La collecte et l’utilisation des données sont centrales dans l’activité des entreprises du numérique et permettent l’offre de nouveaux services. On parle même de l’économie de la donnée. L’accès et la valorisation des données représentent des enjeux économiques considérables.
Les entreprises de tous les secteurs de l’économie développent ainsi des stratégies pour accéder à ces données et les valoriser, ce qui potentiellement leur donne des avantages concurrentiels. Droit des données et droit de la concurrence s’entrelacent donc autour d’une réglementation de plus en plus touffue. La protection des données est devenue un « paramètre » de la concurrence (préambule de la déclaration commune ; v. déjà, Comm. europ., décis. Microsoft/LinkedIn, 2016). L’utilisation des règles de protection des données peut engendrer des dommages à la concurrence (l’exploitation des données peut renforcer une position déjà dominante) et réciproquement la position des acteurs du numérique sur le marché est susceptible d’affaiblir la protection des données personnelles.
Le cas des plateformes qui développent des services reliés entre eux permettant l’accumulation et la combinaison des données est désormais connu. Il met au jour l’incidence des normes de protection de la vie privée sur le fonctionnement de la concurrence et fait déjà l’objet d’enquêtes et de décisions. Il suscite d’autant plus l’attention que les utilisateurs ne sont pas à même d’avoir individuellement une influence sur le fonctionnement du marché dont la compréhension nécessite une analyse des interfaces, produits, services en tenant notamment compte du rôle joué par la collecte des données.
L’identification du régulateur compétent pour connaître de ces situations n’est pas aisée. Les régulateurs potentiels sont en effet de plus en plus nombreux. Aux autorités de concurrence et aux autorités de protection des données qui font figure d’acteurs historiques, s’en ajoutent d’autres. Le règlement sur les services numériques (DSA) nécessite la mise en place d’un coordinateur des services numériques dans chaque État membre et l’instauration d’une instance qui les réunit, le Comité européen des services numériques. Le règlement européen sur les marchés numériques (DMA) instaure un Groupe de haut niveau qui regroupe les réseaux des régulateurs européens, et qui a notamment pour but de fournir à la Commission européenne une expertise technique et des recommandations sur l’interaction du DMA avec d’autres régulations sectorielles pertinentes multiples et à l’articulation complexe. Le leitmotiv de la coopération entre autorités devient difficile à comprendre si on ne parvient pas à identifier les acteurs de cette coopération.
Il est désormais acquis que les autorités de concurrence et les autorités de protection des données bien qu’ayant des fonctions distinctes poursuivent un objectif commun et doivent coopérer. Les premières sont chargées de garantir une concurrence non faussée dans l’intérêt des consommateurs, les secondes de protéger ces mêmes consommateurs contre l’exploitation de leurs données.
Au niveau européen, l’affaire Meta c/Bundeskartellamt relative à un abus d’exploitation lié aux conditions de collecte et de traitement des données personnelles des utilisateurs a mis en évidence la problématique. L’arrêt rendu par la Cour de Justice de l’Union européenne (CJUE 4 juill. 2023, aff. C-252/21, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2023. 1313) a conclu à la nécessité de mettre en œuvre de façon conjointe le droit de la concurrence et le droit de la protection des données personnelles tout en reconnaissant les compétences propres de chaque autorité.
Ainsi une autorité de concurrence peut constater une violation du RGPD, mais uniquement pour identifier une atteinte au droit de la concurrence. Parallèlement, une autorité de protection des données peut tenir compte de la position dominante d’un responsable de traitement, en ce qu’elle révèle un déséquilibre manifeste, pour apprécier la validité du consentement et exiger un consentement distinct pour chaque opération. Pour exercer leur rôle et éviter les divergences, ces autorités doivent coopérer. À cet égard, la Cour de Justice s’appuie sur le principe de coopération loyale dont découlent des règles sur les demandes d’avis, les échanges d’informations dans un cadre qui reste à tracer. La Cour de Justice évoque en outre le respect de délais raisonnables.
