Droit de la concurrence et droit des données personnelles, vers une « convergence des régulations » ?

Dans l’écosystème juridique, le droit de la concurrence et le droit des données à caractère personnel sont deux espèces différentes, issues de souches distinctes. La protection des données à caractère personnel fait partie des droits fondamentaux européens[1]. La libre concurrence est protégée indirectement à travers la liberté d’entreprendre, principe général du droit à valeur constitutionnelle[2], ainsi que par la prohibition au niveau français[3] et européen[4] des ententes et des abus de position dominante.

Les objectifs poursuivis par ces deux branches du droit sont distincts. Le droit de la concurrence garantit les conditions d’une concurrence libre, non faussée, entre les entreprises d’un même marché en favorisant, dans l’intérêt des consommateurs, la diversité de l’offre, l’attractivité des prix, et l’innovation. Le droit des données personnelles vise à protéger les utilisateurs contre toute collecte ou utilisation préjudiciable de leurs données personnelles[5].

Malgré ces divergences, ces deux droits ont comme objectif commun revendiqué de bénéficier aux consommateurs, personnes concernées au sens de Règlement UE 679/2016 dit « RGPD ».Dans la pratique cependant, leur articulation se révèle parfois conflictuelle : une mesure de protection des données personnelles peut s’avérer nuisible à la libre concurrence, et inversement.

En effet, l’application des règles de protection des données personnelles peut générer des distorsions de concurrence. C’est le cas lorsque, sur un même marché, la législation d’un pays rend plus difficile l’accès aux données personnelles que celle d’un autre pays. C’est également le cas lorsqu’un opérateur privé, dans l’objectif louable de mieux protéger les données personnelles des utilisateurs, décide de supprimer les traceurs tiers (« third parties cookies »)[6] qui permettent à un site tiers de suivre l’activité d’un internaute pour établir son profil utilisateur. S’il doit être encadré, le traceur tiers n’en constitue pas moins une composante fondamentale du modèle économique de la publicité en ligne permettant de rendre plus efficace le jeu de la concurrence. Restreindre, voire supprimer les cookies tiers, reviendrait donc à priver les entreprises concurrentes d’une source de données nécessaire à leur développement.

Inversement, les règles de concurrence pourraient générer des atteintes à la protection des données personnelles. Les modèles économiques de l’industrie numérique, fondés sur l’accumulation massive et le croisement de données personnelles, sont propices au développement de positions dominantes, susceptibles d’amener les autorités de concurrence à encourager, voire à imposer, le partage de fichiers de données personnelles. Or, les autorités de protection des données personnelles, pour des raisons tout aussi légitimes, pourraient au contraire refuser ce partage de fichiers, ou à tout le mois l’assortir de conditions et de restrictions destinées à la protection des données qu’ils contiennent.

Enfin, personnage central au cœur de ce conflit, le consommateur-personne concernée peut venir jouer les trouble-fêtes en adoptant un comportement paradoxal (« privacy paradox »). Dans un monde idéal, une entreprise offrant un haut niveau de protection des données personnelles serait perçue par le consommateur comme offrant un service de meilleure qualité, attirant de ce fait un plus grand nombre de clients, incitant les autres entreprises à renforcer, elles aussi, leurs dispositifs de protection des données. Or, en pratique, une partie des consommateurs perçoit ces dispositifs de protection (bandeau cookies, recueil du consentement) comme des obstacles, et préférera négliger la protection de ses données personnelles au profit d’un parcours d’achat plus rapide. Paradoxalement, une moindre protection des données personnelles pourrait générer une forme d’avantage concurrentiel.

Afin de résoudre ces antagonismes, un compromis – délicat  – entre les objectifs de protection des données personnelles et les objectifs de protection de la libre concurrence reste à trouver.  C’est la recherche de ce compromis qu’a confiée Mme Marie-Laure Denis, présidente de la CNIL, à M. Bruno Lasserre dont le rapport a été remis le 24 novembre 2024^[7]. Ce rapport propose quinze étapes pour se diriger vers une « convergence des régulations » et un « dialogue des concepts » entre les autorités de la concurrence et les autorités de protection des données personnelles.

Ces recommandations portent essentiellement sur les thématiques suivantes :

• le renforcement au plan national de la coopération doctrinale entre les autorités, en expérimentant des concepts tels que le « pouvoir sur les données » (en complément des concepts déjà connus de position dominante ou de pouvoir de marché), en organisant des évènements académiques conjoints (colloques, formations, échanges d’expertises etc.) ;

• la promotion de ces mêmes travaux au plan européen en prolongeant le mandat de la task force Consumer and Compétition créée en 2023 au sein du CEPD (Comité Européen de la Protection des Données)  au-delà du terme de son mandat initial, afin de lui permettre de jouer un rôle de pivot dans l’organisation d’un dialogue régulier entre le CEPD et le réseau européen de concurrence,

• le développement au sein de la CNIL d’un « réflexe concurrence » permettant de maitriser les effets de ses décisions sur la concurrence, et  de développer la prise en compte des illicéités concurrentielles comme facteur aggravant des manquements à la protection des données personnelles,

• le développement au sein de l’Autorité de la concurrence d’un « réflexe données » en l’encourageant à saisir la CNIL, à titre formel ou informel, lorsque des données personnelles sont en jeu dans un dossier de concentration ou un dossier antitrust.

Le « dialogue des concepts », initié fin 2023[8] par les autorités, est donc déjà bien entamé. Gageons qu’il sera fructueux, dans l’intérêt des entreprises et des consommateurs, et qu’il ouvrira un chemin vers la « convergence des régulations » tant souhaitée.

---

[1] Article 16 du traité sur le fonctionnement de l’Union européenne (traité FUE), et articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne

[2] Article 4 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 et Cons. const. 16 janv. 1982, n° 81-132 DC

[3] Articles L 420-1 et suivants du code de commerce

[4] Articles 101 à 109 du traité TFUE

[5] Déclaration conjointe de l’Autorité de la concurrence et de la CNIL du 12 décembre 2023

[6] Affaite dite « Privacy SandBox » de Google qui a connu et connait toujours de nombreux rebondissements dans plusieurs pays de l’Union européenne.

[7] « Conclusions de la mission de réflexion portant sur l’articulation entre protection des données et concurrence » : https://www.cnil.fr/sites/cnil/files/2024-12/rapport_mission_lasserre.pdf

[8] Déclaration conjointe de l’Autorité de la concurrence et de la CNIL du 12 décembre 2023