CJUE : le gérant d'un site a des obligations d'information s'il utilise des plugins comme le bouton "j'aime" de Facebook

[Mise à jour du 29 juillet 2019 : la CJUE a confirmé l’avis de l’avocat général ci-dessous. Liens vers le communiqué de presse et l’arrêt.]

[Mise à jour du 30 juillet 2019 : ma réaction au micro de la RTS, à partir de 1 minute 03.]

Avant-hier, l’avocat général de la Cour de justice de l’Union européenne (CJUE) a rendu ses conclusions dans le cadre de l’affaire C-40/17 opposant Fashion ID (une société de vente en ligne) et Verbraucherzentrale NRW (une association allemande de protection des consommateurs).

A titre liminaire, il faut noter que cette procédure ne concerne pas un cas d’application du RGPD mais de sa prédécesseure, la Directive 95/46.

En l’espèce, Fashion ID a intégré sur son site web le plugin (ou bouton) “j’aime” de Facebook. Ce genre de plugin permet par exemple au visiteur du site web de partager un contenu sur le réseau social. Mais il permet à Facebook de collecter des informations personnelles sur le visiteur (notamment son adresse IP), et ce même si le visiteur n’interagit pas avec le plugin et n’a pas de compte sur le réseau social. Le simple fait que le plugin soit chargé par le navigateur web suffit à envoyer des informations à Facebook. Verbraucherzentrale NRW est d’avis que l’utilisation de ce genre de plugin est contraire aux lois sur la protection des données.

La question principale à trancher ici est celle de savoir si Fashion ID est un responsable de traitement en ce qui concerne l’insertion sur son site web d’un plugin comme le bouton “j’aime”. L’avocat général se réfère forcément à l’arrêt Wirtschaftsakademie Schleswig‑Holstein (commenté ici) qui concernait le rôle de l’administrateur d’une page fan sur Facebook, la CJUE ayant conclu que celui‑ci doit être qualifié de responsable du traitement, conjointement avec Facebook. Il renvoie aussi à l’arrêt Jehovan todistajat (C‑25/17) dans lequel la CJUE a souligné que la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données personnelles concernées.

L’avocat général déduit de ces arrêts que l’élément décisif est que la personne visée (en l’espèce, ait “permis” la collecte et le transfert de données personnelles en y ajoutant éventuellement l’influence qu’un tel responsable conjoint du traitement peut avoir sur les paramètres (ou du moins lorsqu’ils sont approuvés tacitement). Ainsi, selon lui, il est difficile de voir comment des utilisateurs normaux d’une application en ligne, que ce soit un réseau social ou toute autre plateforme collaborative, voire d’autres programmes, ne deviendraient pas de responsables conjoints du traitement. Il reconnait cependant que le danger existe, en cas de définition trop large de la notion de “responsable de traitement”, qu’elle conduise à ce qu’un grand nombre de personnes deviennent responsables conjoints du traitement de données personnelles. Ce serait le cas si l’on considère que l’unique critère pertinent de la responsabilité conjointe est d’avoir rendu possible le traitement de données.

L’avocat général se permet plus loin une référence directe à Star Wars, signe qu’il a besoin de vacances.

Il y a bien longtemps (les aficionados d’une certaine franchise de science‑fiction seraient tentés d’ajouter « dans une galaxie lointaine »), être inscrit sur un réseau social était du plus grand chic.

Reprenant ses esprits, il rappelle qu’il y a responsabilité conjointe lorsque deux ou plusieurs personnes déterminent ensemble les moyens et les finalités du traitement de données personnelles. En d’autres termes, pour que deux (ou plusieurs) personnes puissent être qualifiées de responsables conjoints du traitement, il faut entre elles une identité de finalités et de moyens dans le traitement des données personnelles.

