- La CJUE constate que l’exploitant d’une page fan Facebook est responsable, conjointement avec Facebook, du traitement des données à caractère personnel.
- La responsabilité résulte du paramétrage de la page fan par l’exploitant en ce qui concerne le public cible et les finalités du traitement.
- Facebook place des cookies et collecte des codes d’utilisateur ; il en résulte des évaluations statistiques basées sur la collecte de données personnelles.
- La possibilité d’appliquer cette décision à d’autres outils de réseaux sociaux (plugins sociaux, publicités, pixels, vidéos intégrées) reste discutable.
Contexte de l’arrêt rendu hier par la CJCE (Affaire n. C‑210/16) était une injonction du “Centre régional indépendant pour la protection des données du Schleswig-Holstein” (ULD) contre l’exploitant d’une page fan par la Wirtschaftsakademie Schleswig-Holstein GmbH. Le site ULD a justifié les interdictions par le fait que Facebook commettait des violations de la protection des données et que les exploitants de pages Facebook en étaient coresponsables.
Facebook place des cookies sur les terminaux des visiteurs des pages concernées et collecte leur code utilisateur, qui peut être lié à leurs données de connexion Facebook. Facebook transmet aux exploitants du site des données statistiques anonymes concernant les utilisateurs de ces pages.
La CJUE a reconnu que l’exploitant d’une page Facebook était responsable, conjointement avec Facebook, du traitement des données à caractère personnel des visiteurs de sa page. En effet, l’exploitant détermine, par son paramétrage, les finalités et les moyens du traitement des données personnelles des visiteurs de son site :
36 Dans ce cadre, il ressort des éléments soumis à la Cour que la création d’une page fan sur Facebook implique, de la part de son exploitant, un paramétrage en fonction, notamment, de son public cible et des objectifs de gestion ou de promotion de ses activités, ce qui a une incidence sur le traitement des données à caractère personnel aux fins de l’établissement des statistiques générées par les visites de la page fan. Grâce aux filtres mis à disposition par Facebook, l’exploitant peut définir les critères selon lesquels ces statistiques doivent être établies et même désigner les catégories de personnes dont les données personnelles sont analysées par Facebook. Par conséquent, l’exploitant d’une page fan sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page.
37 En particulier, l’exploitant de la page fan peut demander des données démographiques sur son groupe cible – et donc le traitement de ces données – telles que, entre autres, les tendances en matière d’âge, de sexe, de statut relationnel et de situation professionnelle, des informations sur le style de vie et les centres d’intérêt de son groupe cible et des informations sur les achats et les comportements d’achat en ligne des visiteurs de sa page, les catégories de biens ou de services qui les intéressent le plus, ainsi que des données géographiques qui l’informent sur les lieux où des actions promotionnelles spéciales doivent être menées ou des événements organisés et qui lui permettent, de manière générale, de cibler le plus possible son offre d’informations.
38 S’il est vrai que les statistiques de fréquentation établies par Facebook sont transmises à l’exploitant de la page fan exclusivement sous une forme anonyme, l’établissement de ces statistiques repose sur la collecte préalable – par le biais des cookies placés par Facebook sur l’ordinateur ou tout autre appareil des personnes ayant visité cette page – et sur le traitement des données à caractère personnel de ces visiteurs à ces fins statistiques. En tout état de cause, la directive 95/46 n’exige pas que, lorsque plusieurs exploitants sont conjointement responsables d’un même traitement, chacun d’entre eux ait accès aux données à caractère personnel concernées..
39 Dans ces conditions, il y a lieu de constater que l’exploitant d’une page fan gérée sur Facebook, telle que Wirtschaftsakademie, participe, par le paramétrage qu’il effectue, en fonction notamment de son public cible ainsi que des objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données à caractère personnel des visiteurs de sa page fan. Par conséquent, en l’espèce, l’exploitant doit être qualifié de responsable de ce traitement dans l’Union, conjointement avec Facebook Ireland, au sens de l’article 2, sous d), de la directive 95/46.
On peut maintenant se demander si cette décision a également des répercussions sur les cas où des outils de réseaux sociaux sont utilisés (plugins sociaux tels que le bouton Like ou l’intégration de vidéos, d’annonces ou de pixels).