Quelles responsabilités pour l'administrateur d'une page Facebook ? (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
France > Droit privé > Droit du numérique (fr) >  E-commerce
Fr flag.png


Murielle Cahen, Avocat au Barreau de Paris
Janvier 2018



Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées » [1]. Mais qu’en est-il, dans ce cas, de la responsabilité des administrateurs de pages Facebook ?


Aujourd’hui, nous produisons toujours plus de données, par le biais des objets connectés, des réseaux sociaux, et autres pratiques liées à l’émergence quotidienne de nouveaux outils numériques.


Face à cette tendance croissante, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager.


C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.


L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.


En dehors des questions relatives aux instances territoriales compétentes en la matière, c’est bien la responsabilité de l’administrateur d’une page Facebook quant aux données personnelles qu’il exploite qui nous intéresse ici.


En effet la Cour de justice de l’Union européenne (« CJUE »), qui n’a pas encore arrêté sa décision, devra prochainement assumer son rôle de « juge européen de la protection des données », à l’heure où seuls des avis sans conséquences définitives ont été émis.


Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).


La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes, au regard de la protection des données personnelles des internautes, qu’elles réagissent au déroulement de l’affaire (A)en dégageant un principe de coresponsabilité des acteurs en présence (B).

Le fond de l’affaire

Pour comprendre le parti-pris des juges européens, il convient tout d’abord de retracer les faits allégués.


En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker installé sur leur disque dur, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.


Ici, c’est cette pratique non consentie du « webtracking » qui fait l’objet du litige, « utilisée notamment dans le but d’optimiser et de configurer de manière plus effective un site web », tout en permettant aux publicitaires de « s’adresser de manière ciblée aux différents segments du public » [2].

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page, comme l’âge ou encore les pratiques sur le réseau.


Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données [1] ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

La société introduit cette fois-ci un recours contre ces décisions devant le Verwaltungsgericht (tribunal administratif allemand), qui souligne que l’on « entend par organisme responsable toute personne ou tout organisme qui collecte, traite ou utilise des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance » au sens de l’article 11 du BDSG [3], la loi fédérale sur la protection des données, excluant donc la société de toute responsabilité en ce sens.


Après appel de l’ULD à l’encontre cette décision, rejeté par le tribunal administratif supérieur, ainsi qu’un recours en révision également rejeté, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

À l’heure actuelle, seul l’avocat général s’est prononcé sur la question. Le 24 octobre dernier, et s’appuyant sur les articles 2, 4 et 28 de la directive 95/46/CE, il soutenait effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page ».

La reconnaissance d’une coresponsabilité

Sans lier les juges, libres d’appuyer leur décision en vertu d’une interprétation propre, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité, concernant aussi bien l’entreprise que Facebook.


À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques que constituent Facebook insights et autres cookies. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».


De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker : en effet, elle peut « à l’aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d’affiner le groupe de personnes à destination duquel des informations relatives à son offre commerciale seront diffusées, mais surtout de designer les catégories de personnes qui vont faire l’objet d’une collecte de leurs données à caractère personnel par Facebook ».


Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées »[4].


C’est précisément sur ce point que les conclusions insistent, en indiquant que la responsabilité quant au traitement des données et l’usage qui peut en être fait tiens les deux parties en cause, qui « poursuivent chacune des finalités étroitement liées » [5].


D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».


Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B).


L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, affirme en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » [6].


De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.


Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.


Pour rappel, cette tendance fait écho à la sanction infligée à Facebook par le régulateur espagnol des données personnelles, le 11 septembre dernier, pour la collecte de données sensibles des internautes visitant les pages dotées d’un tel module, sans leur consentement et à des fins de ciblage publicitaire.


Dans notre cas, l’avocat ne fait pas expressément référence à cette affaire, mais plutôt à celle encore pendante devant la CJUE dite « Fashion ID » (C-40/17) [7], qui relate cependant des mêmes faits.


Ainsi, il n’y aurait pas de différence fondamentale « entre la situation d’un administrateur de page et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking ».


Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.


Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».


Néanmoins, ce dernier soutient que de l’exigence d’une coresponsabilité ne découle pas un régime de responsabilité égal.


Cette prise de position est affirmée dans la lignée de celle du Groupe 29 (constitué de la CNIL et de tous ses équivalents européens), selon laquelle « lorsqu’il y a une pluralité d’acteurs […] un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données ».


À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent. Il impose en effet de redéfinir les contours du responsable de traitement.


Le RGPD , qui donne une définition du responsable de traitement identique à celle mise en avant par la directive 95/46 qu’il remplace, est un texte ayant vocation à encadrer le plus « rationnellement possible » le traitement des données personnelles.


Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.


Il est ainsi fait preuve d’une certaine souplesse quant à l’établissement du responsable de traitement : d’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des (https://www.murielle-cahen.com/publications/p_donnees.asp données] personnelles de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.


D’autres argumenteront, assez ironiquement, « [qu’à force] de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement » [8].


Quoi qu’il en soi, l’importance d’un tel arrêt est capitale, et la CJUE devrait en ce sens peser ses mots et faire apparaître une tendance claire, afin de clarifier une situation au cœur des enjeux du prochain grand texte européen en la matière.


Pour lire une version mobile de l'article,cliquez sur responsabilité de l'adminstrateur de Facebook


Références