Ces dernières années, Facebook a été secoué par de nombreux scandales. Nous l’avons évoqué dans un précédent article, la société a été condamnée par la CJUE à une amende de plusieurs millions d’euros en ce début d’année 2018.
Et quelques semaines seulement après l’entrée en vigueur du RGPD, Facebook a été mis en cause s’agissant de l’utilisation des données personnelles de ses utilisateurs. Un arrêt a été rendu par la Cour de Justice de l’Union Européenne (CJUE) à ce sujet le 5 juin 2018.Dans les faits, une société de droit privé allemande intervenant dans le domaine de l’éducation diffusait des offres de formation au moyen d’une page « fan » hébergée sur Facebook.
Un litige est né entre cette société et une autorité régionale de protection des données allemande qui considérait qu’elle devait être considérée comme responsable du traitement, tandis que la société rejetait cette qualité sur l’opérateur responsable de la collecte des données, c’est à dire Facebook.
La CJUE a alors dû déterminer si les administrateurs de pages Facebook étaient responsable du traitement des données des utilisateurs.
Le texte européen de référence : La directive 95/46/CE
La directive européenne n°95/46/CE du 24 octobre 1995 est relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Son article 2 contient les définitions des termes présents dans le Règlement. A ce titre, le « responsable du traitement » est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ».
En l’espèce, il convenait pour la CJUE de déterminer si les administrateurs de page fan sur Facebook pouvaient être considéré comme responsables du traitement des données personnelles.
L’arrêt rendu par la CJUE reconnait la responsabilité des administrateurs de page fan FB
La CJUE a retenu la responsabilité conjointe de Facebook et des administrateurs de pages. Elle a construit son argumentation autour de différents motifs :
- « Les traitements de données en cause […] sont essentiellement effectués moyennant le placement, par Facebook, sur l’ordinateur ou sur tout autre appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés »
- Or, par la création d’une « page fan », son administrateur offre la possibilité à Facebook de placer des cookies sur l’ordinateur de la personne ayant visité ladite page.
- « la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités […]. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook. Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page »
C’est en s’appuyant sur ces éléments que la CJUE a jugé que « la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan ».