éléments de droit et de fait utilisés par la Commission pour fonder sa qualification de Contrôleur d’accès, il demeure qu’une violation du droit d’être entendu n’implique pas automatiquement l’annulation de l’acte attaqué.
TUE 17 juillet 2024 | Bytedance (aka TikTok)| T-1077/23
Contrefaçon & Accès à l’adresse IP par une autorité publique nationale e.g. HADOPI
Les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée; cela peut être réalisé par des modalités de conservation assurant une séparation effectivement étanche des adresses IP et des autres catégories de données à caractère personnel, en particulier les données d’identité civile.
Les États membres peuvent alors, dans de telles conditions, autoriser une autorité nationale compétente chargée de la lutte contre les contrefaçons commises en ligne (e.g. HADOPI) à accéder aux données d’identité civile se rapportant auxdites adresses IP.
CJUE 7 juin 2024 | La Quadrature du Net e.a. | C-470/21
Vie privée & Poursuites d’infractions qualifiées de “graves”
La Cour de justice estime que l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge – habilité à en refuser ou à en restreindre l’accès – ne peut être accordée que si, d’une part, les personnes soupçonnées sont impliquées dans une infraction grave – telle que définie par les Etats Membres – et d’autre part, que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par cet accès soit proportionnée et limitée.
CJUE 7 juin 2024 | Procura della Repubblica presso il Tribunale di Bolzano | C-178/22
Commande en ligne & Obligation de payer
Le professionnel doit informer le consommateur, par principe absolu et avant même la passation de sa commande sur Internet, qu’il sera tenu de procéder au paiement après avoir cliqué sur le bouton “Commander”. A défaut, le consommateur ne sera pas lié par la commande.
Cette obligation d’information du professionnel demeure même si le consommateur n’est tenu de payer le professionnel qu’après la réalisation ultérieure d’une condition.
CJUE 30 mai 2024 | Conny GmbH | C-400/22
Airbnb, Expedia, Google, Amazon, Vacation Rentals | Libre Prestation de Services
Un État membre ne peut imposer à des fournisseurs de services établis dans un autre État membre, des obligations que l’Etat membre d’origine de la société ne lui impose pas. Et ce, alors même que l’Etat membre dans lequel sont exécutés lesdits services, l’impose aux prestataires établis sur son propre territoire.
Ainsi en est-il, notamment, pour les prestatatires d’intermédiation ou de moteurs de recherche en ligne tels que Airbnb, Expedia, Google, Amazon ou Vacation Rentals.
CJUE 30 mai 2024, Affaires C-662/22 | Airbnb Ireland / C-667/22 | Amazon Services Europe/ C-663/22 | Expedia/ C-664/22 | Google Ireland /C-666/22 | Eg Vacation Rentals Ireland / C-665/22 | Amazon Services Europe
Schrems v. Meta | Données off Facebook “Manifestement Rendues Publiques”
Les données sensibles relatives à l’orientation sexuelle du demandeur ont été divulguées par ce dernier, personne concernée, dans des conditions « hors site » – en dehors de la plateforme Facebook et de toute autre plateforme ou application informatique – à savoir, dans le cadre d’une table ronde ouverte au public, diffusée en direct puis retransmise en streaming dans le but spécial de dénoncer le traitement prétendument illicite par Meta Platforms Ireland de données relatives à cette orientation sexuelle. Bien que divulguée de façon incidente dans le cadre d’un discours plus large et critique, l’Avocat Général considère dans ses conclusions que cette communication au grand public de telles données, en pleine connaissance de cause, leur confère le caractère de données « manifestement rendues publiques » au sens de l’article 9, §2, e), du RGPD.
Pour autant, l’Avocat Général estime qu’une telle prise de position n’autorise pas, en soi, le traitement de ces données en vue de leur agrégation et leur l’analyse à des fins de publicité personnalisée.
CJUE Conclusions Avocat Général du 25 avril 2024 | Maximilian Schrems v. Facebook | C-446/21