Une société de droit privé intervenant dans le domaine de l’éducation diffusait des offres de formation au moyen d’une page « fan » hébergée sur Facebook.
Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises. L’auteur de la page fan, une fois enregistré auprès de Facebook, peut utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce réseau social ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature sur le marché des médias et de l’opinion.
Un litige s’éleva entre cette société et l’autorité régionale de protection des données du land Schleswig-Holstein, cette dernière considérant qu’elle devait être considérée comme responsable du traitement alors que la société rejetait cette qualité sur l’opérateur responsable de la collecte des données, à savoir Facebook Inc. et, pour l’Union, Facebook Ireland.
La Cour administrative fédérale d’Allemagne, bien que d’avis que la société en cause ne saurait elle-même être considérée comme étant responsable du traitement de données, tant en application du droit allemand que de la directive 95/46 (Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), décida néanmoins de saisir la CJUE d’une question préjudicielle compte tenu de l’interprétation extensive de la notion de responsable de traitement.
Selon les dispositions de l’article 2, sous d) de la directive 95/46, est un responsable de traitement : « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ».
En l’espèce, la CJUE, dans sa formation la plus solennelle, retient que la société en cause doit être qualifiée de co-responsable de traitement dès lors que l’administrateur de la page « fan » :
- peut obtenir des statistiques établies par Facebook à partir des visites de cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ;
- par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook, afin de collecter des données ;
- a une action de paramétrage lui permettant de définir une audience cible et peut demander à ce que soient collectées et traitées des données démographiques le renseignant notamment sur les tendances d’âge, de sexe, de situation amoureuse, de profession... des visiteurs de sa page fan.
Surtout, la Cour de justice de l’Union européenne rejette l’argument selon lequel l’ensemble des informations communiquées par Facebook Inc. le sont sous forme anonymisée. Selon elle, il y a nécessairement eu collecte préalable des données pour produire les statistiques et en tout état de cause, la directive 95/46 n’exige pas que les co-responsables d’un traitement aient tous accès aux données collectées.
C’est donc la participation de l’administrateur à la collecte des données, dont celles des visiteurs n’ayant pas de compte Facebook, et la définition des orientations du traitement des données par Facebook qui constituent ici les critères de la co-responsabilité.
Le fait d’utiliser les moyens mis à disposition par un réseau social ne permet donc pas de s’exonérer des obligations en matière de protection des données.
Il est rappelé que l’article 4, sous 7) du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD) reprend la définition du responsable de traitement donnée par la directive 95/46. La solution est donc pleinement transposable à l’état du droit depuis le 25 mai 2018.
Par David TRUCHE, avocat fondateur du cabinet DAT-Avocat
David Truche intervient principalement en droit des affaires et droit des nouvelles technologies, il accompagne notamment le développement de jeunes structures dans le domaine du numérique.