Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Ce que l’arrêt de la CJUE du 5 juin 2018 va changer pour les administrateurs de pages Facebook.

Par Barbara Bertholet et Guillaume Denais, Avocats.

La Cour de Justice de l’Union Européenne (ci-après « CJUE ») vient de rendre un arrêt intéressant les administrateurs de « Fanpages ». La CJUE s’est ainsi prononcée sur l’interprétation de la notion de responsable de traitement, telle qu’initialement définie dans la Directive, dans le cadre d’une « Fanpage » d’une société privée hébergée sur le site de Facebook. L’intérêt de cet arrêt réside dans le fait que, quoique rendu sous l’empire de la Directive 95/46/CE [1] remplacée aujourd’hui par le Règlement Général sur la Protection des Données [2] (ci-après « RGPD »), son enseignement reste valable pour l’avenir. Quel est-il ?

L’administrateur d’une « fanpage » hebergée sur Facebook peut-il être considéré comme responsable du traitement de données à caractère personnel ?

Afin de comprendre le raisonnement de la CJUE, il est indispensable de rappeler certaines notions.

L’administrateur d’une « Fanpage » est la personne physique ou morale, enregistrée auprès de Facebook pour créer une page de présentation et « diffuser des communications de toute nature sur le marché des médias et de l’opinion ». [3]

Une fois créée, la « Fanpage » permet à son administrateur, par l’intermédiaire de l’outil « Facebook Insight », d’obtenir des statistiques d’audience à des fins de ciblage. Très classiquement, ces mesures d’audience sont effectuées par le dépôt de cookies, qui collectent les données personnelles des visiteurs de la « Fanpage ».
Le responsable de traitement est « la personne physique ou morale […] qui seul, ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». [4]
 
En l’espèce, la CJUE adopte une interprétation extensive de la notion de responsable de traitement et considère que l’administrateur d’une « Fanpage » hébergée sur Facebook, est, avec Facebook, conjointement responsable du traitement des données des visiteurs de sa page.
 
Cette solution qui peut sembler sévère pour l’administrateur d’une « Fanpage », est justifiée par la Cour à plusieurs égards.

La CJUE estime ainsi que l’administrateur de la « Fanpage » exerce une influence dans la détermination des finalités et des moyens du traitement. Si, de prime abord, il semble que Facebook soit à l’origine de l’outil « Facebook Insight » permettant le traitement, la CJUE juge que la création d’une « Fanpage » implique de la part de son administrateur une action positive de « paramétrage, en fonction, notamment de son audience cible ainsi que des objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement de statistiques ». [5]

Au surplus, les données statistiques d’audience, résultat du traitement réalisé via l’outil « Facebook Insight » profitent directement à l’administrateur de la « Fanpage ». La CJUE ajoute que le fait que les données ne soient transmises à l’administrateur qu’après anonymisation est sans incidence sur la qualification de responsable du traitement. [6]

Attention, toutefois, la reconnaissance d’une responsabilité conjointe n’implique pas une responsabilité à parts égales. La CJUE précise que le niveau de responsabilité est évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. [7]. Ainsi, les co-responsables du traitement peuvent être impliqués dans un même traitement de données à caractère personnel à des stades et à des degrés différents. [8]

Par conséquent, et lorsqu’il s’agit des sanctions, la Cour semble à nouveau introduire une différenciation entre le responsable du traitement à titre principal, qui serait vraisemblablement Facebook, et le responsable de traitement secondaire, l’administrateur de la « Fanpage ».

Quel impact dans le cadre de la réglementation issue du RGPD ?

Le RGPD n’a pas modifié la définition du responsable de traitement. Ainsi, et bien que cette solution ait été rendue sous l’empire de la Directive, elle conserve tout son intérêt au regard de la nouvelle règlementation sur la protection des données personnelles.

C’est pourquoi, nous attirons votre attention sur les conséquences qui découlent de cette solution si vous êtes l’administrateur d’une Fanpage hébergée sur Facebook.

La reconnaissance de la qualité de responsable de traitement implique que l’administrateur de la page ne peut s’exonérer du respect de ses obligations en matière de protection des données à caractère personnel. En effet, le statut de responsables conjoints de traitement est expressément envisagé à l’article 26 du RGPD. Il en résulte que les co-responsables doivent prévoir la répartition de leurs obligations. Il devra ainsi être notamment défini, qui de Facebook ou de l’administrateur de la « Fanpage » doit recueillir le consentement des visiteurs de la « Fanpage » pour le dépôt de cookies sur leur terminal et les informer des finalités de ce traitement.
On peut imaginer que les juristes de Facebook vont s’emparer du sujet. Les administrateurs de « Fanpages » devront être vigilant …
Pour mémoire, l’enjeu n’est pas symbolique, puisque l’administrateur d’une « Fanpage » hébergée sur Facebook s’expose à des sanctions financières qui peuvent en théorie atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Intéressant : le lendemain de l’arrêt ci-dessus commenté de la juridiction européenne, le Conseil d’État a rendu en France un arrêt précisant que l’utilisation de cookies est un traitement de données personnelles qualifiant ainsi l’éditeur d’un site internet, utilisant ou autorisant le dépôt de cookies par des tiers, de responsable du traitement [9]. Ceci n’est pas un scoop, mais il est intéressant de noter que même les juridictions administratives s’attèlent à l’interprétation de la règlementation applicable en matière de protection de données personnelles…

Barbara BERTHOLET
Avocat Associée
Guillaume DENAIS
Avocat
Cabinet ADAMAS
https://www.adamas-lawfirm.com/

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

63 votes

Notes :

[1Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/CE (règlement général sur la protection des données)

[3Point n°15 de l’arrêt commenté.

[4Article 2, sous d) de la Directive 95/46/CE

[5Point n°36 de l’arrêt commenté.

[6Point n°38 de l’arrêt commenté.

[7Point n°43 de l’arrêt commenté

[8Points n°75 et 76 des conclusions de l’Avocat général, M. Yves BOT, présentées le 24 octobre 2017.

[9CE 6 juin 2018, req. N°412589, point 11