L’administrateur d’une page Facebook est coresponsable avec le réseau social des traitements mis en œuvre à l’occasion de la visite de ladite page.
Contexte de cette décision
Cette décision de la Cour de justice de l’Union européenne du 5 juin 2018 (1) fait suite à une question préjudicielle de la Cour fédérale allemande et intervient dans le cadre d’un litige opposant l’autorité allemande de protection des données du land du Schleswig-Holstein un organisme de formation.
L’organisme de formation offre des services au moyen d’une page « fan » hébergé par Facebook. Les administrateurs de pages « fan » peuvent obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulé Facebook Insight mise gratuitement à leur disposition.
Ces données sont collectées via des cookies déposés par Facebook à l’occasion de la visite de cette page, sur l’ordinateur de la personne concernée.
En 2011, l’organisme de formation a été condamné par l’autorité allemande de protection des données du land du Schleswig-Holstein à désactiver sa page « fan » sous peine d’astreinte au motif que ni elle, ni Facebook n’informaient les visiteurs des traitements réalisés à l’aide des informations collectées par l’intermédiaire de ces cookies. L’organisme a contesté cette décision qui après une longue procédure a donné lieu à l’arrêt de la Cour de justice du 5 juin 2018.
La question préjudicielle
La question posée à la Cour était de préciser si l’administrateur d’une page Facebook détermine ou non, conjointement avec Facebook, les finalités et les moyens du traitement et peut à ce titre être qualifié de coresponsable du traitement.
L’analyse de la cour
Pour répondre positivement à cette question, la Cour a mis en avant plusieurs critères.
D’abord l’existence d’un contrat spécifique relatif à l’ouverture d’une page entre le réseau social et l’administrateur. En acceptant ce contrat, la Cour considère que l’administrateur souscrit à ce titre aux conditions d’utilisation de cette page, y compris à la politique des cookies.
Ensuite, la Cour souligne que l’administrateur en créant sa page offre à Facebook la possibilité de placer des cookies sur les appareils utilisés par la personne concernée pour la visiter, que cette personne dispose ou non d’un compte sur Facebook.
Enfin, l’organisme pour mesurer son audience sur sa page Facebook doit procéder au paramétrage de ses statistiques de mesures d’audience. Il doit en particulier définir :
- son audience cible : notamment déterminer des tendances en matière d’âge, de sexe, de situations amoureuse et de profession,
- ses objectifs de gestion ou de promotion de ses activités via la collecte de données concernant les achats et le comportement d’achat en ligne des visiteurs, les catégories de produits ou de services qui les intéresse le plus et
- des données géographiques permettant de savoir où effectuer des promotions ou organiser des événements.
Dès lors, la Cour considère que ce paramétrage « influe » et « contribue au traitement des données à caractère personnel des visiteurs de la page ». De par cette autonomie et ce pouvoir de fait, il y a lieu de considérer que l’administrateur participe à la détermination des finalités et des moyens du traitement de manière conjointe avec Facebook.
La Cour affirme cependant que le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données effectué par le réseau. C’est donc bien l’action de paramétrage et les choix opérés par l’administrateur qui tendent à lui donner cette qualification.
A noter enfin que le fait que les statistiques d’audience établies par Facebook soient transmises à l’administrateur de la page de manière anonymisée est sans effet sur la décision, l’établissement de ces statistiques nécessitant la collecte et le traitement de données personnelles.
Quelles actions à court terme pour les administrateurs d’une page Facebook ?
Il apparait nécessaire pour l’organisme qui créé sa page Facebook et détermine ses cibles et mesures d’audience à l’instar de l’organisme de formation de :
- inscrire ce traitement dans son registre, s’il est tenu d’établir un registre
- procéder à l’information des personnes concernées notamment en affichant une politique de protection des données sur sa page.
En cas de coresponsabilité, l’article 26 du RGPD (2) prévoit que les coresponsables conjoints définissent par voir d’accord leurs obligations respectives et que les grandes lignes de cet accord sont mises à disposition des personnes concernées. Il apparait cependant difficile de conclure ce type d’accord avec Facebook. Il est probable qu’il faudra attendre la publication de nouvelles conditions générales.
Quelles conséquences en termes de responsabilités des plateformes ?
La Cour rappelle que le fait pour un organisme « d’utiliser la plateforme mise en place par Facebook afin de bénéficier des services y afférents ne sauraient l’exonérer du respect de ses obligations » en matière de protection des données personnelles. C’est donc une analyse au cas par cas qui doit être effectuée afin de déterminer la part d’autonomie et le pouvoir de fait de l’organisme par rapport au traitement de données mis en œuvre par la plateforme et donc les responsabilités réciproques des parties.
En l’espèce, l’administrateur de la page détermine parmi les catégories qui lui sont proposées par Facebook, les données que la plateforme doit collecter. Dès lors, l’administrateur dans la limite de ce que lui autorise Facebook participe à la définition des données collectées et donc des moyens du traitement. La solution aurait sans doute été différente si l’organisme n’avait pas eu la possibilité de paramétrer les données collectées.
En tout état de cause et comme le rappelait l’avocat général dans ses conclusions (3), la notion de coresponsabilité n’implique pas de définir de manière équivalente les finalités et les moyens d’un traitement. Bénéficier de la finalité et définir les données collectées peut donc suffire pour établir une coresponsabilité.
La Cnil avait déjà envisagé des situations de coresponsabilités notamment s’agissant des opérateurs de Cloud computing (4). Elle pourrait cependant, suite à cette décision, élargir cette position à d’autres plateformes.
Cet arrêt pourrait bien évidemment avoir une influence sur la doctrine de la Cnil en matière de cookies mais également en matière d’outils ou modules par exemple de lutte contre la fraude dans lesquels les éditeurs permettent à leurs clients de paramétrer et choisir des critères parmi une liste qu’ils déterminent initialement eux-mêmes.
Aurélie Banck
Lexing Conformité RGPD Banque Assrance
Céline Avignon
Lexing Marketing et publicité électroniques
(1) CJUE du 5 juin 2018 affaire C‑210/16.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données RGPD).
(3) Conclusions de l’avocat général présentées le 24 octobre 2017 dans l’affaire C‑210/16.
(4) Recommandations de la Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing.