Yves Van Couter, Stephanie De Smet & Garance Dekeyser
Dans son jugement du 5 juin 2018, la Cour de justice de l’Union européenne ( CJUE ) a adressé un message clair aux titulaires de Pages Fan sur Facebook : puisque vous avez choisi d’utiliser le réseau social Facebook pour des activités de marketing, vous êtes responsables conjointement avec Facebook du traitement des données à caractère personnel des visiteurs de votre Page Fan. Suite à ce jugement, de nombreuses entreprises ont drastiquement décidé de fermer complètement leur Page Fan Facebook. D’autres peinent à trouver une solution pragmatique afin de gérer cette nouvelle responsabilité (conjointe).
Un organisme allemand offrait des services d’éducation via une Page Fan Facebook et obtenait des statistiques par le service Facebook Insights. Ce service fonctionne comme suit : à l’aide de cookies, Facebook collecte les données à caractère personnel des visiteurs d’une Page Fan, analyse ensuite ces données et fournit à l’administrateur de la Page Fan des statistiques anonymes. En se basant sur ces informations, l’administrateur peut ensuite demander à Facebook d’afficher des publicités ciblées.
Seul Facebook disposait d’un accès aux données à caractère personnel des visiteurs de la Page Fan ; l’organisme allemand lui-même n’en avait aucun. L’Autorité allemande de protection des données (équivalent de l’Autorité belge de protection des données) a toutefois constaté que ni l’organisme allemand, ni Facebook n’informaient les visiteurs du traitement de leurs données à caractère personnel. L’Autorité allemande de protection des données ordonna dès lors la désactivation de la Page Fan. Cette décision fut remise en cause par l’administrateur de la Page, qui argumentait ne pas être un « responsable du traitement des données » au sens du Règlement Général sur la protection des données (RGPD) et que l’Autorité devait considérer que seul Facebook n’avait pas respecté ses obligations légales. Les tribunaux allemands ont renvoyé l’affaire devant la CJUE.
La Cour de justice confirme la responsabilité légale des titulaires de Pages Fan Facebook
La question principale posée à la Cour était de savoir si le titulaire d’une Page Fan sur un réseau social est également soumis aux obligations légales d’un « responsable » au sens de la législation en matière de protection des données à caractère personnel, tenant compte du fait que ces titulaires n’ont aucun accès à des données à caractère personnel. Via le service Facebook Insights ceux-ci reçoivent en effet uniquement des statistiques anonymes.
La Cour a confirmé la position adoptée par l’Autorité allemande de protection des données :
• L’administrateur d’une Page Fan hébergée sur un réseau social (Facebook), en établissant une telle page, crée la possibilité de placer des cookies sur l’appareil du visiteur de la Page Fan ;
• Etant donné que l’administrateur de la Page Fan détermine les paramètres et influence ainsi le traitement de données à caractère personnel (à l’aide des filtres disponibles sur Facebook, l’administrateur peut sélectionner les critères sur base desquels les statistiques sont produites), l’administrateur contribue à la détermination des finalités et des moyens du traitement des données à caractère personnel ; et
• le fait que l’administrateur n’a pas accès à ces données à caractère personnel ne l’empêche pas d’être « responsable conjoint » avec Facebook.
Responsabilité « conjointe » ne signifie pas responsabilité « équivalente »
La Cour a explicitement stipulé que le fait pour un administrateur d’une Page Fan, d’utiliser la plateforme mise en place par Facebook afin de bénéficier des services associés offerts par Facebook, l’oblige à se conformer, à côté de Facebook, au RGPD en ce qui concerne le traitement des données des visiteurs de la Page Fan. De nombreuses entreprises ont déjà réagi en supprimant leur Page Fan, simplement car elles ne veulent pas partager cette responsabilité avec Facebook.
D’un autre côté, la Cour lâche quand même du lest pour les administrateurs des Pages Fan, en précisant que l’existence d’une responsabilité « conjointe » ne se traduit pas nécessairement par une responsabilité « équivalente ». En effet, les administrateurs et Facebook interviennent à des stades différents du traitement et dans une mesure différente, de sorte que le degré de responsabilité de l’un et l’autre doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.
Qu’en est-il désormais ?
Il n’est bien entendu pas possible de préjuger à ce stade de l’impact de cette décision sur le long terme. En attendant, les administrateurs des Pages Fan ont déjà commencé à placer des « disclaimers » additionnels sur celles-ci afin de satisfaire à leur obligation de transparence en tant que « responsable conjoint » et Facebook a d’ores et déjà annoncé une révision de ses conditions générales afin de couvrir le scénario de la responsabilité conjointe.
Les auteurs, Yves Van Couter, Stephanie De Smet & Garance Dekeyser font partie de Litigations and Risk Management comme Partner, Senior Associate en Associate chez Loyens & Loeff Advocats à Bruxelles.
Les titulaires de Pages Facebook mis en garde par la Cour de justice de l’Union européenne
08 août 2018