Comme une prémonition, la Commission nationale consultative des Droits de l’homme dans son avis « sur la protection de la vie privée à l’ère numérique » du 22 mai 2018 avait émis « l’idée d’une plus grande souveraineté numérique de l’Union européenne » afin de permettre d’imposer « des droits fondamentaux et un ordre public numérique à [des opérateurs] qui se jouent des différences entre les systèmes juridiques » [1].

La récente affaire « Cambridge Analytica » mettant en cause une société ayant collecté les données de pas moins de 50 millions d’utilisateurs à leur insu et de leur contacts Facebook, a mis en lumière les carences imputables aux réseaux sociaux quant à la protection des données de leurs utilisateurs et incite davantage à la plus grande prudence dès lors que leur collecte et leur traitement constituent des outils de commercialisation au profit de très nombreuses sociétés parmi lesquelles règnent désormais les célèbres GAFA .

L’arrêt rendu par la Cour de Justice le 5 juin 2018 semble donc se conformer à une politique de renforcement de la protection des droits des données personnelles des internautes vis – à vis de tels opérateurs, en retenant la responsabilité de Facebook en tant que responsable de traitement mais précise également que la responsabilité « d’un organisme, en sa qualité d’administrateur d’une page hébergée sur un réseau social » peut être retenue dès lors que celui-ci a eu « recours à ce réseau social pour diffuser son offre d’informations ».

Les faits.

Une société allemande dénommée Wirtschafttsakademie ayant pour objet social la dispense de services de formation, assurait la promotion de ces derniers au moyen d’une page fan hébergée sur le site Facebook.

En sa qualité d’administrateur de la page fan, la société Wirtschafttsakademie bénéficiait des fonctionnalités du réseau social aux fins de diffuser des communications de toute nature sur « le marché des médias et de l’opinion » tant auprès des utilisateurs de Facebook, qu’auprès des visiteurs de la page concernée [2].

Wirtschafttsakademie pouvait ainsi obtenir des données statistiques anonymes sur les visiteurs de sa page grâce à une fonction mise à la disposition des administrateurs par Facebook dénommée « Facebook Insight ».

Les données étaient collectées au moyen de cookies comportant un code d’utilisation unique, lequel restait actif « pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan ».

Ce code utilisateur pouvait être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, était collecté puis traité dès l’ouverture de la page fan.

Saisie de ces faits, l’Autorité de protection des données du Land du Schleswig-Holstein a, aux termes d’une décision rendue le 3 décembre 2011, ordonné à la société Wirtschafttsakademie de procéder à la désactivation de la page litigieuse dès lors que celle-ci, au même titre que la société Facebook, n’avait pas informé les utilisateurs de la collecte et du traitement de leurs données personnelles opérés par Facebook.

La société Wirtschafttsakademie a par la suite contesté cette décision devant le Tribunal administratif allemand, en soutenant que le traitement de données réalisé par la société Facebook ne pouvait lui être imputé et qu’elle n’avait pas mandaté cette dernière aux fins de procéder au traitement des données « qu’elle contrôlerait ou qu’elle pourrait influencer ».

Le Tribunal administratif a accueilli la demande de la société allemande aux termes d’un arrêt rendu le 9 octobre 2013, estimant que « l’administrateur d’une page fan sur Facebook n’était pas un organisme responsable » au sens de la loi allemande.

L’Autorité de protection des données a interjeté appel de cette décision auprès de la Cour administrative fédérale allemande, laquelle a décidé de surseoir à statuer et de soumettre à l’appréciation de la Cour de Justice de l’Union Européenne les questions suivantes :
 La directive 95/46 encadre-t-elle la responsabilité d’un organisme qui n’est pas le responsable de traitement au sens de l’article 2 d) ?
 L’Autorité de contrôle d’un État membre est-elle habilitée à exercer ses prérogatives à l’encontre d’un établissement dont la société mère est établie en dehors de l’Union Européenne, dès lors que celui-ci est situé sur son territoire et qu’il assure uniquement la promotion et la vente d’espaces publicitaires, alors même que seul un autre établissement établi dans un autre État membre ( en l’espèce l’Irlande) est le responsable exclusif du traitement des données à caractère personnel sur l’ensemble de l’Union Européenne.

La CJUE répond par l’affirmative aux deux questions.

I. La Responsabilité d’un administrateur de page au regard du traitement des données considérées.

La CJUE, tout en rappelant que la société de droit américain Facebook et sa filiale Facebook Irlande « doivent être regardées » comme des responsables de traitement tant au regard des données à caractère personnel des utilisateurs du réseau social que de celles des visiteurs de la page litigieuse, s’interroge sur la contribution de la société Wirtschafttsakademie quant aux finalités et aux moyens d’un tel traitement [3].

Ainsi et au moyen d’une analyse rigoureuse des pièces soumises à son examen, la Cour constate que les traitements de données en cause sont réalisés grâce au placement « par Facebook, sur l’ordinateur ou sur tout autre appareil des personnes ayant visité la page fan, de cookies visant à stocker les informations sur les navigateurs web » [4]

Or, si de tels traitements permettent à Facebook d’étendre et perfectionner son système de publicité sur son réseau, ils permettent également à l’administrateur de la page « d’obtenir des statistiques établies par Facebook à partir de visites de cette page, à des fins de gestion de la promotion de son activité » visant à connaître le profil des visiteurs.

Ainsi et par la création d’une telle page, la CJUE estime que l’administrateur permet à la société Facebook de placer des cookies sur le terminal de l’utilisateur ayant visité la page litigieuse et ce, même si celle-ci ne dispose pas d’un compte « Facebook ».

