CJUE dans l’affaire Fashion ID : responsabilité commune pour les plugins sociaux

FR DE EN

David Vasella

sur le site

09.08.2019

Branches

Autorité

CJCE

Lois

RGPD 13, RGPD 26, RGPD 6

Thèmes

Avertissement, Consentement, Facebook, responsabilité partagée, Sanctions, Suivi

Vente à emporter (AI)

L’intégration de plugins sociaux (par ex. Facebook-Like) rend l’exploitant du site web responsable, conjointement avec le fournisseur de plugins, de la collecte et de la transmission des données.
Les responsables conjoints doivent conclure un accord au titre de l’article 26 du RGPD ; le transfert requiert une base juridique autonome ou, le cas échéant, un consentement.

La CJCE s’est prononcée en l’espèce Arrêt dans l’affaire C‑40/17 du 29 juillet 2019 dans l’affaire Fashion ID s’est à nouveau prononcé sur la responsabilité commune. Il s’agit déjà du troisième arrêt sur la responsabilité commune rendu l’année dernière :

Arrêt dans l’affaire C‑210/16 du 5 juin 2018 dans l’affaire Facebook Fanpages/Wirtschaftsakademie Schleswig-Holstein GmbH (nous avons rapporte);
Arrêt C‑25/17 du 10 juillet 2018 dans l’affaire des Témoins de Jéhovah.

Dans la présente décision, rendue sur renvoi de l’Oberlandesgericht (TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE) Düsseldorf concernait l’intégration du bouton “Like” de Facebook sur le site web de Fashion ID. Le site Centre des consommateurs NRW avait contre Fashion ID a porté plainte contre Facebook. Facebook n’a pas suivi la procédure devant le TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE en qualité d’intervenant (partie intervenante).

En bref:

Quiconque intègre dans son site web un plug-in social qui transmet des données personnelles des visiteurs au fournisseur du plug-in est responsable de cette collecte et de cette transmission de données conjointement avec le fournisseur. Les deux doivent conclure un accord au sens de l’art. 26 de la loi sur la protection des données. RGPD fermer.
Tous deux, l’exploitant du site web et le fournisseur du plug-in, ont besoin d’une base juridique pour le traitement commun.
Si un consentement est nécessaire, il incombe à l’exploitant du site web de l’obtenir.
L’exploitant du site web est également tenu de fournir des informations sur le processus de collecte et de transmission au sens de l’art. 12 et suivants de la loi sur la protection des données. RGPD d’informer.
La CJCE renforce sa position favorable à la protection des données. Le concept de responsabilité commune prend encore plus d’importance. Il devient en même temps plus difficile et plus coûteux à appliquer en raison de sa forte implication dans les cas individuels.
La question de savoir si la transmission de données à un responsable conjoint est privilégiée – c’est-à-dire autorisée sans base juridique particulière – n’est pas définitivement clarifiée. Toutefois, le risque qu’une base juridique spécifique soit nécessaire a considérablement augmenté.

Situation de fait

La CJCE a basé sa décision sur les faits suivants :

Fashion ID son site web avait le Plugin social “J’aime de Facebook est intégré au site. Lors de la visite du site web, le navigateur du visiteur charge entre autres le plugin et donc le contenu du serveur de Facebook. Par ce processus, le navigateur du visiteur transmet certaines informations, notamment l’adresse IP du terminal, la visite du site web concerné, des informations techniques et des informations sur les contenus demandés. Facebook lui-même dit d’ailleurs ceci – la CJCE ne s’est toutefois pas référée à cette source :

“Si une personne a visité Facebook et visite ensuite ton site web avec un plug-in social, le navigateur nous envoie ces informationspour charger du contenu Facebook sur cette page. Les données que nous recevons incluent des informations telles que l’ID utilisateur de la personne, le site web visité, la date et l’heure, ainsi que d’autres informations liées au navigateur. Nous enregistrons certaines de ces informations et pouvons les utiliser pourNous nous efforçons d’améliorer nos produits et services et de proposer aux utilisateurs des publicités plus intéressantes et plus pertinentes.”
L’exploitant du site web ne peut pas influencer l’étendue des données transmises à Facebook.
Dans le cas concret, la transmission des données a eu lieu même si le visiteur n’a pas de compte Facebook et ne clique pas sur le bouton “J’aime”.

