CJUE : l’administrateur d’une page « fan » est coresponsable des données collectées par Facebook

CJUE : l’administrateur d’une page « fan » est coresponsable des données collectées par Facebook

J'aime

Avatar de l'auteur
Marc Rees

Publié dans

Droit

06/06/2018 6 minutes
11

CJUE : l’administrateur d’une page « fan » est coresponsable des données collectées par Facebook

Une décision rendue par la Cour de justice de l'Union européenne (CJUE) a consacré la coresponsabilité de l’administrateur d’une page « fan » sur Facebook. Rendue sous l’aulne de la directive du 24 octobre 1995 sur la protection des données personnelles, elle vaut très certainement sous le règne du RGPD.

Cette affaire concerne une société allemande, Wirtschaftsakademie Schleswig-Holstein GmbH, qui propose des formations via une page fan sur Facebook.

Un moyen pour elle de distiller ses informations, mais également obtenir avec Facebook Insights des statistiques d’audience anonymisées, avec différents critères (âge, sexe, situation amoureuse, professionnelle, centres d’intérêt, etc.). L’outil permet en outre à Facebook d’aiguiser la force de frappe de ses publicités. À cette fin, le réseau social dépose un cookie chez celui qui consulte la page fan, un fichier témoin actif durant deux ans.

Presque classique, pourrait-on dire. Sauf qu’en 2011, l’autorité régionale indépendante de protection des données du land du Schleswig-Holstein (l’ADU ou Unabhängiges Landeszentrum für Datenschutz) a demandé à cet institut de formations de désactiver sa page fan au motif que ni lui ni le réseau social n’informaient les internautes de cette collecte et du traitement de données personnelles (notre actualité).

L’affaire a évidemment pris un tournant juridictionnel. La société allemande a contesté cette décision, expliquant qu’elle n’était pas responsable des traitements effectués par Facebook, pas même des cookies égrainés au fil des visites sur sa page. L’ULD a rejeté sa demande, mais le tribunal administratif a annulé cette décision, tout comme la juridiction d’appel et la cour administrative fédérale. Cette dernière a néanmoins posé une série de questions préjudicielles à la Cour de justice de l’Union européenne.  

Une approche très vaste de la notion de responsable de traitement

L’avocat général avait posé clairement les termes du débat : « La question relative à l’identification du responsable du traitement devient particulièrement épineuse dans une situation où un opérateur économique décide non pas d’installer sur son site web les outils nécessaires à l’établissement de statistiques d’audience et à la diffusion de publicités ciblées, mais de faire appel à un réseau social tel que Facebook en ouvrant une page fan afin de bénéficier d’outils similaires ».

Dans son arrêt,  rendu hier, la CJUE a ausculté cette affaire, en ayant en main la directive de 1995 sur la protection des données personnelles. Elle a à ce titre rappelé qu’en Europe, la notion de responsable de traitement est considérée largement. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».

Aucun doute : Facebook Inc. tout comme Facebook Ireland déterminent à titre principal ces finalités et moyens. Mais quid de l’administrateur ?

De la responsabilité conjointe de l’administrateur

« Si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau », vis-à-vis de celui qui crée une page fan, tout change.

Selon la Cour, en effet, en ouvrant une telle page, il « offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook ».

Au point 36 de la décision, la CJUE relève ainsi que l’administrateur va paramétrer cette page, « en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités ». Soit autant de leviers qui vont influer sur les traitements subséquents. « Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook ».

Conclusion : « l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page ». Certes, l’administrateur ne reçoit que des données anonymes, mais peu importe : «  la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées ». Et dans tous les cas, il y a bien eu collecte préalable de données personnelles.

Au final, la CJUE a donc jugé que l’administrateur et Facebook avaient une responsabilité conjointe dans ces traitements. Une responsabilité pluraliste qui n’est pas une responsabilité équivalente, puisqu’il reviendra aux juridictions nationales de ventiler cette charge selon le degré d’implication, notamment sur le terrain du droit à l'information.

Pour taire les éventuelles critiques, rappelons les propos de l'avocat général Yves Bot : avec une solution inverse, « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel », ce qui serait beaucoup plus problématique. 

Et sous le règne du RGPD ? 

Cet arrêt a été rendu pour des faits antérieurs au règlement général sur la protection des données personnelles, en application depuis le 25 mai dernier. Qu’en serait-il sous ce nouveau jour ?

L’article 26 du RGPD prévoit justement l’hypothèse où deux personnes vont déterminer l’une et l’autre « les finalités et les moyens du traitement ». Dans un tel cas, elles « sont les responsables conjoints du traitement ».

Sauf application directe du droit de l’Union, le texte demande en principe qu’un accord soit passé pour définir « de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement ». Cet accord doit figer les rôles respectifs. Il est même demandé que ses grandes lignes soient rendues publiques auprès des personnes concernées par ces traitements.

Pour éviter toute partie de ping-pong chronophage, le point 3 de l’article 26 pose qu’indépendamment des termes de cet accord, « la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ». 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une approche très vaste de la notion de responsable de traitement

De la responsabilité conjointe de l’administrateur

Et sous le règne du RGPD ? 

