Données personnelles : un bouton « J’aime » peut rendre coresponsables le site et Facebook

Cliquer sur J'aime ! 15
Accès libre
image dediée
Crédits : NiroDesign/iStock/thinkstock
Justice
Marc Rees

Coup de froid pour l’ensemble des sites utilisant les plug-ins fournis par Facebook. La Cour de justice de l’Union européenne juge que l’éditeur d’un tel service en ligne peut être responsable avec Facebook d’une partie des traitements de données personnelles orchestrés par le bouton « J’aime ».

FashionID, un site de e-commerce, avait été attaqué par une association de consommateurs, la Verbraucherzentrale NRW. Celle-ci pestait contre cette fonction de partage, l’estimant peu dans les clous de la législation antérieure au règlement général sur la protection des données personnelles.

Et pour cause, selon elle, des données des visiteurs sont avalées par Facebook, via cette balise, même lorsque l’internaute ne clique pas dessus ou n’est pas abonné au réseau social.

Pour ausculter ce dossier né en Allemagne, la Cour de justice de l’Union européenne va retenir une conception large de la notion de responsable de traitement, inspirée par l’objectif de la directive de 1995, celui d’assurer un haut niveau de protection des personnes physiques. Elle s'inspire aussi d'un arrêt de juin 2018, où elle avait déjà constaté la coresponsabilité de l’administrateur d’une page « fan » sur Facebook.

Sous réserve de vérification par les juridictions de fond, note-t-elle aujourd'hui, « en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet ».

Un traitement de données et deux responsables

Pour la Cour, il y a bien des opérations de traitement de données à caractère personnel. En ayant pris la décision d’insérer un module social sur son site, « Fashion ID influe, par ailleurs, de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, en l’occurrence Facebook Ireland ». La preuve : « en l’absence de l’insertion dudit module, [ces opérations] n’auraient pas lieu ».

Dès lors elle en déduit que Facebook Ireland et Fashion ID « déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID ».

Ces deux acteurs déterminent également les finalités conjointement puisque pour FashionID, ce bouton social a pour objectif d’aiguiser ses campagnes de publicité pour les vêtements qu’elle vend. « C’est afin de pouvoir bénéficier de cet avantage commercial consistant en une telle publicité accrue pour ses produits que Fashion ID, en insérant un tel bouton sur son site Internet, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site ».

Au passage, la CJUE note que le fait FashionID n'ait pas accès aux données personnelles collectées et transmises à Facebook est sans influence. Le site peut être reconnu coresponsable.

Consentement et information des internautes

Concrètement, la CJUE exige du site, comme de Facebook, le recueil du consentement de l’ensemble de ces personnes avant ces traitements. Ils doivent en outre assumer l’obligation d’information, toujours avant de collecter et avaler ces données.

Comme l'avait expliqué l'avocat général dans son opinion, cette responsabilité sera circonscrite pour FashionID : elle se limite à son périmètre d’intervention, non aux traitements effectués en amont ou en aval. Mais cette responsabilité sera toujours plus importante lorsque les données transmises au réseau social concernent des internautes non membres de Facebook.

Les perspectives de cet arrêt sont très importantes tellement le bouton de partage Facebook est aujourd’hui répandu. Toutefois nuançons, puisqu'il ne concerne que les sites ayant choisi le module clef en main fourni par Facebook, non ceux, comme Next INpact, qui ont opté pour un lien sans tracker.

Les juridictions allemandes vont maintenant réexaminer l’affaire, armées des réponses apportées par la CJUE. La balle sera aussi dans le camp des autorités de contrôle, comme la CNIL en France, d’autant que le RGPD est venu conforter plusieurs droits et obligations de la directive antérieure. 


chargement
Chargement des commentaires...