L’administrateur d’une page fan sur Facebook est un responsable conjoint de traitement

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

CJUE, 5 juin 2018, C-210/16

La CJUE a indiqué que l’administrateur d’une page fan hébergée sur Facebook devait être considéré comme un responsable de traitement conjoint aux côté de Facebook dès lors que via la création d’une telle page, il offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil des visiteurs de sa page fan…

Ce qu’il faut retenir : La Cour de Justice de l’Union Européenne (CJUE) a indiqué que l’administrateur d’une page fan hébergée sur Facebook devait être considéré comme un responsable de traitement conjoint aux côté de Facebook dès lors que via la création d’une telle page, il offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil des visiteurs de sa page fan (y compris de ceux qui ne disposent pas d’un compte Facebook) et qu’il reçoit communication des données statistiques collectées via ces cookies.

Pour approfondir : La Cour administrative fédérale d’Allemagne a saisi la CJUE de plusieurs questions préjudicielles dans le cadre d’une affaire opposant Wirtschaftsakademie, une société allemande spécialisée dans le domaine de l’éducation et l’ULD, l’autorité de contrôle allemande (équivalent de la CNIL en Allemagne). Dans les faits, Wirtschaftsakademie offre des services de formation notamment via une page fan hébergée sur Facebook.

Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises. Régulièrement utilisées par les entreprises pour la création d’un compte professionnel sur le réseau social, ces pages fan permettent de diffuser des communications de toute nature.

Les administrateurs de ces pages peuvent obtenir des données statistiques anonymes concernant les visiteurs à l’aide de la fonction intitulée Facebook Insight, que Facebook propose gratuitement et qui utilise des cookies comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan.

Suite à un contrôle réalisé par l’ULD, cette dernière a, par une décision du 3 novembre 2011 fait injonction à Wirtschaftsakademie de désactiver sa page fan sous peine d’astreinte en cas de non-exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les internautes que des données personnelles les concernant étaient collectées via les cookies.

Wirtschaftsakademie a alors attaqué cette décision en indiquant qu’elle n’était responsable ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

L’ULD a rejeté cette réclamation, par une décision du 16 décembre 2011, en considérant que la responsabilité de Wirtschaftsakademie est établie dès lors qu’en créant sa page fan, elle contribue activement et volontairement à la collecte de données personnelles par Facebook dont elle profitait au moyen des statistiques mises à sa disposition par le réseau social.

Wirtschaftsakademie a alors introduit un recours contre cette décision devant le tribunal administratif, lequel a annulé la décision attaquée. Le tribunal administratif supérieur d’Allemagne a rejeté l’appel introduit par l’ULD contre cet arrêt comme étant non fondé.

En dernière instance, la Cour administrative fédérale a décidé de surseoir et de saisir la CJUE afin de notamment savoir si Wirtschaftsakademie devait être considérée comme un responsable conjoint de traitement aux côtés du réseau social Facebook.

LA CJUE a alors analysé dans quelle mesure l’administrateur d’une page fan hébergée sur Facebook contribue, dans le cadre de cette page fan, à déterminer, conjointement avec Facebook les finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut donc, lui aussi, être considéré comme étant « responsable du traitement ».

La CJUE a d’abord rappelé que les traitements de données à caractère personnel sont profitables à Facebook ainsi qu’à l’administrateur de la page qui peut connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.

Si la CJUE a pris le soin de préciser que le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, elle a toutefois relevé que la création d’une page fan sur Facebook implique que l’administrateur réalise une action de paramétrage, en fonction notamment de son audience cible et par conséquent, qu’il contribue au traitement des données à caractère personnel des visiteurs de sa page.

La CJUE a précisé que s’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable de données personnelles.

Dans ces circonstances, la CJUE a conclu que l’administrateur d’une page fan hébergée sur Facebook participe, par son action de paramétrage, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan et de ce fait, doit être qualifié de responsable conjointement avec Facebook.

A rapprocher : Règlement Général sur la Protection des Données personnelles

Sommaire

Autres articles

some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.