Conclusions de la mission Lasserre sur la protection des données et la concurrence : pour approfondir le dialogue
L’Autorité de la concurrence et la CNIL partagent l’objectif de comprendre les liens entre protection des données et concurrence et de favoriser les convergences entre elles. La CNIL publie les conclusions de la mission confiée à Bruno LASSERRE afin d’approfondir cette coopération, qui améliore la pertinence de la régulation et favorise la sécurité juridique des entreprises.
En décembre 2023, l’Autorité de la concurrence et la CNIL ont publié une déclaration conjointe sur les liens entre droit de la concurrence et protection des données personnelles, confirmant ainsi leur volonté d’approfondir leur coopération et précisant les modalités de prise en compte de la protection des données et de la concurrence dans leurs actions respectives. Dans le même mouvement, la Présidente de la CNIL a confié à Bruno LASSERRE, membre du collège plénier de la CNIL et ancien président de l’Autorité de la concurrence, une mission sur les conséquences à tirer de l’articulation entre protection des données et concurrence pour la CNIL et sa pratique de régulation.
Pour Bruno LASSERRE, « protéger la vie privée et les données personnelles passe par une meilleure prise en compte des réalités économiques et concurrentielles. Même si le RGPD n’est pas une régulation économique mais relevant des libertés fondamentales, l’angle économique et concurrentiel concourt de manière significative à son effectivité et à son impact ».
15 propositions pour favoriser les synergies
La mission dirigée par Bruno LASSERRE a rendu ses conclusions au collège plénier de la CNIL le 28 novembre. Elles se déclinent sous la forme de 15 propositions revenant sur l’intérêt de mieux articuler politique de la concurrence et protection des données et tirant les leçons du dialogue des concepts entre les deux domaines pour la doctrine de la CNIL. La mission en déduit un certain nombre de conséquences opérationnelles pour l’activité de la CNIL mais aussi pour sa coopération avec l’Autorité de la concurrence, et revient enfin sur la stratégie à adopter en la matière au plan européen.
Le constat de départ est que les deux réglementations ne peuvent pas, dans l’économie numérique d’aujourd’hui, fonctionner « en silos », leurs objectifs étant partiellement convergents et les impacts de leurs actions étant dépendants les uns des autres dans bien des cas. Dans ce contexte il convient de renforcer la coopération entre les autorités pour favoriser le dialogue sur les concepts, la doctrine et les cas. L’ambition est de tirer parti et de développer les synergies, tout en respectant l’indépendance et le mandat de chacune des autorités.
La coopération entre les régulateurs n’est pas un jeu à somme nulle : elle vise à exploiter les convergences, dans l’intérêt de la liberté de choix des usagers sur le marché et de la sécurité juridique en faveur des entreprises.
Un rôle d’orientation des marchés
Avec la place centrale qu’ont aujourd’hui les données dans les modèles d’affaires de l’économie numérique, le comportement des acteurs fait ressortir un lien étroit entre protection des données et concurrence. La CNIL doit s’efforcer de comprendre et de développer le cercle vertueux entre protection de la vie privée et des données, concurrence et libre choix des consommateurs, d’abord en comprenant mieux l’analyse concurrentielle, ensuite en intégrant encore davantage l’analyse économique dans la régulation de la CNIL afin de rendre son rôle d’orientation des marchés, qui est d’ores et déjà une réalité, plus pertinent.
La protection des données personnelles est devenue un des éléments pouvant contribuer à faire émerger des avantages concurrentiels pour les entreprises, mais aussi des formes de compétition par l’innovation au bénéfice des personnes.
Le dialogue des concepts et des outils
Il est ensuite important d’explorer, de manière approfondie, le rôle que peuvent jouer les concepts et outils concurrentiels, tels que le pouvoir de marché ou le marché pertinent, dans la doctrine et la pratique de régulation de la CNIL. Cela peut passer tantôt par une utilisation des concepts existants, ou par une adaptation de ces concepts au contexte de la protection des données (par exemple via la notion de « pouvoir sur les données »). La Cour de justice de l’Union européenne, dans son arrêt Meta de juillet 2023, a ainsi admis qu’une autorité pouvait appliquer une qualification ou utiliser un concept issu d’une autre autorité si ces deux autorités avaient engagé entre elles une « coopération loyale ».
Cela peut passer aussi par la prise en compte des réalités concurrentielles dans les raisonnements juridiques de la CNIL pour l’application du RGPD ou encore par une approche conjointe par les risques que pourraient développer les deux régulateurs, qui doivent également développer les possibilités qu’ils ont d’explorer conjointement les marchés par exemple via la réalisation d‘études communes.
Évolutions opérationnelles pour la CNIL
La CNIL doit développer en pratique sa capacité à mieux appréhender les enjeux concurrentiels, pour pouvoir les prendre en compte en amont dans ses travaux, et le cas échéant organiser une saisine pour avis de l’Autorité de la concurrence comme elle l’a fait récemment dans le cas des applications mobiles. Ceci peut être mis en place de manière très simple, via par exemple des formations croisées entre les deux autorités.
En matière de sanctions également, la prise en compte de la position de marché et du pouvoir sur les données des acteurs mis en cause permettrait de proportionner au mieux le montant des sanctions de la CNIL à la taille des acteurs et aux risques que leurs activités comportent pour les individus et la vie privée. Les études ont en effet montré que les grands acteurs, qui ont plus de moyens à consacrer à la mise en conformité et n’ont donc pas d’excuse en la matière, sont aussi ceux dont le comportement peut avoir une influence sur l’ensemble de l’écosystème.
Conséquences pour la coopération avec l’Autorité de la concurrence
Alors que la prise en compte de la question des données est déjà avancée dans la pratique des autorités de concurrence, la mission présente plusieurs pistes pour faciliter l’intégration de la protection des données et des suggestions de la CNIL en la matière sur des cas précis, par exemple en matière de concentrations, ou encore de définition des remèdes concurrentiels, faisant d’ailleurs suite aux demandes d’avis déjà adressées à la CNIL par l’Autorité de la concurrence.
La mission recommande ainsi de capitaliser sur les échanges existants afin de mettre progressivement en place une doctrine commune entre les deux autorités et d’envisager une consultation de la CNIL par les acteurs économiques lorsque des situations de non-conformité au RGPD ont été identifiées par l’Autorité de la concurrence. Ces acteurs pourraient ainsi bénéficier des outils d’accompagnement de la CNIL et des remédiations suggérées par cette dernière.
Une ambition européenne pour les travaux conjoints
Dans le contexte de la mise en œuvre du « paquet numérique européen », la coopération entre autorités de protection des données et autorités de concurrence prend également tout son sens. Le Comité européen de la protection des données (CEPD), qui rassemble les autorités de protection des données, a ainsi mis en place en son sein une task force chargée de l’articulation entre protection des données, concurrence et protection du consommateur.
La coopération renforcée promue au plan national pourra ainsi être déclinée au plan européen via un dialogue du CEPD avec le Réseau européen de concurrence, qui regroupe les autorités de concurrence nationales et la Commission européenne. Ce dialogue ferait progresser la coopération entre autorités dans l’ensemble de l’UE, ce qui irait dans le sens d’une plus grande harmonisation du marché intérieur, suivant d’ailleurs en cela une des préconisations des rapports Letta et Draghi.