Au niveau national, l’Autorité de la concurrence et la CNIL n’ont pas attendu l’arrêt Meta pour coopérer. La première se sert des avis de la seconde (v. les décis. GDF Suez en 2014 et Apple ATT en 2021) et la CNIL a déjà saisi l’Autorité de la concurrence relativement aux applications mobiles. Néanmoins, elles souhaitent s’engager dans la voie d’une coopération plus étroite. Aussi alors que l’affaire Meta était instruite à la Cour de Justice, Bruno Lasserre avait-il été missionné par la CNIL et par l’Autorité de la concurrence pour renforcer la synergie des travaux des deux régulateurs. Il s’en est suivi un accord de coopération que les deux autorités ont signé le 12 décembre 2023.
L’accord fait d’abord le point sur les problématiques qui sont communes aux deux régulateurs. Il évoque notamment les engagements qui pourraient être demandés aux entreprises en matière de portabilité et d’interopérabilité des données pour réduire les comportements anticoncurrentiels. À ce titre, il mentionne le partage des données avec les concurrents, la non-combinaison (silotage) ou la non-utilisation des données. Ce faisant, on comprend qu’il est proposé à l’autorité de la concurrence, pour apprécier les engagements, de travailler de concert avec la CNIL. Inversement et dans le prolongement de ses pratiques actuelles, la CNIL pourrait faire appel à l’Autorité de la concurrence pour analyser la position de marché des acteurs, identifier le marché pertinent pour apprécier les cas d’usage et des finalités des traitements, ou encore caractériser une position dominante pour déterminer le montant des sanctions.
Le cadre formel de cette coopération existe déjà dans le code de commerce et à l’article 15 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes. Il permet des procédures de consultation (avis consultatif et avis contentieux) auxquelles il a déjà été recouru. L’accord le rappelle. Il mentionne aussi la possibilité d’une consultation informelle le plus en amont possible et comporte l’engagement de tenir compte des avis sollicités.
Au-delà, l’accord fait référence aux travaux prospectifs à mener de façon conjointe pour mieux cerner les questions qui nécessitent la coopération des deux autorités. Il évoque aussi des formations communes, des échanges de ressources humaines, des réunions périodiques… et fait état de questions d’intérêt mutuel, tels l’intelligence artificielle et l’internet des objets.
On retiendra de cet accord que l’Autorité de la concurrence et la CNIL s’engagent à travailler sur trois plans : la définition de concepts sous un angle tant économique que juridique (et à cet égard, la jurisprudence de la CJUE est d’ores et déjà un terreau fertile, v. CJUE 5 déc. 2023, Nacionalinis visuomenės sveikatos centras, aff. C-683/21 et Deutsche Wohnen, aff. C-807/21, D. 2023. 2193, sur la notion d’entreprise), l’élaboration d’une doctrine qui passe par l’adoption de recommandations sectorielles et de bonnes pratiques et, enfin, le traitement commun de certaines saisines.
Les deux autorités souhaitent également inscrire leur coopération dans un cadre plus large : au niveau national, elles se réfèrent au réseau de coordination de la régulation des services numériques et au niveau européen, qui est amené à être de plus en plus souvent le niveau pertinent, elles se projettent vers une articulation du Réseau européen de concurrence (REC) et du Comité européen de la protection des données (EDPB). Il apparaît en effet inéluctable que pour la mise en œuvre cohérente des règles européennes dont le nombre devient vertigineux, la coopération se fasse au sein des réseaux européens.
L’actualité récente en fourmille d’exemples. Ainsi, l’association des éditeurs de presse a le 11 décembre demandé à l’EDPB de faire preuve de prudence dans son analyse des pratiques consistant à offrir à l’utilisateur le choix entre le paiement du service ou l’utilisation de ses données à des fins de ciblage publicitaire, en insistant sur la nécessité de distinguer les marchés, leur activité et leur position sur le marché ne pouvant être comparées à celles de Meta. Une semaine avant, la Commission des affaires économiques du Parlement européen alertait, dans son rapport annuel sur la politique de concurrence, sur la nécessité d’étendre le DMA à l’intelligence artificielle générative et d’inclure dans l’analyse concurrentielle de cette intelligence artificielle les questions de protection de la vie privée.
![Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg"/>)