Pour répondre à cette question, il faut déterminer si une entreprise qui ouvre une page Facebook (une « fan page ») est ou non responsable du traitement des données à caractère personnel collectées via cette page.
Or, la Cour de Justice de l’Union européenne a tranché ce point par l’affirmative ce 5 juin 2018. La Cour, réunie en grande chambre, a suivi en cela les conclusions de l’Avocat général.
Cas soumis à la Cour
En l’espèce, l’autorité de protection des données d’un länder allemand avait enjoint une société dispensant des formations de désactiver sa fan page, au motif qu’elle permettait de collecter et de traiter illégalement certaines données liées aux visiteurs de cette page, au moyen de cookies. En effet, ces cookies sont d’une part utilisés par Facebook pour ’améliorer son système de publicité et d’autre part, par l’administrateur de la fan page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page. Or, ni l’entreprise, ni Facebook n’informaient les visiteurs de la page que le réseau social collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’il traitait ensuite ces informations.
Pour sa défense, la société administratrice de la fan page contestait être responsable du traitement des données opéré par Facebook.
Qu’est-ce qu’un responsable du traitement ?
Selon la directive 95/46 ou le RGPD qui la remplace, le responsable du traitement est celui qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Donc concrètement : est-ce que l’administrateur d’une fan page hébergée sur Facebook détermine, conjointement avec Facebook, les finalités et les moyens du traitement des données personnelles des visiteurs de cette fan page ? Ou encore : est-ce qu’il exerce une influence de droit ou de fait sur ces finalités et ces moyens ?
Raisonnement de la Cour
La Cour de justice et l’Avocat général estiment que, même si l’entreprise qui ouvre une fan page ne négocie pas les conditions du contrat conclu avec Facebook, elle est responsable conjointe du traitement (au côté du réseau social), car :
- en ayant recours à Facebook pour diffuser ses informations, l’administrateur d’une fan page exerce ainsi une influence déterminante sur le déclenchement du traitement de données à caractère personnel des personnes qui consultent cette page. Il dispose également du pouvoir de faire cesser ce traitement en fermant sa page.
- en acceptant les moyens et les finalités du traitement tels que prédéfinis par Facebook, le gestionnaire de la page participe à leur détermination,
- l’administrateur a la possibilité d’influer sur la mise en œuvre concrète de l’outil de statistiques d’audience en le paramétrant (audience cible, tendances en matière d’âge, de sexe, de situation géographique, de situation amoureuse et de profession, style de vie, centres d’intérêt, achats et comportement d’achat en ligne …).
Il est vrai que le cas d’une fan page ne doit pas être traitée différemment d’un site web personnel, qui utiliserait les mêmes outils statistiques. Sinon il suffirait pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel.
Que peut-on tirer de cet arrêt ?
De manière générale :
- une confirmation que la notion de responsable du traitement doit être interprétée largement, tendance lancée par l’arrêt Google Spain,
- il n’est pas nécessaire que chacun des responsable conjoints aient accès aux données. En l’espèce, les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée,
- la détermination des rôles ne découle pas uniquement des clauses et des conditions du contrat conclu, mais du rôle réel des parties.
Concernant les fan pages des réseaux sociaux :
L’administrateur d’une page sur un réseau social est responsable conjoint du traitement, si ce réseau social traite les données des visiteurs de la page, et ce même si l’administrateur laisse les paramètres par défaut et n’utilise pas les outils de statistiques pour recourir à la promotion de sa page.
L’administrateur doit donc respecter toutes les obligations applicables à un responsable du traitement et notamment :
- l’information des personnes concernées,
- la détermination du fondement juridique du traitement (et donc peut-être obtenir un consentement),
- mentionner ce traitement dans son registre des traitements,
- s’agissant de profilage, l’obligation de réaliser une analyse d’impact et de désigner un délégué à la protection des données doit être analysée,
- en tant que responsable conjoint, convenir avec le réseau social de leurs obligations respectives quant au RGPD.
Dans le cas contraire, il commettra une violation du RGPD et pourrait se voir infliger une amende administrative et/ou condamné à fermer sa page, comme dans le cas soumis à la Cour de justice.
Même si responsabilité conjointe ne signifie pas automatiquement responsabilité équivalente des différents opérateurs, l’administrateur de la page pourra aussi être tenu responsable des violations du RGPD commises par le réseau social. Chacun pourra se voir infliger une amende et les victimes des infractions pourront se tourner tant vers l’un que vers l’autre (avec une préférence naturelle pour l’entité située dans leur pays).
Cette analyse pourra être appliquée à d’autres réseaux sociaux que Facebook (Linkedin, Instagram, Twitter…) en fonction du traitement de données réalisé par chaque réseau social.
Concernant Facebook en particulier :
Le réseau social a déjà été condamné en Belgique le 16 février 208 pour l’utilisation illégale des cookies. Facebook a été condamné sous astreinte à cesser de les utiliser mais ne s’y est pas encore conformé, car le réseau social a interjeté appel.
L’Avocat général laisse entendre que l’exploitant d’un site web qui intègre un bouton « like » (qui peut utiliser le service “Facebook Insights” pour obtenir des statistiques sur les utilisateurs de son site et permet la transmission de données, l’installation de cookies et la collecte de données au profit de Facebook) doit aussi être considéré comme un responsable du traitement.
Our advice:
Cette décision va avoir d’importantes répercussions.
L’administrateur d’une fan page Facebook ou d’un site qui permet le partage direct via un bouton “like” est responsable du traitement. Il doit donc respecter toutes les obligations applicables à un responsable du traitement.
Dans le cas contraire, il pourrait se voir infliger une amende administrative et/ou condamné à fermer sa page/son site.
La prudence s’impose !