Le 5 juin 2018, la Cour de Justice de l’Union Européenne a rendu une décision concernant la directive 95/46 du 24 octobre 1995 sur la protection des données personnelles.
En l’espèce, une société allemande proposait des services de formation, au moyen d’une page « fan » sur le réseau social Facebook. Via l’outil Facebook Insight, qui dépose des cookies sur l’ordinateur des visiteurs, elle pouvait donc récolter des données statistiques anonymes sur les utilisateurs de la page.
En 2011, l’autorité régionale indépendante de protection des données ordonne à la société de fermer sa page « fan ». Elle estime que ni la société, ni Facebook n’ont informé les visiteurs de la présence de cookies, et de la collecte et du traitement de données personnelles les concernant.
La société proteste, considérant que c’est Facebook, et non elle, qui effectue le traitement des données personnelles en question, et qu’elle n’a pas chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. L’autorité, estime-t-elle, aurait donc dû agir directement contre Facebook.
L’autorité régionale a rejeté sa demande, mais le tribunal administratif a annulé la décision, de même que la juridiction d’appel. A son tour saisie, la cour administrative fédérale a annulé la décision de l’autorité, tout en saisissant la Cour de Justice de l’Union Européenne pour des questions préjudicielles.
Dans son arrêt du 5 juin, la CJUE commence par rappeler qu’il ne fait aucun doute que Facebook doit être regardé comme étant un responsable de traitement. En ce qui concerne un administrateur d’une page, il doit également être considéré comme étant un responsable de traitement, dans la mesure où en créant sa page, il « offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook ». L’administrateur va donc pouvoir, en paramétrant sa page, « définir les critères à partir desquels les statistiques doivent être établies (par l’outil Facebook Insight) et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook ».
Par conséquent selon la CJUE, « l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données au caractère personnel des visiteurs de sa page ».
2 éléments d’importance sont à noter :
- Peu importe comme en l’espèce que l’administrateur ne reçoive que des données anonymes, car ainsi que le rappelle la Cour « la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées ».
- Surtout, cette décision est une réponse à une question préjudicielle concernant la directive données personnelles de 1995, et non le RGPD. Il conviendra de voir si la même décision sera retenue un jour concernant ce nouveau texte, qui a vocation à remplacer la directive de 1995 et est entré en vigueur le 25 mai dernier.
Julien Andrieu pour ATurquoise
Sources : https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081fr.pdf ; http://curia.europa.eu/juris/document/document_print.jsf?doclang=FR&text=&pageIndex=0&part=1&mode=req&docid=202543&occ=first&dir=&cid=573257
This post is also available in: French
Comments are closed.