Se référant à une interprétation extensive de la notion de responsable de traitement visant à renforcer la protection des droits des données personnelles des internautes qu’elle a maintes fois rappelée [1] , la Cour précisait que la notion de responsable de traitement, telle que définie à l’article 2 de la directive 95/46, n’implique pas que le responsable réalise le traitement en cause ou ait un accès aux données.
Elle considérait ainsi que seule la contribution de ce dernier au traitement des données et leur influence sur la finalité et les moyens dudit traitement permettaient de retenir une telle qualification.
Ainsi, une action de « paramétrage », permettant à l’administrateur de cibler, en fonction d’une audience et des objectifs de gestion ou de promotion d’activité commerciale, une catégorie d’internautes, était suffisant pour permettre de caractériser les finalités et les moyens d’un traitement de données à caractère personnel (pour plus de précisions www.village-justice.com/articles/administrateur-une-page-facebook-epreuve-droit-des-donnees-personnelles-cjue,28713.html).
L’élargissement de la notion de responsable de traitement s’est d’ailleurs confirmée un mois plus tard à la suite d’un arrêt rendu par la CJUE en date du 10 juillet 2018 aux termes duquel il a été jugé que des prédicateurs de la communauté des témoins de Jéhovah étaient des responsables conjoints de traitement au regard des fiches qu’ils détenaient et qui contenaient des données à caractère personnel comportant des noms et des adresses ainsi que d’autres informations précises relatives aux personnes démarchées [2].
La CJUE a considéré que cette communauté agissait à des fins propres sur le traitement en cause et participait par conséquent à la définition de ses finalités, répondant ainsi aux critères juridiques d’un responsable de traitement.
La communauté religieuse en question se voyait qualifiée de responsable de traitement alors même qu’elle indiquait ne pas avoir accès aux données contenues dans les fiches litigieuses ni avoir émis aucune consigne ou directives écrites concernant leur agencement.
La Cour de Justice franchissait donc un nouveau palier en affinant davantage son interprétation de cette notion clé et rappelait que toute personne physique ou morale tirant essentiellement profit d’une activité de traitement de données peut être qualifiée de responsable de traitement.
Mais bien plus que dans ces deux arrêts, de nouveaux enseignements sur l’évolution progressive de la notion de responsable de traitement sont apportés dans les conclusions de l’avocat général rendues dans l’affaire Wirtschafttsakademie et présentées le 24 octobre 2017.
Aux termes de ces conclusions, l’avocat général motive son argumentaire en faisant un judicieux parallèle avec l’affaire FASHION ID actuellement pendante devant la Haute juridiction communautaire [3] au sujet de « la situation dans laquelle le gestionnaire d’un site web insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) [4] .
Comme un couperet, celui-ci indique clairement au considérant 69 de ses conclusions qu’il n’existe pas « de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de service webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking ».
C’est donc à l’aune de cet avis que se dessinent progressivement les contours d’une notion de responsable de traitement toujours plus grandissante et dont il convient d’analyser les effets.
1. Sur les circonstances entourant l’affaire « Fashion ID » et l’avis présenté le 24 octobre 2017
La société FASHION ID dont l’objet social est la vente d’article de modes en ligne, a intégré un logiciel d’application complémentaire connu sous le très célèbre nom « j’aime » et fourni par le réseau social Facebook, sur son site internet.
La conséquence notable d’une telle intégration réside dans le fait que chaque utilisateur se rendant sur le site en question transmettait automatiquement à Facebook des informations concernant son adresse IP ainsi que l’ensemble des textes saisis sur son navigateur, indépendamment de tout utilisation de la fonction « j’aime » et du fait de disposer d’un compte affilié au réseau social.
C’est dans ces conditions qu’une association de protection des consommateurs allemande a assigné la société FASHION ID motif pris que l’insertion dans son site web du module « j’aime » fourni par Facebook violait les dispositions relatives à la protection des données personnelles.
La juridiction allemande saisie du litige a sursoit à statuer afin d’interroger la Cour de Justice de l’Union Européenne sur la qualification potentielle de la société FASHION ID en qualité de responsable de traitement.
La décision de la Cour de Justice de l’Union Européenne se fait attendre, mais l’avis prépondérant de l’avocat général est suffisamment clair : la personne physique ou morale intégrant un logiciel tel que la fonctionnalité « j’aime » sur son site internet sera conjointement responsable avec Facebook de cette phase de traitement.
En raisonnant par analogie avec l’affaire Wirtschafttsakademie, l’avocat général rappelle qu’à « l’instar de ce qui se produit en cas de consultation d’une page fan, la consultation d’un site web contenant un plugin social va déclencher une transmission de données à caractère personnel vers le fournisseur concerné » et donc exercer une « influence » sur la phase de traitement en lien « avec la transmission de données à caractère personnel à Facebook » [5].
C’est donc à raison de l’insertion d’un tel module que le gestionnaire d’un site internet devrait être qualifié de responsable de traitement.