Notion de responsabilité partagée

Dans ce contexte, le TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE la question,

2) Dans un cas comme celui de la présente affaire, où une personne intègre dans son site web un code de programme qui amène le navigateur de l’utilisateur à demander un contenu à un tiers et à transmettre à cette fin des données à caractère personnel à ce tiers, la personne qui intègre le code est-elle un “responsable du traitement” au sens de l’article 2, sous d), de la directive 95/46, si elle ne peut pas elle-même influencer cette opération de traitement des données ?

La définition légale de la “personne responsable” se distingue, selon la définition pertinente ici, de celle de l’ ”entreprise”. Directive et Art. 4, point 7 RGPD n’est pas pertinent. En ce sens, cet arrêt – comme les arrêts antérieurs cités au début de l’article – est RGPD directement pertinente, comme le fait par exemple l’autorité hambourgeoise de protection des données a retenu.

La CJCE répond par l’affirmative à cette question :

[…] l’exploitant d’un site web […] qui intègre dans ce site web un plugin social qui amène le navigateur […] à demander des contenus au fournisseur de ce plugin et, à cet effet transmettre des données personnelles du visiteur à ce fournisseurpeut être considéré comme responsable du traitement Responsable […] peut être considérée comme responsable […]. Cette responsabilité est toutefois limitée à l’opération ou aux opérations de traitement des donnéesLe responsable du traitement est le responsable du traitement pour lequel il décide effectivement des finalités et des moyens, c’est-à-dire la collecte des données en question et leur communication par transfert.

La CJCE se base sur ses arrêts concernant les pages fan Facebook et les Témoins de Jéhovah :

L’objectif de la définition légale est notamment d’assurer une “protection efficace et complète” des personnes concernées, ce qui nécessite une interprétation large.
Toute personne qui “exerce, dans son propre intérêt, une influence sur le traitement de données à caractère personnel” et participe ainsi “à la détermination des finalités et des moyens de ce traitement” est un responsable (Témoins de Jéhovah, point 68).
La responsabilité conjointe ne présuppose pas que chaque responsable ait accès aux données concernées (Pages fan Facebook, considérant 69).
“Une responsabilité “commune” ne signifie pas une responsabilité “équivalente”. Parallèlement, un “traitement” peut comprendre plusieurs opérations. Les responsables peuvent donc être impliqués dans un traitement de données “à différents stades et à des degrés divers”. L’étendue de la responsabilité ne peut donc être déterminée qu’au cas par cas (Témoins de Jéhovah, point 66) :

“74 Il s’ensuit […] qu’une […] personne […] ne peut être […] responsable, conjointement avec d’autres, que des opérations de traitement […] dont elle détermine – conjointement avec d’autres – les finalités et les moyens. En revanche, […] cette […] personne ne peut être considérée comme responsable, au sens de cette disposition, d’opérations situées en amont ou en aval de la chaîne de traitement, pour lesquelles elle ne détermine ni les finalités ni les moyens”.

La CJCE en conclut que Fashion ID

est responsable de la collecte des données des visiteurs et de leur transmission à Facebook,
mais pas pour les opérations de traitement en aval par Facebook.

Pour la collecte et la transmission, Fashion ID Les deux parties décident ensemble des moyens et des finalités de ces traitements :

Moyens: Fashion ID lie le bouton dans le savoir que celui-ci sert à la collecte et à la transmission. En outre, Fashion ID décidant ainsi “la collecte et la transmission des données personnelles des visiteurs de ce site” à Facebook “.influence”.
ButsFacebook utilise les données collectées pour optimiser la publicité de Fashion. ID. En contrepartie, Facebook peut utiliser les données collectées “à ses propres fins commerciales”. Ce Rapport d’échange des intérêts économiques signifie que les deux parties “décident ensemble des finalités des opérations de collecte des données à caractère personnel en cause au principal et de leur communication par transfert”.

En conclusion, la responsabilité commune a été confirmée à cet égard. Le fait que Fashion ID ne peut pas accéder lui-même aux données collectées ne s’y oppose pas selon la jurisprudence Facebook Fanpages, ce que la CJCE confirme à nouveau ici.

