Home / Publications / Insertion du bouton « J’aime » de Facebook sur...

Insertion du bouton « J’aime » de Facebook sur un site Internet

Le gestionnaire du site peut être co-responsable de traitement

04/09/2019

Fin de l’ambiguïté pour les exploitants de sites Internet employant les plugiciels ou « plug-ins » fournis pas Facebook : selon la Cour de justice de l’Union européenne, ils peuvent être considérés comme responsables de traitement au même titre que la firme américaine basée en Irlande.

La question de droit : la captation de données personnelles par Facebook via le bouton « J’aime » et la responsabilité du gestionnaire de site utilisant ce bouton

La société allemande Fashion ID exploite pour la vente de vêtements en ligne un site du même nom. Elle a inséré sur son site le module « j’aime » de Facebook. La présence de ce module assure à Facebook la communication de l’adresse IP de l’ordinateur du visiteur, de données techniques et de données de navigation et ce, sans que l’utilisateur ait cliqué sur ce bouton ou qu’il soit membre du réseau social. Le module étant fourni par Facebook, le gestionnaire du site n’a en revanche connaissance ni du contenu transmis, ni de l’utilisation que Facebook peut en faire.

Une association allemande de consommateurs, estimant que ce traitement n’avait fait l’objet d’aucun consentement et d’aucune information des visiteurs, a introduit une action en cessation devant le tribunal compétent de Düsseldorf à l’encontre du gestionnaire du site de e-commerce, action qui a été victorieuse.

La société allemande Fashion ID a alors interjeté appel de ce premier jugement devant la juridiction d’appel de Düsseldorf. Cette juridiction, empreinte d’un certain nombre de doutes concernant l’interprétation de la directive 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel alors applicable, a décidé de surseoir à statuer dans l’attente des réponses de la Cour de justice de l’Union européenne (CJUE) aux six questions qu’elle lui a posées.

La réponse de la CJUE : la coresponsabilité du gestionnaire de site pour le traitement des données personnelles opéré par Facebook via le bouton « J’aime »

La première question posée à la CJUE avait trait à la qualité pour agir de l’association de consommateurs dans le cadre d’une action relative à la protection des données à caractère personnel. La CJUE estime que la directive ne s’oppose pas à ce qu’une réglementation nationale permette aux associations d’agir dans l’intérêt des consommateurs. Une telle possibilité est également conforme aux objectifs poursuivis par la directive 95/46/CE. L’action intentée par une association agissant dans l’intérêt général doit donc être jugée recevable.

Cette solution est par ailleurs retenue et consacrée expressément par l’article 80 du règlement 2016/679 du 27 avril 2016 (RGPD), qui a abrogé et remplacé la directive 95/46/CE.

La deuxième question, moins évidente et sans doute plus intéressante, porte sur la notion de « responsable de traitement » : le gestionnaire d’un site insérant un plugiciel tiers et n’ayant aucune influence sur le processus de traitement peut-il être considéré comme responsable de traitement aux côtés du fournisseur dudit plugiciel ?

En l’occurrence, la CJUE répond positivement mais uniquement en ce qui concerne les traitements de collecte et de communication par transmission des données à caractère personnel, excluant ainsi du champ de la responsabilité du gestionnaire de sites les traitements ultérieurs effectués par le fournisseur du module.

De cette solution découlent trois questions supplémentaires : puisqu’il y a deux responsables conjoints, quel est « l’intérêt légitime » à prendre en compte ? Qui doit recueillir le consentement ? Qui doit assurer l’information préalable aux personnes concernées ?

Les implications de cette décision : à qui, du gestionnaire de site ou de Facebook, revient-il de recueillir le consentement et d’informer sur la finalité du traitement de données personnelles ? 

Suivant l’ensemble des conclusions de l’avocat général, la CJUE a répondu successivement que les intérêts légitimes des deux co-responsables devaient être pris en compte, mais que seul le gestionnaire qui autorise la collecte et la transmission de données sur son site est responsable du recueil du consentement de ses visiteurs.

Sur ce point, la CJUE a estimé en toute logique que le gestionnaire du site ne doit informer les personnes concernées que sur les traitements qu’il met en œuvre et dont il a connaissance, à savoir la collecte et la transmission de données, laissant ainsi à la charge du fournisseur du plugiciel le soin d’informer les personnes concernées des traitements ultérieurs qu’il met en œuvre. 

La réponse à la question centrale de l’affaire - la coresponsabilité du gestionnaire du site - est notamment motivée par le fait que le gestionnaire du site en question était conscient que le module inséré sur son site servait d’outil de collecte ainsi que de transmission de données et qu’en contrepartie de cette insertion, il bénéficiait d’un avantage commercial lié à une meilleure visibilité de ses produits sur le réseau social Facebook.

La CJUE avait rendu une décision similaire il y a un peu plus d’un an, estimant que l’administrateur d’une page Facebook pouvait être considéré comme co-responsable de traitement puisque par l’exploitation de cette page, il bénéficiait de statistiques fournies par Facebook lui permettant de gérer et stimuler son activité (CJUE, 5 juin 2018 ; C-210/16, Wirtschaftsakademie Schleswig-Holstein).

Il ressort de ces décisions que la détermination du statut de « responsable de traitement » suppose de rechercher à qui profite le traitement, ce qui peut conduire à interpréter largement la notion de « responsable de traitement ».

Cette interprétation extensive de la qualification de « responsable de traitement » n’est pas surprenante dans la tendance actuelle très protectrice des droits et libertés des personnes, entérinée par l’adoption du RGPD. Les responsables seront-ils cependant en mesure de se conformer de manière efficace à ces obligations ? Et l’alourdissement des contraintes pesant sur les éditeurs de site aboutira-t-il à un renforcement effectif de la protection des individus ? L’avenir le dira… 


A lire également :

Cet article a été publié dans notre Lettre Propriétés Intellectuelles d'octobre 2019. Découvrez les autres articles de cette lettre.

lettre droit de la propriété intellectuelle 800x300

Encart lire également bleu 220x220

Données personnelles sur Facebook :

Sur la question de la co-responsabilité de l’administrateur d’une page Facebook, lire également : « Le régime de responsabilité accrue de l’administrateur d’une page fan Facebook »


La Protection des données personnelles au sein de notre cabinet d'avocats : 

Que vous soyez un éditeur de plates-formes électroniques, de logiciels, de jeux en ligne ou de sites Internet, une entreprise nationale ou multinationale, nos avocats spécialistes du droit des données personnelles sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection, la collecte et la gestion des données personnelles.

protection des données personnelles 330x220

Expertise : Protection des données personnelles

Equipe cabinet d'avocats 330x220

Notre équipe spécialisée en
droit des données personnelles

nous contacter 330x220

Nous contacter

Auteurs

 Colin Joséphine
Joséphine Colin
Avocat
Paris
Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris