Les données personnelles constituent un trésor pour Facebook car elles permettent au géant américain de proposer aux annonceurs publicitaires des campagnes ciblées. À cela il faut ajouter que Facebook profite de son écosystème applicatif pour croiser les données de ses utilisateurs et les exploite à des fins commerciales.
C’est qui avait poussé en février 2019, l'Autorité de la concurrence allemande à ordonner à Facebook de limiter drastiquement la collecte et les croisements de données, à moins que les utilisateurs n'y consentent explicitement, comme le RGPD l’y oblige.

Andreas Mundt, President de l’autorité Allemande de la concurrence expliquait à cet effet : « Dans le futur, Facebook ne sera plus autorisé à forcer ses utilisateurs à accepter la collecte et l'attribution pratiquement sans restriction de données non issues Facebook à leurs comptes d'utilisateur Facebook. La combinaison des sources de données a largement contribué au fait que Facebook a été en mesure de créer une base de données unique pour chaque utilisateur individuel et d'acquérir ainsi un pouvoir de marché. À l'avenir, les consommateurs pourront empêcher Facebook de collecter et d'utiliser leurs données sans restriction ».
Le gendarme allemand avait donné quatre mois à Facebook pour mettre en place une solution qui réponde aux exigences du RGPD, sous peine de se voir infliger une lourde amende : jusqu’à 10% de ses revenus annuels.

Mais la question qu’on pourrait se poser est de savoir si l’autorité de la concurrence avait réellement compétence pour se prononcer sur une question en rapport avec la protection des données personnelles.

L’article 51 du RGPD dispose :
- Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union (ci-après dénommée «autorité de contrôle»).

- Chaque autorité de contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

- Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l'article 63. […]


Il semblerait, eu égard à l’article précité, que la légitimité de l’autorité allemande de la concurrence soit sujette à caution. Ce fut justement l’angle principal de défense de Facebook. En effet, si Facebook n’a pas démenti avoir croisé les données de ses utilisateurs, le réseau social a soulevé également l'illégitimité des Autorités de la concurrence européenne à agir pour faire respecter le RGPD. "Le RGPD habilite spécifiquement les régulateurs de la protection des données - et non les autorités de la concurrence - à déterminer si les entreprises assument leurs responsabilités", a ainsi fait savoir la direction de Facebook.
Ainsi, l’autorité de la concurrence a outrepassé ses compétences en se prononçant sur une question en rapport avec le RGPD.
L’appel de Facebook a été entendu par la justice allemande. En attendant de répondre sur le fond, le Tribunal régional de Dusseldorf a décidé de suspendre la sanction prononcée par le régulateur allemand et donc de donner raison à Facebook.

Nous sommes bien partis pour un long marathon judiciaire puisque le gendarme allemand a décidé de porter l’affaire devant le tribunal constitutionnel fédéral, soit la plus haute juridiction du pays.

Une rendue en en faveur de l’autorité de la concurrence engendrerait inéluctablement une grosse frustration pour le « Bundesbeauftragte für den Datenschutz und die Informationsfreiheit », Le Commissaire fédéral à la protection des données et à la liberté de l'information, l’équivalent de la CNIL en Allemagne, car cette question devrait en principe relever de sa compétence exclusive.

Par ailleurs, la protection des données personnelles est tellement sensible, qu’il serait convenable de bien déterminer dans chaque État les autorités ayant compétence pour exercer les missions et pouvoir conférés par le RGPD.

Toute position contraire entraînerait des conflits de compétence intempestifs et serait contre-productive par rapport aux objectifs visés par le règlement.