• Accueil
• IT

L’administrateur d’une page Facebook est co-responsable du traitement

Les réseaux sociaux sont désormais les outils de promotion traditionnels de toute entreprise. Nombre d’entre elles disposent d’un compte Instagram ou d’une Fanpage sur Facebook. La création et l’administration d’une telle page sur les réseaux sociaux n’est cependant pas sans conséquences au regard du droit des données personnelles comme en témoigne la récente décision rendue par la Cour de Justice de l’Union Européenne (CJUE)⁽¹⁾.

Afin d’établir des statistiques d’audience, Facebook, lors de la consultation de Fanpage, dépose un cookie traceur⁽²⁾ sur l’ordinateur de l’internaute destiné à collecter des données sur ses habitudes de navigation, qui seront ensuite anonymisées et transmises à l’administrateur de la page concernée. Saisie par le juge allemand à la suite de mesures prononcées à l’encontre de l’administrateur d’une Fanpage, faute pour celui-ci d’avoir informé les visiteurs de sa page de l’usage de cookies, la CJUE confirme par cette décision la qualité de responsable conjoint de traitement de l’administrateur. La CJUE rappelle tout d’abord :

• d’une part, que doit être qualifiée de responsable de traitement, la personne qui « seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » ⁽³⁾ ;

• d’autre part, que la notion de responsable du traitement doit être définie largement afin d’assurer une protection efficace et complète des personnes concernées et éviter, notamment, que le simple recours à un intermédiaire technique permette au responsable de s’exonérer de ses obligations.

La CJUE procède ensuite à une analyse factuelle permettant concrètement de retenir la qualité de responsable de traitement de l’administrateur, relevant, en particulier que, si le traitement est réalisé à titre principal par les sociétés Facebook : ⁽⁴⁾

• l’administrateur est à l’origine de la création de la Fanpage permettant à Facebook de placer des cookies sur l’ordinateur de tout visiteur ;

• l’administrateur peut, en fonction des paramètres renseignés par ses soins, définir les mesures statistiques fournies par Facebook⁽⁵⁾, peu important que celles-ci soient anonymisées préalablement à leur transmission.

La rigueur de cette solution est toutefois tempérée par la précision apportée par la CJUE selon laquelle « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement ». En pratique, Facebook ne saurait donc faire intégralement peser sur l’administrateur de Fanpage l’obligation de mettre en œuvre les mesures nécessaires pour se conformer aux règles applicables en matière de protection de données à caractère personnel. Rendue sous l’empire de l’ancienne directive et en ligne avec la position alors adoptée⁽⁶⁾ par le Groupe de Travail « article 29 » sur la Protection des Données⁽⁷⁾, cette décision demeure parfaitement d’actualité dès lors que la définition du responsable de traitement est identique au sein du RGPD applicable depuis le 25 mai 2018. Selon l’avocat général présenté dans cette affaire, cette solution devrait en outre être étendue aux gestionnaires de sites web insérant un plugin ou module social, tel que le bouton « J’aime » de Facebook, entraînant ainsi la transmission de données de l’ordinateur de l’internaute à Facebook et leur permettant en retour de bénéficier d’informations statistiques. Dans ce contexte d’expansion de la communication digitale, l’objectif poursuivi par le juge européen est clair : inciter tous les opérateurs, tant les réseaux sociaux que les administrateurs de page et gestionnaires de sites, à se mettre en conformité avec les règles applicables en matière de protection des données à caractère personnel et assurer une protection complète des personnes concernées.