CJUE : l’administrateur d’une page « fan » est coresponsable des données collectées par Facebook

J'aime 11
Accès libre
image dediée
Crédits : NiroDesign/iStock/thinkstock
Justice
Marc Rees

Une décision rendue par la Cour de justice de l'Union européenne (CJUE) a consacré la coresponsabilité de l’administrateur d’une page « fan » sur Facebook. Rendue sous l’aulne de la directive du 24 octobre 1995 sur la protection des données personnelles, elle vaut très certainement sous le règne du RGPD.

Cette affaire concerne une société allemande, Wirtschaftsakademie Schleswig-Holstein GmbH, qui propose des formations via une page fan sur Facebook.

Un moyen pour elle de distiller ses informations, mais également obtenir avec Facebook Insights des statistiques d’audience anonymisées, avec différents critères (âge, sexe, situation amoureuse, professionnelle, centres d’intérêt, etc.). L’outil permet en outre à Facebook d’aiguiser la force de frappe de ses publicités. À cette fin, le réseau social dépose un cookie chez celui qui consulte la page fan, un fichier témoin actif durant deux ans.

Presque classique, pourrait-on dire. Sauf qu’en 2011, l’autorité régionale indépendante de protection des données du land du Schleswig-Holstein (l’ADU ou Unabhängiges Landeszentrum für Datenschutz) a demandé à cet institut de formations de désactiver sa page fan au motif que ni lui ni le réseau social n’informaient les internautes de cette collecte et du traitement de données personnelles (notre actualité).

L’affaire a évidemment pris un tournant juridictionnel. La société allemande a contesté cette décision, expliquant qu’elle n’était pas responsable des traitements effectués par Facebook, pas même des cookies égrainés au fil des visites sur sa page. L’ULD a rejeté sa demande, mais le tribunal administratif a annulé cette décision, tout comme la juridiction d’appel et la cour administrative fédérale. Cette dernière a néanmoins posé une série de questions préjudicielles à la Cour de justice de l’Union européenne.  

Une approche très vaste de la notion de responsable de traitement

L’avocat général avait posé clairement les termes du débat : « La question relative à l’identification du responsable du traitement devient particulièrement épineuse dans une situation où un opérateur économique décide non pas d’installer sur son site web les outils nécessaires à l’établissement de statistiques d’audience et à la diffusion de publicités ciblées, mais de faire appel à un réseau social tel que Facebook en ouvrant une page fan afin de bénéficier d’outils similaires ».

Dans son arrêt,  rendu hier, la CJUE a ausculté cette affaire, en ayant en main la directive de 1995 sur la protection des données personnelles. Elle a à ce titre rappelé qu’en Europe, la notion de responsable de traitement est considérée largement. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».

Aucun doute : Facebook Inc. tout comme Facebook Ireland déterminent à titre principal ces finalités et moyens. Mais quid de l’administrateur ?

De la responsabilité conjointe de l’administrateur

« Si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau », vis-à-vis de celui qui crée une page fan, tout change.

Selon la Cour, en effet, en ouvrant une telle page, il « offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook ».

Au point 36 de la décision, la CJUE relève ainsi que l’administrateur va paramétrer cette page, « en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités ». Soit autant de leviers qui vont influer sur les traitements subséquents. « Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook ».

Conclusion : « l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page ». Certes, l’administrateur ne reçoit que des données anonymes, mais peu importe : «  la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées ». Et dans tous les cas, il y a bien eu collecte préalable de données personnelles.

Au final, la CJUE a donc jugé que l’administrateur et Facebook avaient une responsabilité conjointe dans ces traitements. Une responsabilité pluraliste qui n’est pas une responsabilité équivalente, puisqu’il reviendra aux juridictions nationales de ventiler cette charge selon le degré d’implication, notamment sur le terrain du droit à l'information.

Pour taire les éventuelles critiques, rappelons les propos de l'avocat général Yves Bot : avec une solution inverse, « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel », ce qui serait beaucoup plus problématique. 

Et sous le règne du RGPD ? 

Cet arrêt a été rendu pour des faits antérieurs au règlement général sur la protection des données personnelles, en application depuis le 25 mai dernier. Qu’en serait-il sous ce nouveau jour ?

L’article 26 du RGPD prévoit justement l’hypothèse où deux personnes vont déterminer l’une et l’autre « les finalités et les moyens du traitement ». Dans un tel cas, elles « sont les responsables conjoints du traitement ».

Sauf application directe du droit de l’Union, le texte demande en principe qu’un accord soit passé pour définir « de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement ». Cet accord doit figer les rôles respectifs. Il est même demandé que ses grandes lignes soient rendues publiques auprès des personnes concernées par ces traitements.

Pour éviter toute partie de ping-pong chronophage, le point 3 de l’article 26 pose qu’indépendamment des termes de cet accord, « la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ». 


chargement
Chargement des commentaires...