1. CONVERGENCES ET SIMILITUDES ENTRE LE DMA ET LE RGPD
1.1. Référence au consentement du RGPD pour certains traitements de données personnelles effectués par les contrôleurs d’accès
1.1.1. Consentement des utilisateurs finaux pour réutiliser, combiner ou croiser leurs données personnelles
Le législateur européen a constaté que « Les contrôleurs d’accès collectent souvent directement les données à caractère personnel des utilisateurs finaux aux fins de la fourniture de services de publicité en ligne lorsque les utilisateurs finaux utilisent des sites internet et des applications logicielles de tiers. Les tiers fournissent en outre aux contrôleurs d’accès les données à caractère personnel de leurs utilisateurs finaux aux fins de l’utilisation de certains services fournis par les contrôleurs d’accès dans le cadre de leurs services de plateforme essentiels, par exemple des audiences personnalisées. […] Cette situation offre aux contrôleurs d’accès des avantages potentiels en ce qui concerne l’accumulation de données »¹¹.
Afin de remédier à cette situation, l'article 5.2 du DMA impose aux contrôleurs d’accès l’obligation d’obtenir le consentement de l'utilisateur final – au sens du RGPD - pour réutiliser, combiner ou croiser leurs données personnelles lorsque lesdits utilisateurs finaux utilisent les services des entreprises utilisatrices ou les autres services du contrôleur d’accès.
L’article 5.2 du DMA impose donc également le consentement comme base de licéité du traitement de données personnelles et par défaut permet de comprendre que l’intérêt légitime du contrôleur d’accès ou l’exécution du contrat¹² ne peuvent pas être considérés comme tels au sens du RGPD.
S’agissant des conditions de validité du consentement, définies par référence au RGPD¹³ qui prévoit que le consentement valide doit être libre, spécifique, éclairé et univoque, le DMA vient préciser les moyens permettant au contrôleur d’accès de proposer une liberté de choix à l’individu lors de la collecte de son consentement par le biais de trois mesures :
- Tout d’abord, le contrôleur d’accès doit permettre aux utilisateurs finaux de consentir ou non librement aux traitements nécessitant la réutilisation, la combinaison ou le croisement de leurs données personnelles en proposant une autre possibilité (un autre service) moins personnalisée, mais équivalente. Il est également précisé que « l’autre possibilité moins personnalisée ne devrait pas être différente ou de qualité moindre par rapport au service offert aux utilisateurs finaux qui donnent leur consentement, sauf si une baisse de la qualité résulte directement du fait que le contrôleur d’accès n’est pas en mesure de traiter ces données à caractère personnel ou de connecter les utilisateurs finaux à un service »¹⁴ ;
- Ensuite, il est imposé au contrôleur d’accès de présenter une solution conviviale à l’utilisateur final pour que celui-ci puisse donner, modifier ou retirer son consentement de façon explicite, claire et simple¹⁵ ;
- Enfin, le DMA précise que les contrôleurs d'accès ne seront pas autorisés à répéter leur demande de consentement aux mêmes fins plus d'une fois au cours d'une période donnée d'un an si un utilisateur final a refusé ou retiré son consentement aux pratiques de combinaison de données, d'utilisation croisée et de connexion d'un contrôleur d'accès¹⁶.
Le DMA vient ainsi compléter les conditions prévues par le RGPD et les lignes directrices du Comité européen de la protection des données (CEPD)¹⁷ relatives au consentement¹⁸ en proposant plusieurs mesures permettant au contrôleur d’accès d’obtenir un consentement valide.
1.1.2. Consentement de l’utilisateur final nécessaire pour le partage des données personnelles entre le contrôleur d’accès et les entreprises utilisatrices
Selon l’article 6.10 du DMA, le contrôleur d’accès a l’obligation d’obtenir le consentement de l’utilisateur final avant de partager, avec les entreprises utilisatrices, ses données à caractère personnel (agrégées ou non agrégées), fournies ou générées dans le cadre de l’utilisation des services de plateforme essentiels par lesdites entreprises utilisatrices et par les utilisateurs finaux qui se servent des produits et services fournis par ces entreprises utilisatrices.
A titre d’illustration, prenons le cas d’un individu qui crée un compte sur une plateforme de vente en ligne dont l’objet est d’acquérir les produits de plusieurs entreprises utilisatrices. Lors de la création du compte, l’individu communique à la plateforme de vente en ligne ses coordonnées bancaires ainsi que son adresse postale. Nous comprenons que le consentement de l’individu sera nécessaire pour que le contrôleur d’accès puisse communiquer les coordonnées bancaires dudit individu à l’entreprise utilisatrice lui ayant vendu ses produits via la plateforme du contrôleur d’accès.
Cette disposition démontre la volonté du législateur européen de renforcer la vigilance et le contrôle des individus sur leurs données personnelles.
Cependant, l’obligation du RGPD d’obtenir un consentement spécifique pour chaque finalité pourrait rendre complexe l’application de l’article 6.10 du DMA. La question se pose de savoir comment le contrôleur d’accès obtiendra un consentement spécifique si le partage des données avec les entreprises utilisatrices poursuit plusieurs finalités - le DMA visant de manière générale une opération de traitement - le partage de données - sans indiquer de finalité spécifique - et si le contrôleur d’accès travaille avec un nombre infini d’entreprises utilisatrices. Il pourrait être nécessaire d’obtenir autant de consentements que de finalités poursuivies.
Les équipes en charge de l’application des dispositions du RGPD, du fait de leur expérience et leur expertise concernant le consentement, pourraient être mises à contribution pour l’application des dispositions de l’article 6.10 du DMA.
1.2. Similitudes entre le rôle de DPO introduit par le RGPD et la fonction de vérification de la conformité créée par le DMA
Le DMA instaure une obligation pour les contrôleurs d’accès de mettre en place « une fonction de vérification de la conformité », pouvant être constituée d’un ou plusieurs responsables de la conformité et travaillant en étroite collaboration avec l’organe de direction du contrôleur d’accès¹⁹. Cette fonction doit notamment assurer les missions d’organisation, de suivi et de contrôle des activités du contrôleur d’accès pour assurer le respect du DMA, d’information et de conseil de la direction et des employés du contrôleur d’accès, mais également de coopération avec la Commission²⁰.
Le rôle de vérification de conformité mis en place par le RGPD, quant à lui, est confié au délégué à la protection des données (plus souvent nommé « DPO », acronyme de son appellation en anglais), qui est chargé de missions similaires à celles listées par le DMA, pour ce qui est de la protection des données personnelles et de l’application du RGPD²¹.
Aucune disposition du DMA ne s’oppose à ce que la fonction de vérification de la conformité soit confiée au DPO désigné par le contrôleur d’accès qui pourrait s’appuyer sur l’organisation existante pour assister le contrôleur d’accès à respecter ses obligations au regard du DMA et du RGPD.
1.3. Référence aux obligations associées au principe d’« accountability »
De manière générale, le DMA impose aux contrôleurs d’accès de démontrer le respect des obligations découlant du texte²². Il prévoit plus précisément l’obligation pour tout contrôleur d’accès désigné depuis moins de six mois d’établir un rapport, décrivant de manière détaillée et transparente les mesures mises en œuvre pour garantir sa conformité au texte, et de remettre ce rapport à la Commission européenne²³. Ce rapport devra être mis à jour annuellement.
Une synthèse de ce rapport sera alors accessible à tous via un lien hypertexte inséré sur le site internet de la Commission européenne.
Le DMA semble créer une obligation d’« accountability » (ou « responsabilité » en français) bien connue des spécialistes de la protection des données personnelles. Cependant l’obligation d’« accountability » issue du DMA est plus stricte et précisément encadrée que celle prévue dans le RGPD, ce dernier n’imposant pas aux responsables de traitement d’adresser un rapport à l’autorité de contrôle, mais simplement d’être en mesure de démontrer le respect des obligations leur incombant conformément au règlement²⁴.