Home / Publications / Le régime de responsabilité accrue de l’administrateur...

Le régime de responsabilité accrue de l’administrateur d’une page fan Facebook

17/10/2018

Dans une décision du 5 juin 2018 la Cour de justice de l’Union européenne (CJUE) a jugé que l’administrateur d’une page Facebook a la qualité de responsable du traitement et que, à ce titre, il est conjointement responsable avec Facebook du traitement des données à caractère personnel des utilisateurs (CJUE, 5 juin 2018, C-201/16). C’est donc une approche extensive de la notion de responsable du traitement que consacre la Cour européenne.  

Un administrateur initiant et paramétrant le traitement – En l’espèce, une société administrait une page fan hébergée sur la plate-forme Facebook. En tant qu’administrateur, elle pouvait, grâce à l’outil "Facebook Insight", bénéficier de données statistiques concernant les visiteurs de cette page à des fins de ciblage, mais également personnaliser, à l’aide de filtres, les critères à partir desquels ces statistiques doivent être établies.

Ces données sont obtenues grâce au dépôt de cookies dans l’appareil des internautes visitant la page. Or, le dépôt de cookies dans un terminal nécessite le consentement éclairé de l’internaute, consentement qui n’était recueilli ni par la société administrant la page, ni par Facebook. La CJUE a donc considéré que, du fait de sa participation au paramétrage de la page et des études statistiques effectuées, l’administrateur avait la qualité de responsable du traitement et que ses agissements engageaient donc sa responsabilité.

L’obligation pour l’administrateur de se conformer au règlement général sur la protection des données (RGPD) – L’objectif de la CJUE n’est pas ici d’exonérer totalement Facebook de toute responsabilité vis-à-vis de ses utilisateurs, mais bien d’offrir à ces derniers une protection efficace et renforcée en leur permettant d’agir tant contre Facebook que contre l’administrateur de la page fan. Il s’agit d’un régime de co-responsabilité. Si la décision a certes été rendue sur le fondement de la directive 95/46 du 24 octobre 1995, la définition du responsable du traitement est très similaire dans les deux textes.

Ce régime de responsabilité conjointe n’entraîne pas une responsabilité équivalente pour les deux parties. Il appartiendra donc aux autorités nationales, faute de précision dans les textes, de délimiter ces différentes responsabilités.

Nul doute cependant que le régime de responsabilité de l’administrateur en ressortira renforcé puisque le RGPD impose aux co-responsables de traitement d’établir, dans un premier temps, un document partageant les tâches à effectuer pour lui être conforme, mais également, sur le long terme, un devoir de "surveillance" mutuel. Reste à savoir concrètement comment la répartition de ces obligations se traduira dans une relation connaissant un fort déséquilibre.

Source
Lettre Propriétés intellectuelles | Octobre 2018
Lire la suite

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Favero Eleonore
Eléonore Favero
Avocat
Paris