Résultat intermédiaire

L’arrêt a tout d’abord les conséquences suivantes :

Toute personne qui intègre un bouton “J’aime” de Facebook est responsable conjointement avec Facebook. Il en va de même pour tous les autres plug-ins sociaux pour lesquels le fournisseur du plug-in reçoit des données personnelles lors de leur intégration ou de leur déclenchement.
L’exploitant du site web et le fournisseur du plug-in doivent donc conclure un accord au sens de l’article 26 de la loi sur la protection des données. RGPD fermer.
Les déclarations de protection des données pertinentes doivent être complétées en conséquence, notamment par le fait que la responsabilité est partagée et par l’essentiel de l’accord.

Il ressort également de la décision de la CJCE ce qui suit :

La responsabilité partagée consiste à la détermination en commun des finalités et des moyens d’un traitement ou d’une partie d’un traitementc’est-à-dire des opérations de traitement individuelles. Les questions de savoir comment distinguer une opération individuelle d’un traitement, ce qu’est une “finalité” et si une opération – au sens d’une partie d’un traitement – peut avoir une finalité propre ne sont pas abordées (malheureusement ; elles seraient passionnantes).
Pour comprendre ce que “Influence sur les ressources L’arrêt n’apporte pas grand-chose sur ce que signifie concrètement “le traitement”. En l’occurrence, le moyen de traitement (de la collecte et de la transmission) était l’intégration du plug-in, et la CJUE se contente ici de constater que Fashion ID a intégré le plug-in en sachant que des données seraient ainsi transmises à Facebook. Il n’est pas précisé ce qu’est un “moyen de traitement” et une “influence” pertinente sur le moyen dans d’autres constellations. Mais il est tout de même clair que Connaissance du traitement c’est-à-dire la connaissance de l’opération en question. Ce que la CJUE suppose implicitement, c’est la participation de Facebook à ce moyen. La participation réside dans le fait que Facebook met le plugin à disposition et autorise la connexion de données avec son serveur lors de son utilisation, ce qui lui permet de collecter des données personnelles.
L’exécution à des fins communes est intéressante. Fashion ID veut que sa publicité soit diffusée sur Facebook de manière ciblée, ce qui est également dans l’intérêt de Facebook, et en même temps Facebook veut utiliser les données à d’autres fins (non expliquées ici). La CJUE part donc du principe que le lien économique entre les objectifs et traite ensuite les deux objectifs comme un seul et même but unique mais commun.

Les points suivants, plus généraux, ressortent de l’arrêt :

La CJCE poursuit sa forte une jurisprudence favorable à la protection des données – sans surprise – continue. Ce n’est pas seulement sur ce point que l’arrêt rappelle la décision rendue dans l’affaire Google Espagne (là, la question était différente, mais les déclarations de la CJCE (“ […] il ne saurait être question de soustraire le traitement de données à caractère personnel […] aux obligations et garanties prévues par la directive 95/46, ce qui limiterait l’effet utile de la directive et la protection effective et complète des droits et libertés fondamentaux des personnes physiques qu’elle vise à assurer […] ”) restent valables). L’approche économique a également été déterminante dans le cas de Google Spain. Pour la CJCE, il s’agit manifestement d’aider la protection des données à s’imposer, et ce dans les conditions économiques concrètes, sans que les questions dogmatiques ne jouent un grand rôle. Il en résulte à l’inverse que les autorités de surveillance doivent veiller dans leur activité à la protection effective et ne pas accorder une grande importance aux infractions aux formalités, dans la mesure où celles-ci n’augmentent pas les risques pour les personnes concernées.
La responsabilité partagée n’est pas un concept académique mais Élément clé dans la détermination de la responsabilité, le pour toutes les mesures de conformité (p. ex. registre de traitement ; élaboration de contrats avec des prestataires de services et des partenaires au sein du groupe et avec des personnes extérieures ; communication avec les personnes concernées ; droits des personnes concernées ; planification des mesures de sécurité ; réglementation de la responsabilité, etc.
La détermination de la responsabilité commune est fortement liée à un cas particulierIl s’agit non seulement de savoir quand il y en a un, mais aussi et surtout de savoir jusqu’où il va. Dans les relations internes au groupe, cela complique le travail avec des modèles de contrats et, le cas échéant, les modèles doivent être complétés par des instructions et des aides correspondantes. La granularité de la considération – responsabilité commune se rapportant à des éléments individuels concrètement déterminés – peut en outre conduire à ce que deux ou plusieurs parties portent plusieurs casquettes pour un seul projet.
L’importance de la responsabilité commune, associée à une approche au cas par cas et à des conséquences juridiques différentes selon la qualification des rôles des parties, a le potentiel d’aider notamment le traitement des données personnelles au sein d’un groupe beaucoup plus complexe de faire.

