Données personnelles : Clarification de la notion de responsables conjoints (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles



Eu flag.png

Axel Beelen

Juin 2018

Source : (@ipnewsbe)



La Cour de justice de l’Union européenne a estimé le 5 juin 2018 que, même si une entreprise qui ouvre une fan page sur un réseau social comme Facebook, ne 
négocie pas les conditions du contrat conclu avec le réseau social, elle est responsable conjointe du traitement (au côté du réseau social).
Cet arrêt risque d’avoir d’importantes répercussions. IPNews.be analyse cette décision pour vous.


La création d'une page « FAN » pour promouvoir ses activités

Des particuliers ou des entreprises, enregistré auprès de Facebook, peuvent créer sur le réseau social des pages « fan ».


Ces pages servent à se présenter aux utilisateurs du réseau social ainsi qu’aux personnes visitant la page fan et à diffuser des communications de toute nature sur le marché des médias et de l’opinion.


Ces pages ont donc un objectif essentiellement de marketing informationnel.


Lorsqu’une personne visite la page « fan », Facebook place, sur l’ordinateur ou sur tout autre appareil des personnes ayant servi à visiter la page fan, des cookies visant à stocker des informations sur les navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés.


Facebook reçoit, enregistre et traite les informations stockées dans les cookies notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services Facebook ».


En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».


Ces traitements de données à caractère personnel visent notamment à permettre :


  1. d’une part, à Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et,
  2. d’autre part, à l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page, à des fins de gestion de la promotion de son activité. Ces statistiques lui permettent de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications.

Grâce à cette connaissance, l’administrateur de la page « fan » pourrait proposer à ses visiteurs un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.


Responsabilité de Facebook …

Selon la Directive 95/465/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ou le RGPD [1] qui la remplace, le responsable du traitement est celui qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.


Aucune des parties n’a mis en doute que Facebook Inc. et, s’agissant de l’Union, Facebook Ireland doivent être regardées comme des responsables du traitement.


En effet, ils déterminent, à titre principal, les finalités et les moyens du traitement des données à caractère personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur Facebook.


…Mais également des administrateurs des pages « FAN »

Les administrateurs des pages « fan » peuvent obtenir des données statistiques anonymes concernant les visiteurs de ces pages et ce à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables.


Ces données statistiques sont collectées grâce à des fichiers témoins (ci-après les « cookies ») comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan.


Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages « fan ».

Grâce à ces cookies, l’administrateur de la page fan peut demander à obtenir – et donc que soient traitées – des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.


Même, s’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques.


Elément important, la Cour énonce que la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. Il se pourrait donc très bien qu’uniquement un des responsables conjoints ait accès aux données personnelles collectées grâce aux actions de l’autre des responsables conjoints.


Dès lors, poursuit la Cour de justice, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan.


Dès lors, cet administrateur doit être, en l’occurrence, qualifié de responsable conjoint au sein de l’Union, avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.


Analyse

Cet arrêt est très important.


Pour la première fois, la Cour se penche sur la notion de « responsables conjoints ».


Bien sûr, comme pendant quelques années encore, la Cour se penchera sur l’interprétation à donner à des notions reprises dans la directive de 1995 et non dans le RGPD.


Toutefois, puisque la plupart des notions sont les mêmes, les décisions de la Cour de justice sont à regarder de près.


Dans cette décision, la Cour a eu à se pencher sur la situation somme toute habituelle des pages « fan » créées par des particuliers ou par des entreprises sur Facebook pour promouvoir leurs services et activités.


A cette occasion, la personne/entreprise souscrit aux conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative. Ce contrat est un contrat d’adhésion en ce sens que la personne/entreprise ne peut le modifier aucunement.


La question portait sur la qualification de la personne/entreprise créatrice de la page « fan » : responsable du traitement ou non. Il semble que la qualification de Facebook comme responsable du traitement (seul ou conjointement avec l’entreprise allemande) n’ait jamais posé de question.


Selon la Cour de justice, de « par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan », l’entreprise qui a créé la page fan doit aussi être considérée comme responsable et donc « conjoint » avec Facebook des différents traitements de données personnelles.


L’entreprise créatrice de la page « fan » et Facebook sont donc tous les deux des responsables conjoints et ceci dans un objectif général de protection au mieux des droits des personnes concernées.


Ceci entraîne donc des conséquences multiples sous l’empire actuel du RGPD pour les deux responsables conjoints: établir et tenir à jour à registre de ses activités de traitements, nommer un Délégué à la Protection des Données (si c’est nécessaire), réaliser des analyses d’impact (encore une fois si c’est nécessaire), etc.


Et surtout, respecter les obligations de l’article 26 du RGPD relatif aux responsables conjoints: conclure une convention entre l’entreprise et Facebook clarifiant les obligations de chacun des responsables, fournir aux personnes concernées les « grandes lignes » de cet accord…


Il s’ensuit aussi que tant Facebook que l’entreprise en question peut être destinataire des décisions prises par les autorités de contrôle nationales (il s’agissait ici d’une demande de désactivation de la page fan concernée).


Chacun des responsables peut aussi être tenu pour responsable des manquements commis par l’autre partie et poursuivi de ce chef par les victimes de ces manquements (quitte à ce que les responsables s’arrangent par après pour la correcte répartition des dommages et intérêts alloués auxdites victimes).


L’amende administrative pourra ici s’élever jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).


Les formulations choisies par la Cour de justice dans cet arrêt sont suffisamment larges que pour croire que sa décision aurait été la même sous l’empire du RGPD.

D’autant plus que les notions de responsables de traitement et de responsables conjoints n’ont pas changé.