Celui qui a une page Facebook est-il un « responsable de traitement » ?

Publié le par - 3168 vues

L’avocat général donne à la notion de responsable de traitement la portée la plus extensive possible. Pour lui, même l’administrateur d’une page fan, ou celui qui insère sur son site web un module social du type « like », est, comme Facebook même, le responsable du traitement consistant en la collecte de données.

Les faits

Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur Facebook.

Les administrateurs de pages fan peuvent obtenir des statistiques d’audience à l’aide de l’outil « Facebook Insights » mis gratuitement à leur disposition par Facebook dans le cadre des conditions d’utilisation non modifiables. Ces statistiques sont élaborées par Facebook et personnalisées par l’administrateur d’une page fan à l’aide de différents critères qu’il peut sélectionner, tels que l’âge ou le sexe. Lesdites statistiques fournissent ainsi des informations anonymes sur les caractéristiques et les habitudes des personnes ayant consulté les pages fan, permettant aux administrateurs de ces pages de mieux cibler leur communication.

Afin d’établir de telles statistiques d’audience, au moins un cookie comportant un numéro ID unique, qui est actif pendant deux ans, est sauvegardé par Facebook sur le disque dur de la personne ayant consulté la page fan. Le numéro ID, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages Facebook.

Les autorités allemandes ont ordonné le 3 novembre 2011 à Wirtschaftsakademie de désactiver sa page fan, au motif que ni la Wirtschaftsakademie ni Facebook n’informaient les visiteurs de la collecte de leurs données à caractère personnel à l’aide de cookies et du traitement ensuite.

Wirtschaftsakademie conteste et fait valoir, en substance, qu’elle n’était responsable, au regard du droit à la protection des données applicable, ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier. En bref : adressez-vous à Facebook.

Par un arrêt du 9 octobre 2013, le Verwaltungsgericht (tribunal administratif) donne raison à Wirtschaftsakademie : l’administrateur d’une page fan sur Facebook n’est pas un « organisme responsable ». Le tribunal administratif supérieur aboutit à la solution similaire mais par une voie différente.

La Cour administrative fédérale est saisie et s’interroge sur la notion de responsable de traitement.

Elle renvoie le dossier à Luxembourg, en question préjudicielle. Pas moins de six questions sont posées ; nous en abordons quelques-unes.

L’administrateur d’une page est-il un responsable de traitement ?

Selon la directive 95/46, on entend par responsable du traitement, « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. »

Dans le système mis en place par la directive de 95, le responsable du traitement joue un rôle fondamental : il est le débiteur principal des obligations. Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google : le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données en cause satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment leur droit au respect de la vie privée, puisse effectivement être réalisée.

Pour arriver à leurs conclusions, les juridictions allemandes se fondaient sur un postulat de départ : Facebook est le responsable du traitement ; Wirtschaftsakademie ne l’est pas.

L’avocat général commence par remettre ceci en cause : « Nous considérons, cependant, que cette prémisse est erronée. En effet, la Wirtschaftsakademie doit, à notre avis, être considérée comme étant responsable conjointe de la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook ».

Concernant Facebook, l’avocat général n’a pas beaucoup de doutes : « En tant que concepteurs de ce traitement, c’est bien, à nos yeux, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités. »

Mais il va plus loin : un administrateur d’une page fan est, certes, avant tout un utilisateur de Facebook, mais ce constat n’est pas de nature à exclure qu’il puisse également être considéré comme responsable de la phase du traitement de données à caractère personnel qui fait l’objet du litige au principal, à savoir la collecte de telles données par Facebook.

Il se base sur la jurisprudence de la Cour pour qui que cette notion « doit être définie de manière large afin d’assurer une protection efficace et complète des personnes concernées ».

