L’administrateur d’une page Facebook serait coresponsable de traitement
Ces dernières années, la Cour de justice de l’Union européenne (CJUE) a rendu bon nombre de décisions en matière de protection des données et de la sphère privée. On se souvient notamment de l’annulation du Safe Harbour, de l’instauration d’un droit à l’oubli sur les moteurs de recherche et de l’invalidation d’une directive sur la conservation des données de communication. Et comme elle ne semble pas vouloir s’arrêter là, elle s’érige de plus en plus comme le dernier rempart européen de la protection des données des citoyens quand le Parlement et la Commission, ainsi que les États membres, font défaut. Mais va-t-elle un peu trop loin ?
Cet article et les deux précédents illustrent cette tendance.
Il y a un mois, l’avocat général de la Cour a rendu un avis qui serait lourd de conséquences pour les administrateurs de pages Facebook (affaire C‑210/16). Il s’attèle en fait à donner une définition très large de la notion de responsable de traitement (ou maitre de fichier, en Suisse).
L’affaire concerne Wirtschaftsakademie Schleswig-Holstein GmbH, une société disposant d’une page Facebook sur laquelle elle propose ses services de formation. Il faut savoir tout d’abord que les administrateurs de pages peuvent obtenir des statistiques d’audience à l’aide de l’outil “Facebook Insights” mis gratuitement à leur disposition par Facebook. Ces statistiques sont élaborées par Facebook et personnalisées par l’administrateur de la page à l’aide de différents critères qu’il peut sélectionner, tels que l’âge ou le sexe. Lesdites statistiques fournissent ainsi des informations anonymes sur les caractéristiques et les habitudes des personnes ayant consulté les pages fan, permettant aux administrateurs de ces pages de mieux cibler leur communication. Afin d’établir de telles statistiques d’audience, au moins un cookie comportant un numéro ID unique, qui est actif pendant deux ans, est installé par Facebook sur l’appareil de la personne ayant consulté la page.
L’autorité régionale de protection des données de Schleswig-Holstein, l’équivalent pour une région d’Allemagne de notre Préposé fédéral à la protection des données en Suisse, a ordonné à Wirtschaftsakademie de désactiver sa page, car les visiteurs d’une page ne sont pas avertis que leurs données personnelles font l’objet d’une collecte par Facebook grâce à des cookies, cette collecte étant effectuée aux fins d’établir des statistiques d’audience destinées à l’administrateur de cette page et de permettre la diffusion par Facebook de publicités ciblées. Wirtschaftsakademie a refusé de se plier à l’injonction et l’affaire est montée jusqu’à l’Oberverwaltungsgericht (tribunal administratif supérieur), qui s’est tourné vers la CJUE.
Parmi les six questions posées, trois sont particulièrement intéressantes : l’administrateur d’une page Facebook est-il un responsable de traitement, devient-on un responsable de traitement lorsqu’on installe un module social (Like, Tweet, etc.) sur son site web, et des coresponsables de traitement sont-ils responsables à parts égales ?
L’administrateur d’une page Facebook est-il responsable de traitement ?
Selon l’art. 2 let. d de la Directive 95/46 (amenée à être abrogée et remplacée le 25 mai 2018 par le Règlement général sur la protection des données, RGPD), un responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. (La définition qu’en donne le RGPD est identique.) Le responsable du traitement joue un rôle fondamental et son identification est dès lors essentielle. En effet, le responsable du traitement est débiteur d’un certain nombre d’obligations destinées à assurer la protection efficace et complète des données personnelles, d’où une définition large de la notion de responsable de traitement dans la jurisprudence de la CJUE. Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Il exerce ainsi une influence de fait.
Dans son avis, l’avocat général reconnait que, dans le cas d’une page Facebook, c’est bien le réseau social qui a déterminé à titre principal les objectifs et les modalités du traitement de données. En effet, c’est Facebook qui procède à la collecte de données personnelles lors de la consultation de pages puis à l’exploitation de ces données dans le but de permettre, d’une part, la diffusion de publicités ciblées et, d’autre part, l’établissement de statistiques d’audience à destination des administrateurs de ces pages.
