La Cour de justice de l'Union européenne vient de juger qu'un administrateur d'une page "Fan" du réseau social Facebook est co-responsable du traitement¹. L'administrateur est donc soumis à un ensemble d'obligations.

Rappelons qu'une page fan est un compte d'utilisateurs configurable sur Facebook par tout type d'utilisateur. Toute personne qui a un compte Facebook peut créer une page fan pour présenter aux autres utilisateurs une prestation de services ou un produit.

En l'espèce, une société allemande proposait des offres de formation sur une page "Fan" hébergée sur Facebook. Elle s'est vue contrainte de désactiver sa page fan Facebook par l'autorité locale de protection des données sous prétexte que la société n'avait pas informé les visiteurs que leurs données personnelles étaient collectées via les cookies.

Pour la Cour de justice, la plateforme Facebook collecte les données personnelles des visiteurs via des fichiers de stockage qui restent actifs pendant deux ans sauf s'ils sont effacés expressément avant.

Ces données, traitées par Facebook, servent à alimenter la base des statistiques d'audience (Facebook Insights). Toutes ces statistiques permettent de déterminer une audience en fonction du sexe, de l'âge, de la localisation, de la situation amoureuse et des centres d'intérêt ; audience qui affinera la publicité ciblée.

Selon la Cour, "cette action de paramétrage (…) influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan".

Ainsi, l'administrateur "contribue au traitement des données à caractère personnel des visiteurs de sa page", et ce, même si les statistiques d'audience sont anonymisées. Il existe une collecte préalable et le traitement des données se réalise par l'installation de cookies.

L'administrateur a par conséquent, l'obligation de protéger les données personnelles de ses abonnés.

La CJUE a ainsi statué sur le rôle de l’administrateur de page eu égard aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Rappelons que selon les dispositions de l’article 2, sous d) de la directive 95/46, est un responsable de traitement : « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ».

En réalité, la CJCE considère que la société en cause doit être qualifiée de co-responsable de traitement à partir du moment où l'administrateur de la page "fan" peut obtenir des statistiques à partir des visites sur une page, que la création de ce type de page permet à Facebook de placer des cookies sur l'ordinateur ou smartphone et que le paramétrage permet de définir une audience ciblée.

Ainsi, l'administrateur participe indirectement à la collecte des données et peut être qualifié de co-responsable même s'il ne se sert que des moyens mis à sa disposition par Facebook.

Notons que l’article 4, sous 7) du RGPD² reprend la définition du responsable de traitement donnée par la directive 95/46³. Cette solution est transposable à l’état du droit depuis le 25 mai 2018.

Concrètement, qu'est-ce qu'il va se passer pour les administrateurs de page ?

Si on se réfère à cet arrêt, on peut comprendre que les administrateurs devront dorénavant informer les visiteurs de leur page que les données personnelles risquent d'être collectées et traitées et leur préciser le but de cette collecte.

Cette information devrait être mentionnée sur la page "fan".

Reste à déterminer quelle sera la responsabilité de chaque intervenant dans la collecte.

Un parallèle devra également être fait avec le module social "like" de Facebook inséré sur chaque page, permettant une transmission de données à caractère personnel de l'ordinateur d'un utilisateur du site web au fournisseur externe (affaire Fashion ID, C-40/17). Pourra t-on qualifier, pour autant, cette société de "responsable du traitement" ?

Nous saurons prochainement à quoi nous attendre.