Bases légales : pas de privilège ( ?)

Les explications relatives aux bases juridiques sont intéressantes et vont également au-delà du cas concret. Le site TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE Düsseldorf avait demandé si, lors d’un éventuel examen de la base juridique des intérêts légitimes, il convenait de se fonder sur l’intérêt légitime de cet opérateur ou sur l’intérêt légitime du fournisseur mentionné (la CJCE a laissé en suspens la question de savoir si un consentement était nécessaire en vertu de la directive sur les cookies ; cela sera examiné par le TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE Düsseldorf doivent examiner). Ici, la CJCE a dit ce qui suit :

Étant donné que […] l’exploitant d’un site web qui intègre dans ce site web un plug-in social qui incite le navigateur du visiteur de ce site web à demander des contenus au fournisseur de ce plug-in et à transmettre à cet effet des données à caractère personnel du visiteur à ce fournisseur, conjointement avec ce fournisseur que […] Responsable peut être considéré, il est nécessaire que chacun de ces responsables a un intérêt légitime dans ces opérations de traitement. […] afin que ces processus justifié pour chacun d’entre eux sont

Selon la CJUE, les opérations relevant de la responsabilité conjointe des deux parties – la collecte et la transmission – doivent donc être pour chaque individu être justifiée. Si l’on prend cette affirmation à sa valeur nominale, il y a là une controversé Question tranchée : le transfert de données d’un responsable commun à l’autre est (contrairement à celui d’un responsable à son sous-traitant) non privilégiémais nécessite une base juridique, tout comme le transfert à un responsable indépendant.

Il n’est toutefois pas possible de savoir si la CJCE a réellement voulu dire cela. Les considérants ne montrent pas que la CJCE était consciente de la signification possible de ces déclarations. D’autre part, on peut difficilement lire les déclarations de la CJUE comme si elle avait envisagé un privilège. En effet, elle ne parle pas du fait que Facebook pour les traitements suivants sous sa propre responsabilité, a besoin d’une base juridique propre (ce qui est bien sûr le cas) ; au contraire, il a déjà besoin d’une base juridique propre. la transmission en tant que telle une base juridique. Au final, le privilège n’a pas disparu, mais il est devenu plus risqué de s’y fier.

Ce que la CJCE n’a pas dit (contrairement à certains Prises de position sur le jugement) : qu’il y a là une Consentement aurait été nécessaire. La CJCE se contente de dire qu’il appartient à l’exploitant du site web le cas échéant, d’obtenir le consentement, car celui-ci devrait être obtenu avant la collecte et la transmission des données. Il appartiendra au TRIBUNAL RÉGIONAL SUPÉRIEUR DE JUSTICE Düsseldorf de vérifier si le consentement est requis.

Autres points

La CJCE a retenu les autres points suivants :

Le site Obligation d’information au sens de l’art. 13 s. de la loi sur la protection des données. RGPD doit être remplie immédiatement, c’est-à-dire lors de la perception, et non ultérieurement (c’est en tout cas ce que l’on peut lire aux nos 102 et suivants).
Une réglementation nationale qui Les associations de consommateurs ont le droit d’agir en justice contre les auteurs de violations de données n’est pas contraire à la directive.

CJUE dans l’af­fai­re Fashion ID : responsa­bi­li­té com­mu­ne pour les plug­ins sociaux

Situa­ti­on de fait

Noti­on de responsa­bi­li­té partagée

Résul­tat intermédiaire

Bases léga­les : pas de privilège ( ?)

Aut­res points