Responsabilité conjointe
Nous avons déjà eu l’occasion d’expliquer qu’à la suite d’une décision du 5 juin 2018 de la Cour de justice de l’Union Européenne, l’administrateur d’une fan page sur le réseau social Facebook est considéré comme responsable conjoint du traitement, aux côtés de ce réseau social.
Dans une décision du 15 avril 2020, l’Autorité de protection des données (APD) a sanctionné une commune qui ne respectait pas cette jurisprudence.
L’APD rappelle la raison pour laquelle il y a responsabilité conjointe : les réseaux sociaux ne pourraient pas récolter de données à caractère personnel si la commune n’offrait pas aux personnes concernées la possibilité de la contacter via ces plateformes.
Devoir d’information
L’Autorité de protection applique donc cette jurisprudence, et en précise l’application concrète au niveau de la politique de protection des données de la commune.
Elle considère qu’il n’est pas suffisant que cette politique se borne à préciser que le responsable du traitement fait usage de plateformes telles que Facebook, Twitter ou Google Analytics.
La commune expliquait ce caractère laconique par son usage marginal des réseaux sociaux. Ce à quoi l’Autorité de protection des données répond qu’un traitement de données doit toujours respecter le RGPD, même s’il n’est que sporadique, optionnel ou complémentaire à d’autres possibilités (ici à une communication via le site web de la commune).
L’APD reproche à la Commune que les internautes ne soient pas informés de façon transparente :
- sur les finalités de traitement de données par la commune via ces plateformes,
- sur le fondement juridique de ces traitements,
- sur la manière dont ces plateformes traitent à leur tour leurs données.
Ce dernier point n’implique pas que le responsable du traitement doit informer les personnes concernées au sujet de tous les traitements de données qui sont effectués par le réseau social. L’Autorité de protection des données rappelle en effet que, selon la jurisprudence de la CJUE, la responsabilité de l’administrateur de la fan page n’est pas équivalente à celle du réseau social. Cependant, l’administrateur d’une fan page ne peut pas faire reporter toute la responsabilité de l’information des personnes concernées sur le réseau social.
En pratique
Une fois la politique dûment complétée, se pose encore la question de savoir comment la faire figurer concrètement sur la page du réseau social ?
En effet, même si les réseaux sociaux ne se prêtent pas forcément à la publication de ce type de texte, on ne peut pas exiger de l’internaute qu’il doive de lui-même aller consulter sur le site internet de la commune sa politique de protection des données. Nous avons examiné cette question de façon concrète au cours d’un récent webinaire, que vous pouvez visionner ici.
Exigence renforcée vis-à-vis d’une autorité publique
Il est intéressant de noter que l’Autorité de protection des données insiste également sur le modèle que doit jouer une autorité publique, et donc sur sa responsabilité accrue.
Dans le cas d’espèce, l’Autorité de protection des données n’a pas infligé d’amende administrative, dans la mesure où cela aurait été impossible concernant une autorité publique en vertu de la loi du 30 juillet 2018. Par contre, elle condamne la commune à mettre en conformité sa politique en matière de protection des données avec le RGPD dans les trois mois.
Our advice:
Rares sont les entreprises qui ne sont pas présentes sur les réseaux sociaux. Elles sont pourtant tout aussi rares à mentionner ce point dans leur politique en matière de protection des données.
Il faut relever que là n’était pas l’objet initial de l’enquête de l’APD, qui a donc examiné attentivement la police de protection des données de la commune en cause et a relevé spontanément certains manquements.
Il convient donc d’être prudent et de vérifier la conformité des différents documents à la jurisprudence européenne et belge, qui s’étoffe de manière constante. La récente décision relative aux cookies est encore venue le rappeler.
Il est donc judicieux de s’entourer de spécialistes qui tiennent ces évolutions à l’œil.