Mais l’art. 2 let. d de la Directive 95/46 prévoit une responsabilité conjointe… Certes, un administrateur d’une page Facebook est avant tout un utilisateur de Facebook, auquel il fait appel pour bénéficier de ses outils et profiter ainsi d’une meilleure visibilité. Ce constat n’est toutefois pas de nature à exclure qu’il puisse également être considéré comme responsable de la phase du traitement de données personnelles, à savoir la collecte de telles données par Facebook. Mais l’administrateur d’une page exerce-t-il vraiment une influence de droit ou de fait sur les finalités et moyens du traitement ? Oui, selon l’avocat général, car en ayant recours à Facebook pour diffuser son offre d’informations, l’administrateur de la page adhère au principe de la mise en œuvre d’un traitement des données personnelles des visiteurs de sa page aux fins de l’établissement de statistiques d’audience. Même s’il n’est bien entendu pas le concepteur de l’outil “Facebook Insights”, cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données personnelles des visiteurs de sa page.
Cela se justifierait pour deux raisons. D’une part, ce traitement ne pourrait pas intervenir sans la décision préalable de l’administrateur d’une page de créer et d’exploiter celle-ci sur le réseau social Facebook. D’autre part, bien que les finalités et les modalités de l’outil “Facebook Insights” en tant que tel soient définies de façon générale par Facebook, l’administrateur d’une page a la possibilité d’influer sur la mise en œuvre concrète de cet outil en définissant les critères à partir desquels les statistiques d’audience sont établies. De surcroit, la conclusion de l’avocat général se trouverait renforcée par le constat selon lequel un administrateur d’une page et Facebook poursuivent chacun des finalités étroitement liées. En effet, l’administrateur d’une page veut obtenir des statistiques d’audience à des fins de gestion de la promotion de son activité, et comme un traitement de données personnelles est nécessaire pour obtenir ces données, ce traitement permettra également à Facebook de mieux cibler la publicité qu’il diffuse à travers son réseau.
L’avocat général rappelle qu’il n’est pas nécessaire que le (co)responsable de traitement dispose d’un pouvoir de contrôle complet sur tous les aspects du traitement. Il reconnait d’ailleurs implicitement que son but, en élargissant la notion de responsable de traitement, est d’éviter que des sociétés puissent recourir aux services d’un tiers pour se soustraire à leurs obligations en matière de protection des données.
Devient-on un responsable de traitement lorsqu’on installe un module social ?
Sortant complètement du cadre de l’affaire en cause, l’avocat général enfonce le clou et fait un lien avec une affaire qui n’a pas encore été tranchée par la Cour (C –40/17) et dans laquelle un gestionnaire d’un site web, qui a inséré dans son site un module social (bouton Like, Tweet, etc.), se voit accuser d’avoir permis à Facebook d’avoir accès aux données personnelles d’utilisateur du site sans leur consentement. L’avocat général se demande donc si le gestionnaire du site peut ou non être qualifié de responsable du traitement.
Sa réponse suit immédiatement. Il n’y aurait pas de différence fondamentale entre la situation d’un administrateur de page et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking. Les plug-ins sociaux permettent aux exploitants de sites web d’utiliser certains services de réseaux sociaux sur leurs propres sites web afin d’accroitre la visibilité de ces derniers, par exemple en intégrant à leur site le bouton Like de Facebook. Comme les administrateurs de pages, les exploitants de sites web intégrant des plug-ins sociaux peuvent bénéficier du service “Facebook Insights” afin d’obtenir des informations statistiques précises sur les utilisateurs de leur site. À l’instar de ce qui se produit en cas de consultation d’une page, la consultation d’un site web contenant un plug-in social va déclencher une transmission de données à caractère personnel vers le fournisseur concerné.
Le gestionnaire d’un site web qui utilise ces modules sociaux est ainsi également un responsable de traitement au sens de la Directive 95/46 (et du RGPD).
Il reste à voir si que l’avocat général de la cause C-40/17 partage l’opinion de son collègue sur ce point…
Des coresponsables de traitement sont-ils responsables à parts égales ?
Non, l’existence d’une responsabilité conjointe ne signifie pas une responsabilité sur un pied d’égalité. Au contraire, les différents responsables du traitement peuvent être impliqués dans un traitement de données à caractère personnel à différents stades et à différents degrés.
Conclusion
Là aussi, si la CJUE suit son avocat général, elle étendra le champ d’application de la bientôt défunte directive 95/46 et de son successeur, le RGPD. À force de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement. Quoi qu’il en soit, la frontière de cette responsabilité risque de devenir illisible.
L’arrêt est attendu dans les prochains mois.