Celui qui a une page Facebook est coresponsable du traitement des données des visiteurs

Publié le par - 4344 vues

L’encre du GDPR à peine sèche, il faut déjà revoir plusieurs acquis … La CJUE vient en effet de juger que l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page. Ni sous-traitant, ni tiers au traitement, mais bel et bien co-responsable du traitement des données des visiteurs de sa page.

Les faits

La société allemande Wirtschaftsakademie Schleswig-Holstein est spécialisée dans le domaine de l’éducation. Elle offre des services de formation au moyen notamment d’une page fan hébergée sur Facebook (www.facebook.com/wirtschaftsakademie).

Les administrateurs de pages fan, tels que la Wirtschaftsakademie, peuvent obtenir des données statistiques anonymes sur les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables.

Ces données sont collectées grâce à des « cookies » comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages fan.

Par décision du 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein, Allemagne) a, en sa qualité d’autorité de contrôle chargée en vertu de la directive 95/46 sur la protection des données de surveiller l’application dans le Land du Schleswig-Holstein des dispositions adoptées par l’Allemagne en application de cette directive, ordonné à la Wirtschaftsakademie de désactiver sa page fan. En effet, selon l’Unabhängiges Landeszentrum, ni la Wirtschaftsakademie ni Facebook n’ont informé les visiteurs de la page fan que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.

La Wirtschaftsakademie a introduit un recours contre cette décision devant les tribunaux administratifs allemands en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne peut pas lui être imputé et qu’elle n’a pas non plus chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. La Wirtschaftsakademie en déduit que l’Unabhängiges Landeszentrum aurait dû agir directement contre Facebook et non contre elle.

C’est dans ce contexte que le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne) demande à la Cour de justice d’interpréter la directive 95/46 sur la protection des données.

L’avis de l’avocat général

Nous nous sommes fait l’écho, dans une précédente actu, de l’avis de l’avocat général, qui avait créé la surprise.

En effet, pour arriver à leurs conclusions, les juridictions allemandes se fondaient sur un postulat de départ : Facebook est le responsable du traitement ; Wirtschaftsakademie ne l’est pas.

C’est ce postulat de départ que l’avocat général avait remis en cause : « Nous considérons, cependant, que cette prémisse est erronée. En effet, la Wirtschaftsakademie doit, à notre avis, être considérée comme étant responsable conjointe de la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook ».

Concernant Facebook, l’avocat général n’a pas beaucoup de doutes : « En tant que concepteurs de ce traitement, c’est bien, à nos yeux, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités. »

Mais l’avocat général poursuit : un administrateur d’une page fan est, certes, avant tout un utilisateur de Facebook, mais ce constat n’est pas de nature à exclure qu’il puisse également être considéré comme responsable de la phase du traitement de données à caractère personnel qui fait l’objet du litige au principal, à savoir la collecte de telles données par Facebook. Il se basait sur la jurisprudence de la Cour pour qui que cette notion « doit être définie de manière large afin d’assurer une protection efficace et complète des personnes concernées ».

L’arrêt de la Cour

La CJUE a rendu son arrêt ce jour.

Elle observe tout d’abord qu’il n’est pas mis en doute dans la présente affaire que la société américaine Facebook et, s’agissant de l’Union, sa filiale irlandaise Facebook Ireland doivent être regardées comme étant « responsables du traitement » des données à caractère personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur Facebook. En effet, ces sociétés déterminent, à titre principal, les finalités et les moyens du traitement de ces données.

Ensuite, la Cour constate qu’un administrateur tel que la Wirtschaftsakademie doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook Ireland du traitement des données en question.

En effet, un tel administrateur participe, par son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. En particulier, la Cour relève à cet égard que l’administrateur de la page fan peut demander l’obtention (sous une forme anonymisée) – et donc le traitement – de données démographiques concernant son audience cible (notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession), d’informations sur le style de vie et les centres d’intérêt de son audience cible (y compris des informations sur les achats et le comportement d’achat en ligne des visiteurs de sa page ainsi que sur les catégories de produits ou de services qui l’intéressent le plus) et de données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.

Selon la Cour, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.

La Cour souligne que la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46 sur la protection des données.

En outre, la Cour constate que l’Unabhängiges Landeszentrum est compétent, aux fins d’assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, non seulement à l’égard de la Wirtschaftsakademie mais également à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la directive 95/46.

En effet, lorsqu’une entreprise établie en dehors de l’Union (telle que la société américaine Facebook) dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère la directive 95/46 3 à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement (en l’espèce Facebook Germany) est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire de l’État membre en question et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre (en l’espèce Facebook Ireland).

La Cour précise encore que, lorsque l’autorité de contrôle d’un État membre (en l’espèce l’Unabhängiges Landeszentrum en Allemagne) entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre (en l’espèce la Wirtschaftsakademie) les pouvoirs d’intervention prévus par la directive 95/46 4 en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre (en l’espèce Facebook Ireland), cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre (Irlande), la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

La fonction « Like » dans le viseur ?

L’avocat général avait fait le lien avec une autre affaire en cours, dite Fashion ID (C-40/17).

Cette dernière affaire concerne la situation dans laquelle le gestionnaire d’un site web insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook), qui entraîne une transmission de données à caractère personnel de l’ordinateur de l’utilisateur du site web au fournisseur externe.

Dans le cadre du litige ayant donné lieu à cette affaire, une association de protection des consommateurs reproche à la société Fashion ID d’avoir, en insérant dans son site web le module « j’aime » fourni par le réseau social Facebook, permis à ce dernier d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel. Se pose alors le problème de savoir si, étant donné que Fashion ID permet à Facebook d’accéder aux données à caractère personnel des utilisateurs de son site Internet, cette société peut ou non être qualifiée de « responsable du traitement ».

L’avocat général avait estimé que « Nous n’identifions pas, à cet égard, de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking. »

La Cour va-t-elle aller au bout de cette logique ? Réponse d’ici quelques mois.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK