Données personnelles : responsabilité conjointe de FACEBOOK et de l’administrateur d’une page fan de Facebook

La Cour de Justice de l’Union Européenne (CJUE) a jugé que l’administrateur d’une page fan sur Facebook était conjointement responsable avec l’opérateur de ce réseau social, du traitement des données personnelles concernant les visiteurs de cette page. Cette décision est intervenue dans le cadre d’un litige opposant la CNIL allemande, l’ULD, à une société allemande qui offrait des services de formation par l’intermédiaire d’une page fan hébergée sur Facebook.

Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises. Les administrateurs de ces pages peuvent obtenir des données statistiques anonymes concernant les visiteurs de leurs pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook. Ces données sont collectées grâce à des « cookies » placés sur les ordinateurs des visiteurs de la page fan. L’autorité de contrôle allemande a ordonné à la société allemande de désactiver la page fan qu’elle avait créée, au motif que ni cette société ni Facebook n’informaient les visiteurs de la page fan que des cookies collectaient des informations à caractère personnel les concernant et faisant l’objet d’un traitement ultérieur. Le débat né à l’occasion de ce contentieux a porté sur la possibilité de juger la société allemande responsable, au regard du droit applicable à la protection des données, du traitement des données effectué par Facebook et des cookies installés par cet opérateur. La haute juridiction saisie en dernier recours, a finalement posé plusieurs questions préjudicielles à la CJUE, fondées sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

L’arrêt rendu le 5 juin 2018 a jugé que ce texte devait être interprété en ce sens que « la notion de « responsable du traitement », au sens de son article 2, englobe l’administrateur d’une page fan hébergée sur un réseau social ».

La Cour relève que « si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook ». La création d’une page fan sur Facebook « implique de la part de son administrateur une action de paramétrage » pour pouvoir bénéficier des informations fournies par l’opérateur, ce qui l’amène à contribuer « au traitement des données à caractère personnel des visiteurs de sa page ». Répondant à l’argument selon lequel les statistiques d’audience établies par Facebook étaient uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, la Cour retient également que « la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées ».

Il y avait donc lieu de considérer, en définitive, « que l’administrateur d’une page fan hébergée sur Facebook participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan ». Il doit dès lors être « qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46 ».

La Cour a ainsi consacré « la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan ». Son arrêt précise toutefois que « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».

Cour de Justice de l’Union Européenne, Grande Chambre, arrêt du 5 juin 2018

Télécharger la newsletter

Newsletter Media law avril 2018 / septembre 2018

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Le cabinet

7, avenue de la Bourdonnais 75007 Paris

Téléphone

+33 1 71 19 71 47

email

contact@avocat-adroit.com

Avocat-Adroit © 2020 Tous droits réservés. Mentions légales    Crédits