L’administrateur d’une page fan Facebook co-responsable du traitement
Par une décision du 5 juin 2018 la Cour de Justice de l’Union européenne (CJUE) considère que l’administrateur d’une page fan hébergée sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page.
Contexte de la décision
Cette décision intervient à l’occasion d’une question préjudicielle posée par la Cour administrative fédérale allemande quant à l’interprétation de la Directive 95/46 sur la protection des données personnelles (aujourd’hui abrogée par l’entrée en vigueur du Règlement (UE) 2016/679 dit "RGPD"), dans le cadre d’un litige opposant un organisme de formation privé allemand à l’autorité régionale indépendante de protection des données du Schleswig-Holstein.
L’organisme de formation propose des services notamment via une page fan Facebook dont il est l’administrateur ce qui lui permet, grâce à la fonction gratuite Facebook Insight, d’obtenir des données statistiques anonymes sur les visiteurs de sa page.
Facebook procède à la collecte de ces données en plaçant des cookies sur l’ordinateur des visiteurs des pages fan comportant chacun un code utilisateur unique qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook.
Cependant, l’autorité de contrôle régionale, a, par une décision du 3 novembre 2011, ordonné la désactivation de la page fan de l’organisme de formation au motif que ni ce dernier ni Facebook n’informaient les visiteurs des traitements réalisés à l’aide des informations collectées par l’intermédiaire de ces cookies.
L'organisme de formation, ne s'estimant pas responsable du traitement, a contesté cette décision et c'est au terme d'une longue procédure, que la question suivante fut posée à la Cour.
Question préjudicielle posée à la Cour
La question préjudicielle posée à la CJUE était celle de savoir si l’administrateur d’une page Facebook participe à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan et s'il peut, par conséquent, être considéré comme coresponsable du traitement.
L'avis de l'avocat général
Alors que les juridictions allemandes estimaient que seul Facebook était le responsable du traitement et avaient exclu la responsabilité que l’organisme de formation, l’avis de l’avocat général, qui n’avait pas manqué de surprendre, tendait à reconnaître une responsabilité conjointe de l’administrateur de la page fan dans le traitement des données des visiteurs de sa page.
La décision de la CJUE
La Cour va finalement suivre l’avis de l’avocat général en se fondant sur plusieurs critères.
Tout d’abord, elle relève que le contrat conclu entre le réseau social et l'administrateur par la création de la page, implique l'acceptation par l’administrateur des conditions d’utilisation de cette page, y compris de la politique des cookies.
La Cour relève ensuite que ces traitements de données à caractère personnel visent à permettre, d’une part, à Facebook, d’améliorer son système de publicité, et d’autre part, à l’administrateur de la page d’obtenir des statistiques établies par Facebook à partir des visites à des fins de gestion de la promotion de son activité.
Or à la différence d’un utilisateur classique, l’administrateur d’une page fan, par sa création, offre à Facebook la possibilité de placer des cookies sur l’ordinateur des visiteurs.
De plus, l’administrateur, par la création de cette page, procède à une action de paramétrage en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités.
Plus précisément, l’administrateur en définissant les critères à partir desquels les statistiques sont établies, peut demander à Facebook des données démographiques concernant son audience cible, et notamment des tendances en matière d’âge, de sexe de situation amoureuse, des informations sur le style de vie et les centres d’intérêts ainsi que sur le comportement d’achat en ligne des visiteurs de sa page.
La Cour précise en outre, qu’il importe peu que ces statistiques soient transmises à l’administrateur uniquement sous une forme anonymisée dès lors que l’établissement de ces statistiques repose sur la collecte préalable au moyen de cookies installés sur les appareils des visiteurs et sur le traitement de leurs données personnelles à de telles fins.
La Cour souligne que la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits des personnes, conformément aux exigences de la Directive 95/46 sur la protection des données.
Cette décision, bien que rendue sous l'empire de la Directive 95/46, aura sans aucun doute vocation à s'appliquer sous le nouveau règne du RGPD dans la mesure où les critères de la détermination des moyens et des finalités du traitement, utilisés pour identifier le responsable du traitement, restent inchangés.