La demi-journée CEDIDAC du droit de la protection des données personnelles était consacrée cette année au droit de la concurrence. En voici un bref compte-rendu.
Le droit de la concurrence et de la protection des données personnelles ne sont pas des domaines juridiques très éloignés, mais ils ne sont pas si proches non plus. Le développement du numérique les réunit de plus en plus, même si leurs buts sont très différents. Le premier protège la concurrence efficace entre les entreprises sur un marché donné, alors que le second protège la personnalité des personnes concernées.
Contrôles ex ante et ex post
La demi-journée a commencé avec la présentation de Me Astrid Waser, qui a d’abord rappelé que la position dominante d’une entreprise n’est pas interdite en soi, mais que cela impose des obligations supplémentaires pour éviter un abus de cette position. Elle a ensuite analysé l’approche retenue par le Bundeskartellamt allemand dans le cas Meta, où l’autorité a retenu que le traitement des données personnelles par Meta, qui occupe une position dominante, ne respecte pas le droit de la protection des données et exploite les consommateurs en tant qu’utilisateurs de Facebook. La CJUE a ensuite rendu une décision préjudicielle (C-252/21) dans laquelle elle reconnaît, malgré le rôle distinct des autorités de protection des données et de la concurrence, que la violation des règles de la protection des données personnelles doit être prise en compte, mais que l’examen doit rester axé sur le droit de la concurrence.
Me Waser a également mis en évidence l’entrée en vigueur il y a quelques jours du Règlement sur les marchés numériques (DMA) qui existe parallèlement au droit de la concurrence. Contrairement au droit des cartels qui s’applique lorsqu’une infraction a été commise (ex post), le DMA pose des règles strictes à respecter par quelques contrôleurs d’accès (gatekeepers) en amont (ex ante). L’autorité devra seulement vérifier si ceux-ci ont violé leurs obligations particulières, et non plus vérifier si ces entreprises ont une position dominante sur le marché et s’ils ont abusé de cette position. Pour ces contrôleurs d’accès, le DMA va largement remplacer le droit de la concurrence classique. Ces évolutions européennes auront probablement un effet indirect en Suisse, mais il n’y a pour l’heure pas de projet de loi ni de jurisprudence spécifique.
Effets économiques des différentes législations
Prof. Thibault Schrepel s’est intéressé aux tensions entre le droit de la concurrence et la protection de la vie privée, en particulier les tensions technico-économiques (et les effets de la protection des données sur la concurrence (même si, selon lui, certaines autorités tentent de les passer sous silence). En effet, les règles de protection des données sont plus favorables aux entreprises qui visent un public de masse que les petites entreprises qui visent un public de niche qu’elles doivent identifier. Il est aussi plus facile pour les grands acteurs de se mettre en conformité, ce qui favoriserait une concentration du marché ou au moins renforcerait les entreprises qui ont déjà une position dominante. De plus, les obligations du DMA qui ont pour but de promouvoir la concurrence en favorisant l’interopérabilité peuvent présenter des risques en matière de cybersécurité.
Ensuite, la limitation de l’accès aux données uniques pour des motifs de protection des données renforce de fait la position dominante de celui qui détient initialement ces données. En matière d’intelligence artificielle générative, les exigences de transparence et le droit à une explication du modèle d’intelligence artificielle générative ne sont pas non plus sans risques pour la protection des données personnelles (exposition de données personnelles d’apprentissage) et pour le droit de la concurrence (possibilité de surveiller l’activité d’un concurrent). En conclusion, Prof. Schrepel a souligné l’impact de l’ordre d’introduction des règles en matière de protection des données et des règles de concurrence. L’impact sur le marché n’est pas le même selon que l’on introduit d’abord des règles favorisant la concurrence, ou d’abord des règles favorisant la protection des données personnelles.
Autorités de surveillance
Après la pause, les représentants du PFPDT et de la COMCO ont présenté leurs compétences respectives et leur mode de fonctionnement. Leurs structures sont assez différentes, la COMCO étant notamment composée d’une commission et d’un secrétariat. Jusqu’à présent, les interactions entre ces deux organes sont restées assez limitées.
Olivier Schaller, vice-directeur du secrétariat de la COMCO, a rappelé qu’avant les années 60, la protection des cartels était assurée par les droits de la personnalité (art. 27 CC) et que récemment le droit de la concurrence s’intéresse non seulement à la protection du marché, mais aussi à la protection des concurrents. Il a expliqué que lorsqu’il y a une problématique internationale et qu’une procédure est en cours dans l’Union européenne, la COMCO attend de voir si les mesures prises à l’étranger sont appliquées en Suisse. Sinon, elle engage une procédure comme si la problématique était limitée à la Suisse. Du point de vue du marché, c’est surtout la portabilité des données et l’interopérabilité qui restent importantes.
Joël de Montmollin a souligné que même si les états de fait se recoupent, les buts des lois et des autorités sont fondamentalement différents. L’art. 53 LPD prévoit des règles générales de coopération entre le PFPDT et d’autres autorités administratives. La liberté de consentir d’un consommateur (exigée au sens de la protection des données pour que le consentement soit valable) constitue un indice essentiel pour juger si une position est, ou non, dominante au sens du droit de la concurrence. Toutefois, une position dominante n’exclut pas automatiquement qu’un consentement soit libre au sens du droit de la protection des données.
Violation de la LPD et avantage concurrentiel
Pour terminer, Me Pranvera Këllezi a traité de questions très concrètes et a envisagé les différents moyens à disposition d’une entreprise désavantagée par un concurrent qui ne respecterait pas le droit de la protection des données personnelles. Il faut d’abord vérifier si le non-respect des obligations de la LPD donne un avantage concurrentiel. La réduction des coûts de conformité ou la possibilité de traiter plus de données personnelles (y compris pour plus de finalités) représentent des avantages évidents. Ils auront un impact sur le marché, notamment en lien avec la clientèle, le démarchage, etc.
L’entreprise désavantagée pourrait dénoncer des concurrents au PFPDT (art. 49 LPD), mais elle n’aurait pas la qualité pour agir devant la justice civile ou pénale (cette qualité est réservée aux personnes concernées). Un concurrent pourrait théoriquement essayer de convaincre le PFPDT de porter plainte dans un cas précis. Sous l’angle de la LCD, le non-respect de la LPD pourrait constituer un cas d’application de la clause générale de l’art. 2 LCD. Cette disposition ne permet qu’une action civile (pas d’action pénale, contrairement à l’art. 3 LCD). En effet la violation de la législation est un acte de concurrence déloyale quand la loi en question a un impact sur la concurrence (notamment les lois sur la protection des consommateurs). Il faut encore démontrer l’impact sur le marché, c’est-à-dire l’avantage économique de l’entreprise qui ne respecte pas la législation, mais pas besoin de démontrer le désavantage de l’entreprise qui respecte la LPD. La collecte de données excessive a certainement un impact sur le marché. La question est plus compliquée s’agissant de mesures de sécurité par exemple, où l’impact réside surtout dans une réduction des coûts de l’entreprise. Enfin, l’envoi de messages publicitaires en violation de la LPD peut se cumuler avec la violation de la LCD (disposition sur l’envoi de masse).
Laisser un commentaire