D’une part, ce traitement « ne pourrait pas intervenir sans la décision préalable de l’administrateur d’une page fan de créer et d’exploiter celle-ci sur le réseau social Facebook. En rendant possible le traitement des données à caractère personnel des utilisateurs de la page fan, le gestionnaire de cette page adhère au système mis en place par Facebook. Il acquiert ainsi une meilleure visibilité sur le profil des utilisateurs de sa page fan et permet, dans le même temps, à Facebook de mieux cibler la publicité diffusée dans le cadre de ce réseau social. En acceptant les moyens et les finalités du traitement des données à caractère personnel, tels qu’ils sont prédéfinis par Facebook, le gestionnaire de la page fan doit être considéré comme participant à leur détermination. Par ailleurs, tout comme l’administrateur d’une page fan exerce ainsi une influence déterminante sur le déclenchement du traitement de données à caractère personnel des personnes qui consultent cette page, il dispose également du pouvoir de faire cesser ce traitement en fermant sa page fan ».

D’autre part, l’administrateur d’une page fan a la possibilité d’influer sur la mise en œuvre concrète de cet outil en définissant les critères à partir desquels les statistiques d’audience sont établies. Il peut « à l’aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d’affiner le groupe de personnes à destination duquel des informations relatives à son offre commerciale seront diffusées, mais surtout de designer les catégories de personnes qui vont faire l’objet d’une collecte de leurs données à caractère personnel par Facebook. Ainsi, en déterminant l’audience qu’il souhaite toucher, l’administrateur d’une page fan identifie par la même occasion quel public cible est susceptible de faire l’objet d’une collecte puis d’une exploitation de ses données à caractère personnel par Facebook. En plus d’être l’élément déclencheur d’un traitement de telles données lorsqu’il crée une page fan, l’administrateur de cette page joue dès lors un rôle prépondérant dans la mise en œuvre de ce traitement par Facebook. Il prend part, de la sorte, à la détermination des moyens et des finalités dudit traitement en exerçant sur celui-ci une influence de fait. »

Enfin, cette conclusion se trouve renforcée par le constat selon lequel l’administrateur d’une page fan et Facebook poursuivent chacun des finalités étroitement liées. L’administrateur « veut obtenir des statistiques d’audience à des fins de gestion de la promotion de son activité et, pour les obtenir, un traitement de données à caractère personnel est nécessaire. Ce même traitement permettra également à Facebook de mieux cibler la publicité qu’il diffuse à travers son réseau. »

L’avocat général évacue encore l’argument dit du contrôle complet : pour qu’une personne puisse être considérée comme un responsable du traitement, « il n’est pas nécessaire que cette personne dispose d’un pouvoir de contrôle complet sur tous les aspects du traitement. Par conséquent, l’interprétation privilégiant l’existence d’un pouvoir de contrôle complet sur tous les aspects du traitement est susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel. »

L’utilisation du module « Like » fait-il de vous un responsable de traitement ?

L’avocat général ne s’arrête pas en si bon chemin ! Il fait le lien avec une autre affaire en cours, dite Fashion ID (C-40/17).

Cette dernière affaire concerne la situation dans laquelle le gestionnaire d’un site web insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook), qui entraîne une transmission de données à caractère personnel de l’ordinateur de l’utilisateur du site web au fournisseur externe.

Dans le cadre du litige ayant donné lieu à cette affaire, une association de protection des consommateurs reproche à la société Fashion ID d’avoir, en insérant dans son site web le module « j’aime » fourni par le réseau social Facebook, permis à ce dernier d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel. Se pose alors le problème de savoir si, étant donné que Fashion ID permet à Facebook d’accéder aux données à caractère personnel des utilisateurs de son site Internet, cette société peut ou non être qualifiée de « responsable du traitement ».

L’avocat général a un avis tranché « Nous n’identifions pas, à cet égard, de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking. »

Les co-responsables sont-il sur un pied d’égalité ?

L’existence d’une responsabilité conjointe signifie-t-telle une responsabilité sur un pied d’égalité ?

L’avocat général répond négativement, invoquant l’avis du Groupe 29 selon lequel « lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci). Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données. »

Plus d’infos ?

La portée l’arrêt, s’il va dans le même sens que l’avis de l’avocat général, ne doit pas être sous-estimée. C’est véritablement l’interprétation la plus large possible qui prime s’agissant de définir le responsable du traitement.

Plus d’infos en lisant les conclusions de l’AG, disponible en annexe.

Droit & Technologies

Annexes

Avis de l’avocat général

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK