Fin de l’ambiguïté pour les exploitants de sites Internet employant les plugiciels ou « plug-ins » fournis pas Facebook : selon la Cour de justice de l’Union européenne, ils peuvent être considérés comme responsables de traitement au même titre que la firme américaine basée en Irlande.
La question de droit : la captation de données personnelles par Facebook via le bouton « J’aime » et la responsabilité du gestionnaire de site utilisant ce bouton
La société allemande Fashion ID exploite pour la vente de vêtements en ligne un site du même nom. Elle a inséré sur son site le module « j’aime » de Facebook. La présence de ce module assure à Facebook la communication de l’adresse IP de l’ordinateur du visiteur, de données techniques et de données de navigation et ce, sans que l’utilisateur ait cliqué sur ce bouton ou qu’il soit membre du réseau social. Le module étant fourni par Facebook, le gestionnaire du site n’a en revanche connaissance ni du contenu transmis, ni de l’utilisation que Facebook peut en faire.
Une association allemande de consommateurs, estimant que ce traitement n’avait fait l’objet d’aucun consentement et d’aucune information des visiteurs, a introduit une action en cessation devant le tribunal compétent de Düsseldorf à l’encontre du gestionnaire du site de e-commerce, action qui a été victorieuse.
La société allemande Fashion ID a alors interjeté appel de ce premier jugement devant la juridiction d’appel de Düsseldorf. Cette juridiction, empreinte d’un certain nombre de doutes concernant l’interprétation de la directive 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel alors applicable, a décidé de surseoir à statuer dans l’attente des réponses de la Cour de justice de l’Union européenne (CJUE) aux six questions qu’elle lui a posées.
La réponse de la CJUE : la coresponsabilité du gestionnaire de site pour le traitement des données personnelles opéré par Facebook via le bouton « J’aime »
La première question posée à la CJUE avait trait à la qualité pour agir de l’association de consommateurs dans le cadre d’une action relative à la protection des données à caractère personnel. La CJUE estime que la directive ne s’oppose pas à ce qu’une réglementation nationale permette aux associations d’agir dans l’intérêt des consommateurs. Une telle possibilité est également conforme aux objectifs poursuivis par la directive 95/46/CE. L’action intentée par une association agissant dans l’intérêt général doit donc être jugée recevable.
Cette solution est par ailleurs retenue et consacrée expressément par l’article 80 du règlement 2016/679 du 27 avril 2016 (RGPD), qui a abrogé et remplacé la directive 95/46/CE.
La deuxième question, moins évidente et sans doute plus intéressante, porte sur la notion de « responsable de traitement » : le gestionnaire d’un site insérant un plugiciel tiers et n’ayant aucune influence sur le processus de traitement peut-il être considéré comme responsable de traitement aux côtés du fournisseur dudit plugiciel ?
En l’occurrence, la CJUE répond positivement mais uniquement en ce qui concerne les traitements de collecte et de communication par transmission des données à caractère personnel, excluant ainsi du champ de la responsabilité du gestionnaire de sites les traitements ultérieurs effectués par le fournisseur du module.
De cette solution découlent trois questions supplémentaires : puisqu’il y a deux responsables conjoints, quel est « l’intérêt légitime » à prendre en compte ? Qui doit recueillir le consentement ? Qui doit assurer l’information préalable aux personnes concernées ?
Les implications de cette décision : à qui, du gestionnaire de site ou de Facebook, revient-il de recueillir le consentement et d’informer sur la finalité du traitement de données personnelles ?
Suivant l’ensemble des conclusions de l’avocat général, la CJUE a répondu successivement que les intérêts légitimes des deux co-responsables devaient être pris en compte, mais que seul le gestionnaire qui autorise la collecte et la transmission de données sur son site est responsable du recueil du consentement de ses visiteurs.
Sur ce point, la CJUE a estimé en toute logique que le gestionnaire du site ne doit informer les personnes concernées que sur les traitements qu’il met en œuvre et dont il a connaissance, à savoir la collecte et la transmission de données, laissant ainsi à la charge du fournisseur du plugiciel le soin d’informer les personnes concernées des traitements ultérieurs qu’il met en œuvre.
La réponse à la question centrale de l’affaire - la coresponsabilité du gestionnaire du site - est notamment motivée par le fait que le gestionnaire du site en question était conscient que le module inséré sur son site servait d’outil de collecte ainsi que de transmission de données et qu’en contrepartie de cette insertion, il bénéficiait d’un avantage commercial lié à une meilleure visibilité de ses produits sur le réseau social Facebook.
La CJUE avait rendu une décision similaire il y a un peu plus d’un an, estimant que l’administrateur d’une page Facebook pouvait être considéré comme co-responsable de traitement puisque par l’exploitation de cette page, il bénéficiait de statistiques fournies par Facebook lui permettant de gérer et stimuler son activité (CJUE, 5 juin 2018 ; C-210/16, Wirtschaftsakademie Schleswig-Holstein).
Il ressort de ces décisions que la détermination du statut de « responsable de traitement » suppose de rechercher à qui profite le traitement, ce qui peut conduire à interpréter largement la notion de « responsable de traitement ».
Cette interprétation extensive de la qualification de « responsable de traitement » n’est pas surprenante dans la tendance actuelle très protectrice des droits et libertés des personnes, entérinée par l’adoption du RGPD. Les responsables seront-ils cependant en mesure de se conformer de manière efficace à ces obligations ? Et l’alourdissement des contraintes pesant sur les éditeurs de site aboutira-t-il à un renforcement effectif de la protection des individus ? L’avenir le dira…
Actualité du Droit de la propriété intellectuelle :
Cet article a été publié dans notre Lettre Propriétés Intellectuelles d'octobre 2019. Découvrez les autres articles de cette lettre.
La Protection des données personnelles au sein de notre cabinet d'avocats :
Que vous soyez un éditeur de plates-formes électroniques, de logiciels, de jeux en ligne ou de sites Internet, une entreprise nationale ou multinationale, nos avocats spécialistes du droit des données personnelles sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection, la collecte et la gestion des données personnelles.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.