Par cette action de « paramétrage », l’administrateur va cibler, en fonction de son audience et de ses objectifs de gestion ou de promotion de ses activités, une catégorie d’internautes permettant de caractériser les finalités et les moyens d’un traitement de données à caractère personnel.

La Haute juridiction communautaire relève à ce titre que l’administrateur pouvait demander à obtenir « des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession » mais également des informations sur le style de vie ou les centres d’intérêt de celle-ci « ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques » lui permettant de savoir où effectuer des opérations promotionnelles [5].

De ce fait et à raison d’un tel ciblage, la Cour a jugé que la société Wirtschafttsakademie participait à « la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan » impliquant une qualification de responsable au sens de l’article 2 d) de la Directive 95/46 conjointe avec la société Facebook Ireland.

Ainsi et en admettant une responsabilité conjointe de l’administrateur d’une page internet, la CJUE vise manifestement à renforcer les droits des utilisateurs et à garantir à ces derniers un haut niveau de protection de leurs données personnelles.

A ce titre et même si la décision a été rendue sous l’empire de la Directive 95/46 CE, la CJUE entend que celle-ci s’inscrive dans la droite ligne du RGPD lequel met désormais à la charge de tout Responsable de traitement situé sur le territoire de l’Union Européenne une série d’obligations visant à garantir les droits de l’utilisateur.

Ainsi et à la lecture de la décision commentée, l’on comprend que l’objectif premier de la Cour est « d’assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan » [6] et d’apprécier plus largement la qualification de « responsable de traitement » dès lors que « différents opérateurs concernés par un traitement de données à caractère personnels (…) peuvent être impliqués à différents stades de ce traitement et selon différents degrés ». [7]

Un administrateur, bien qu’utilisateur d’une plateforme mise en place par un réseau social, opérant un traitement de données en dehors d’un cadre strictement « personnel et domestique » deviendra ainsi un responsable de traitement soumis aux obligations de la directive 95/46 et désormais du RGPD.

Une telle position n’est pas nouvelle puisque la CJUE l’avait déjà adopté au sujet d’une personne physique dans son arrêt du 6 novembre 2003 Bodil Lindqsvit (C-101/01).

Pour autant et au regard des exigences posées par le RGPD, cette qualification impliquera que tout opérateur susceptible de traiter des données personnelles puisse se conformer aux articles 13 et 14 du Règlement instaurant une obligation d’information à l’égard des personnes concernées avant tout traitement.

De même, un tel traitement de données sera désormais subordonné au consentement exprès de la personne concernée, lequel devra d’ailleurs être justifié par le Responsable de Traitement conformément à l’article 4 alinéa 11 du Règlement communautaire.

En outre et s’agissant d’un traitement de données à grande échelle, l’analyse d’impact visée à l’article 35 du RGPD prendra ici tout son sens puisqu’un tel traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

En effet, il convient de rappeler dans la décision commentée que l’administrateur de la page pouvait avoir accès à « des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession » mais également des informations sur le style de vie ou les centres d’intérêt de celle-ci « ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques ».

Autant d’informations dont le traitement nécessitera en amont :
 d’identifier les finalités ;
 d’effectuer un contrôle de proportionnalité au regard du but poursuivi ;
 d’identifier les risques éventuels pour les droits et les libertés des personnes concernées ;
 de préciser les mesures envisagées pour endiguer les risques susceptibles de survenir.

L’élargissement de la qualification de responsable de traitement par la CJUE, jumelé au renforcement des obligations y afférentes par le RGPD laissent ainsi entrevoir un régime de responsabilité nettement plus accru des différents intervenants amenés à exercer une activité sur internet.

II. Un renforcement de l’autonomie des autorités de contrôle.

Outre l’élargissement de la qualification liée à la notion Responsable de traitement, la CJUE vient également rappeler que l’Autorité de contrôle en charge de la protection des données à caractère personnel est compétente pour assurer le respect des règles y afférentes tant à l’égard de l’administrateur que de la société Facebook Germany et ce, même si la société mère ou la filiale en charge du traitement demeurent dans un pays tiers ou dans un autre pays de l’Union.

A ce titre, la Cour juge clairement que « lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confèrent l’article 28 paragraphe 3 de cette directive à l’égard d’un établissement situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre » [8]

Au regard de la motivation de la Cour, l’Autorité de contrôle est ainsi compétente pour apprécier, de manière totalement autonome par rapport à son homologue étranger, la légalité d’un traitement de données et a toute compétence pour exercer ses prérogatives à l’égard de tout responsable situé sur son territoire sans que cela nécessite une information préalable de l’autorité de contrôle d’un autre État membre.

L’autonomie ainsi conférée aux Autorités de contrôle va donc permettre de simplifier les mises en cause des sociétés et d’élargir également le champ d’application de la législation relative à la protection des données nouvellement applicable.

Une telle liberté donnée aux Autorités de contrôle devrait ainsi permettre de s’assurer de la parfaite conformité du traitement des données aux exigences du RGPD et de pouvoir à défaut, mettre en œuvre les pouvoirs de contrôle et de coercition dont elles disposent au visa de l’article 58 du Règlement communautaire, aux fins d’enjoindre à toute personne concernée de se conformer à ces obligations et de mettre fin au manquement.

La lecture de cette décision permet également de penser que la Cour de Justice a, d’ores et déjà entendu appliquer un principe de cohérence et d’uniformité quant à la bonne application des dispositions du RGPD par l’ensemble des autorités de contrôle des États Membres.

La Commission nationale consultative des droits de l’homme peut donc progressivement se rassurer, la CJUE entend lutter activement contre « le traitement massif des données (…) susceptible de compromettre le respect de la vie privée » dans le passage à l’âge de « l’homo numericus ».