Dans le cas du bouton “j’aime”, la phase pertinente (les opérations) du processus correspond à la collecte et à la transmission de données personnelles rendues possibles par le biais dudit bouton. En ce qui concerne les moyens de ces opérations de traitement de données, il paraît établi que Fashion ID décide de l’utilisation du bouton “j’aime” qui sert d’outil de collecte et de transmission de données personnelles. Cette collecte et cette transmission sont déclenchées par le simple fait de se connecter au site web de Fashion ID. Le bouton a été fourni par Facebook. Fashion ID et Facebook paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données.

Quant aux finalités du processus de traitement des données, Fashion ID semble avoir été motivée par le souhait d’améliorer la visibilité de ses produits par le biais du réseau social. En même temps, il semble également que Facebook exploite les données transférées à ses propres fins commerciales. L’avocat général conclut que Fashion ID et Facebook paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire. À défaut d’identité, il y a donc une unité de la finalité : il y a une finalité commerciale et publicitaire.

En ce qui concerne les obligations qui incombent à FashionID dans le cas d’espèce, l’avocat général est d’avis que tant le consentement que les informations fournies doivent couvrir tous les aspects du ou des traitements des données pour lesquels les responsables conjoints des traitements ont une responsabilité conjointe, à savoir la collecte des données et leur transmission. En revanche, ce consentement et cette obligation d’information ne s’étendent pas aux phases suivantes du traitement des données dans lesquelles Fashion ID n’est pas impliquée et pour lesquelles, en toute logique, elle ne détermine ni les moyens ni les finalités.

Dans ces conditions, on pourrait penser que le consentement doit être donné à l’un ou l’autre des responsables conjoints du traitement. Mais compte tenu de la situation particulière du cas d’espèce, ce consentement doit être donné à Fashion ID, car c’est la connexion à son site web qui déclenche le processus de traitement. Il ne serait manifestement pas conforme à une protection efficace et en temps utile des droits de la personne concernée si le consentement ne devait être donné qu’au seul responsable conjoint du traitement intervenant ultérieurement (à supposer qu’il le fasse), après la collecte et la transmission des données. L’avocat général ajoute que Fashion ID est en mesure de fournir des informations sur l’identité des responsables conjoints du traitement, sur les finalités de chacune des étapes du traitement (la ou les opérations pour lesquelles la responsabilité est conjointe) ainsi que sur le fait que ces données feront l’objet d’une transmission.

Certains pourraient enfin considérer que les visiteurs disposant d’un compte Facebook peuvent avoir consenti auparavant à de tels transferts de données. Cela pourrait conduire à une différenciation de la responsabilité de Fashion ID, l’obligation d’information et de recueil du consentement pourraient ainsi incomber à Fashion ID et ne serait applicable qu’à l’égard des seuls visiteurs de son site web n’ayant pas de compte Facebook. L’avocat général n’est cependant pas de cet avis et a du mal à admettre le fait qu’il faudrait un traitement différencié (moins protecteur) à l’égard des utilisateurs de Facebook au motif qu’ils ont déjà accepté la possibilité que les données à caractère personnel (de toutes sortes) les concernant fassent l’objet de traitements. De fait, une telle argumentation implique qu’à l’ouverture d’un compte Facebook, l’utilisateur accepte par avance toutes sortes de traitements des données concernant toutes activités en ligne que de tels utilisateurs de Facebook peuvent avoir avec des tiers ayant un lien quelconque avec Facebook. Et ce même en l’absence de toute indication qu’il est procédé à un tel traitement des données.

En conclusion,

  1. le gérant d’un site web qui a inséré un plugin comme le bouton “j’aime” de Facebook (qui collecte et transmet des données personnelles) est responsable de traitement, conjointement avec l’exploitant du plugin ;
  2. la responsabilité du gérant du site web est limitée aux seules opérations pour lesquelles il est effectivement codécideur des finalités et des moyens relatifs aux traitements des données personnelles ;
  3. le consentement des visiteurs du site web doit être donné au gérant dudit dite web sur lequel le plugin a été inséré ;
  4. le gérant du site web a l’obligation de fournir de fournir les informations minimales relatives aux traitements des données personnelles.

L’arrêt de la CJUE est attendu dans les prochaines semaines…