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (11)


Mais concrètement, je vois pas comment c’est applicable ce genre de jugement. J’ai de plus en plus l’impression que le vrai pouvoir du RGPD c’est de nous diriger vers un délire de “shaming” des boites qui abusent. Que leurs utilisateurs, clients, prospects ou même des activistes les affichent, plutôt qu’une bonne grosse amende “Kifayréfléchir”… C’est déjà bien et tout hein. Ça légitimise les prises de positions jusqu’ici considérées comme parano, ça fait bouger les mentalités etc… Mais on est pas tout à fait sur le “Taper du poing sur la table” qui nous a été vendu. J’espère vraiment me planter ceci dit.


Effectivement tu te plantes. Le RGPD n’est pas applicable à ce cas qui s’est passé avant le 25 mai 2018, en plus la CJUE ne sanctionne pas quand une question préjudicielle lui est posée, mais elle éclaire la juridiction nationale sur le sens du droit de l’Union européenne, juridiction nationale qui a des pouvoirs de sanctions conformément aux dispositions nationales de transpositions de la directive de 1995…


Effectivement tu te plantes. Le RGPD n’est pas applicable à ce cas qui

s’est passé avant le 25 mai 2018, en plus la CJUE ne sanctionne pas

quand une question préjudicielle lui est posée, mais elle éclaire la

juridiction nationale sur le sens du droit de l’Union européenne,

juridiction nationale qui a des pouvoirs de sanctions conformément aux

dispositions nationales de transpositions de la directive de 1995…


Sur le fait de retenir la co-responsabilité ça semble évident, par contre il va falloir clairement en définir la portée de ces responsabilités et les rapports entre co-responsables .



Car par les CGU, FB se dégage de toute responsabilité par rapport à celui qui utilise ses outils de stats, de sorte que le simple admin de fan page (qui n’est pas nécessaire geek et n’a pas nécessaire lu ou capté les CGU, étant rappelé que si son activité à une dimension professionnelle, alors juridiquement FB peut effectivement se délier de toutes responsabilités à son égard) pourrait se retrouver seul face aux sanctions tout en ayant en réalité qu’une maitrise très partielle de ce qui est fait et comment par FB.



Au regard de cette décision, au moins pour un professionnel, il devient particulièrement risqué d’utiliser FB (ou tout réseau social dont on sait qu’il exploite les données persos).








crocodudule a écrit :



Sur le fait de retenir la co-responsabilité ça semble évident, par contre il va falloir clairement en définir la portée de ces responsabilités et les rapports entre co-responsables .



Car par les CGU, FB se dégage de toute responsabilité par rapport à celui qui utilise ses outils de stats, de sorte que le simple admin de fan page (qui n’est pas nécessaire geek et n’a pas nécessaire lu ou capté les CGU, étant rappelé que si son activité à une dimension professionnelle, alors juridiquement FB peut effectivement se délier de toutes responsabilités à son égard) pourrait se retrouver seul face aux sanctions tout en ayant en réalité qu’une maitrise très partielle de ce qui est fait et comment par FB.



Au regard de cette décision, au moins pour un professionnel, il devient particulièrement risqué d’utiliser FB (ou tout réseau social dont on sait qu’il exploite les données persos).





Les CGU ne font pas lois. De dégager de toutes responsabilités me semble abusif









the_frogkiller a écrit :



Les CGU ne font pas lois. De dégager de toutes responsabilités me semble abusif





Pas entre pros du même secteur (ou assimilé) c’est certain, la chambre commerciale l’admet sans problème. (C’est plus au cas par cas entre pros de secteurs différents, si l’on peut démontrer que l’autre pro est profane).



Si j’ai tout (mal) compris :

Si je fait une page FB pour garder le contact avec mes utilisateurs, mais ,que je n’exploite pas le profiling/tracking de FB, c’est FB qui est responsable.

Si j’exploite les possibilités de stats de FB, alors c’est moi qui exploite les données, donc je suis responsable du traitement car les données recueillies me sont plus ou moins partiellement destinées.



J’ai faux ?








Bourrique a écrit :



Si j’ai tout (mal) compris :

Si je fait une page FB pour garder le contact avec mes utilisateurs, mais ,que je n’exploite pas le profiling/tracking de FB, c’est FB qui est responsable.

Si j’exploite les possibilités de stats de FB, alors c’est moi qui exploite les données, donc je suis responsable du traitement car les données recueillies me sont plus ou moins partiellement destinées.



J’ai faux ?





C’est l’idée, mais avis que cela s’applique même si tu n’utilises pas Insights puisque dès la création de la page, en la définissant, tu mets en place indirectement des filtres (assoc, entreprise etc…)



Ce n’est pas parce qu’il donne les informations que demande Facebook sur le contexte de sa page, qu’il utilise déjà Insight. Utiliser Insight, c’est vraiment aller voir et croiser les informations des visiteurs que propose et collecte Facebook.








blbird a écrit :



Ce n’est pas parce qu’il donne les informations que demande Facebook sur le contexte de sa page, qu’il utilise déjà Insight. Utiliser Insight, c’est vraiment aller voir et croiser les informations des visiteurs que propose et collecte Facebook.





Certes mais sur mes pages FB, insight fait de base des statistiques (dont je me tape à un point…) sans que je lui demande rien (nombre de vues , interactions avec la page, nbr d’abonné etc…). Après naturellement on peut avoir des actions positives en créant ses filtres.



Pour moi, il est normal que les entreprises et associations qui poussent leurs utilisateurs/clients/membres/employés vers un prestataire comme facebook soient responsables.



 Utiliser Facebook pour la relation avec le public, c’est une forme de sous-traitance et une entreprise devrait toujours être responsable de ses choix de sous-traitance, et sois donc responsable des traitements.