2. Un niveau de responsabilité à géométrie variable
Bien que retenue, la notion de responsabilité conjointe implique quelques subtilités que l’avocat général ne manque pas de rappeler.
Ainsi et tout en se référant à l’avis 1/2010 rendu par le groupe de travail « Article 29 » sur la protection des données adopté le 16 février 2010, l’avocat général rappelle que « l’existence d’une responsabilité conjointe ne signifie pas une responsabilité sur un pied d’égalité » [6].
Ce faisant, les différents responsables du traitement de données à caractère personnel peuvent être « chargés » à différents « stades » et à « différents degrés » [7] en fonction des opérations pour lesquelles ces derniers ont décidé, de concert ou individuellement, les finalités et les moyens du traitement des données à caractère personnel.
Dans cet ordre d’idées, la responsabilité d’une personne en qualité de responsable de traitement ne pourra être retenue pour une partie dont elle n’était pas en mesure de déterminer la finalité et les moyens, ce qui implique, comme l’indique l’avocat général, que chaque typologie de coresponsabilité soit examinée « avec une certaine souplesse » permettant de « tenir compte de la complexité croissante de la réalité actuelle du traitement de données » [8].
Dans le cadre de l’affaire actuellement soumise à l’appréciation de la Cour de Justice, la société FASHION ID et Facebook Ireland semblent vraisemblablement décider des finalités et des moyens du traitement des données au stade de leur collecte et de leur transmission.
Il est d’ailleurs manifeste que l’insertion d’un tel module social était guidée par une finalité promotionnelle et commerciale permettant à la société FASHION ID de bénéficier d’une exposition médiatique de ses produits sur le réseau social Facebook.
C’est donc dans le cadre de cette collecte et de la transmission de données qui s’ensuit que FASHION ID s’est comporté comme un responsable de traitement, encourant une responsabilité conjointe avec Facebook Ireland.
Il conviendra toutefois, comme le suggère l’avocat général, que les intérêts légitimes de chaque responsable conjoint des traitements soit pris en compte avec ceux des utilisateurs au regard de la sacre sainte règle du contrôle de proportionnalité.
3. Les conséquences d’une future décision de la CJUE confirmant l’avis commenté
Si la Cour de Justice venait à confirmer l’analyse de l’avocat général, il est clair que l’insertion d’un module social aussi répandu que le bouton « j’aime » emportera des conséquences juridiques pour tout gestionnaire d’un site web au regard du « Règlement général sur la Protection des Données » n°2016/679 entré en vigueur le 25 mai dernier.
Puisque cet usage emportera la qualification de responsable de traitement, le gestionnaire du site internet devra désormais s’enquérir de l’ensemble des obligations inhérentes à une telle qualification et notamment informer préalablement les personnes concernées de l’utilisation d’un tel module aux fins que ces derniers consentent à la transmission de leurs données au réseau social Facebook.
En effet, il convient de rappeler que L’alinéa 1er de l’article 13 du Règlement 2016/679 dispose que le responsable du traitement doit désormais fournir, au moment où les données en question sont obtenues, toutes les informations suivantes :
➢ l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
➢ le cas échéant, les coordonnées du délégué à la protection des données ;
➢ les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
➢ les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
➢ son intention éventuelle d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une protection adéquate desdites données ;
Outre ces informations, l’alinéa 2 de cet article impose également au Responsable de traitement la fourniture d’informations « complémentaires » destinées à « garantir un traitement équitable et transparent », à savoir :
➢ la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
➢ l’existence du droit de solliciter l’accès aux données, leur rectification ou leur effacement ainsi qu’une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
➢ l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
➢ le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
➢ l’existence du droit de diligenter une procédure auprès d’une autorité de contrôle telle que la Commission Informatique et Liberté (CNIL) en France ;
➢ L’existence d’une prise de décision automatisée, « y compris un profilage », ainsi que toutes les informations nécessaires concernant la logique de l’algorithme, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée
En outre, et si la barrière du consentement exprès de l’utilisateur est passée, le responsable de traitement se verra également dans l’obligation de tenir un registre des données collectées « sous [sa] responsabilité » conformément à l’article 30 du RGPD, lequel devra mentionner outre ses coordonnées complètes, sa finalité, les catégories de personnes et des données concernées mais également « une description générale des mesures de sécurité techniques et organisationnelles » (article 30 g) Règlement 2016/679).
Autant de contraintes qui inciteront vraisemblablement certains sites internet à renoncer progressivement au « coup de pouce » de Facebook ou au contraire à modifier de nouveau leur conditions générales d’utilisation ainsi que leur politique de confidentialité.
Ceci semble d’ores et déjà être le cas de certains sites internet qui précisent déjà ne pas utiliser « les plug-ins sociaux fournis clef en main par Facebook » et opter « pour l’inclusion de simples liens, sans tracker [9] .
Reste à savoir si la CJUE accueillera, pouce levé, l’analyse de l’avocat général lors de sa prochaine décision attendue prochainement.
