Pages fan Face­book : accord sur la responsa­bi­li­té partagée

Français 
Français  Deutsch  English 

Auto­ri­té

Sec­teur

Lois

Tags

Contenu 

  1. Com­me on le sait, la CJUE a sta­tué le 5 juin 2018 dans l’af­fai­re des pages fan Face­book, sur ren­voi du tri­bu­nal admi­ni­stra­tif fédé­ral alle­mand, con­trai­re­ment aux instances pré­cé­den­tes (Affai­re n. C‑210/16), que l’ex­plo­itant d’u­ne page fan Face­book est responsable con­join­te­ment avec Face­book l’ex­plo­itant peut influen­cer, par des rég­la­ges appro­priés, les don­nées per­son­nel­les qui sont trai­tées Face­book des visi­teurs de la page fan et les trai­te, ent­re aut­res pour mett­re à la dis­po­si­ti­on de l’ex­plo­itant des éva­lua­tions anony­mes. Ce juge­ment est explo­sif non pas tant à cau­se des pages fan, mais par­ce qu’il élar­git con­sidé­ra­blem­ent le champ d’ap­pli­ca­ti­on de la responsa­bi­li­té par­ta­gée en indi­quant clairement
  • que même une par­ti­ci­pa­ti­on très limi­tée d’u­ne ent­re­pri­se suf­fit, pour éta­b­lir une responsa­bi­li­té com­mu­ne (car “com­mu­ne” ne signi­fie pas “équi­va­len­te”), et
  • que peut aus­si avoir une responsa­bi­li­té com­mu­ne celui qui n’ont pas accès aux don­nées per­son­nel­les en que­sti­on et ne les trai­te pas néces­saire­ment lui-même (tant qu’il n’in­fluence que les fina­li­tés ou les moy­ens du trai­te­ment). Cela est per­ti­nent, par exemp­le, dans le cas de systè­mes uti­li­sés en com­mun au sein d’un grou­pe, mais sépa­rés par mandant.

Dans la pra­tique, cela soulè­ve la que­sti­on de la place qui reste pour les responsa­bi­li­tés sépa­rées et les rela­ti­ons de sous-trai­tance, ain­si qu’u­ne série de Que­sti­ons de sui­vi (par ex : Une ent­re­pri­se sui­s­se peut-elle être responsable con­join­te au sens du RGPD si elle n’est pas sou­mi­se au RGPD en tant que tel­le [pro­ba­blem­ent non ; d’aut­re part, selon l’ar­rêt de la CJCE, un trai­te­ment pro­pre des don­nées – pour lequel il fau­drait exami­ner l’ap­pli­ca­bi­li­té du RGPD – n’est appa­rem­ment pas néces­saire] ; l’é­ch­an­ge de don­nées ent­re respons­ables con­joints est-il pri­vilé­gié, de sor­te qu’u­ne base juri­di­que sépa­rée n’est pas néces­saire pour l’é­ch­an­ge ; com­ment les accords ent­re les g.) ; com­ment la responsa­bi­li­té com­mu­ne doit-elle être repré­sen­tée dans les cont­rats d’é­ch­an­ge de don­nées intra­grou­pe, etc.

La con­fé­rence alle­man­de sur la pro­tec­tion des don­nées a ensuite adop­té le 5 sep­tembre 2018 un Décis­i­on pri­se:

Sans accord selon l’ar­tic­le 26 du RGPD est l’ex­plo­ita­ti­on d’u­ne page fan tel­le qu’el­le est actu­el­le­ment pro­po­sée par Face­book, illé­ga­le. C’est pour­quoi la CCPD deman­de que les exi­gen­ces du droit de la pro­tec­tion des don­nées soi­ent désor­mais rem­plies lors de l’ex­plo­ita­ti­on de pages fan. Cela impli­que notam­ment que les respons­ables com­muns fas­sent la lumiè­re sur la situa­ti­on actu­el­le et four­nis­sent les infor­ma­ti­ons néces­saires aux per­son­nes con­cer­nées (= visi­teurs de la page fan).
Tou­te­fois, une responsa­bi­li­té par­ta­gée signi­fie éga­le­ment que les explo­itants de pages fan (qu’il s’a­gis­se de respons­ables publics ou non) doi­vent Léga­li­té du trai­te­ment des don­nées dont ils sont con­join­te­ment respons­ables, et ce prou­ver peu­vent être mis en œuvre. En out­re, les per­son­nes con­cer­nées peu­vent fai­re valoir les droits que leur con­fè­re le RGPD. auprès et à l’é­gard de tout responsable (artic­le 26, para­gra­phe 3 du RGPD).
En par­ti­cu­lier, les élé­ments énu­mé­rés en anne­xe Que­sti­ons doi­vent donc de Face­book et des explo­itants de pages fan. peu­vent être utilisés.

Le 11 sep­tembre 2018, Face­book a déjà pré­sen­té un accord au sens de l’ar­tic­le 26 du RGPD, éla­bo­ré sous la pres­si­on du temps (“Adden­dum con­trô­leur de pages Insights”), avec notam­ment le con­te­nu suivant :

Face­book Ire­land Limi­t­ed (“Face­book Ire­land”) et vous êtes les co-con­trô­leurs du trai­te­ment des don­nées Insights.

[…] Face­book Ire­land s’en­ga­ge à take pri­ma­ry respon­si­bi­li­ty en ver­tu du GDPR pour le trai­te­ment des don­nées de con­nais­sance et de se con­for­mer à tou­tes les obli­ga­ti­ons appli­ca­bles en ver­tu du GDPR en ce qui con­cer­ne le trai­te­ment des don­nées de con­nais­sance […]. Face­book Ire­land mettra éga­le­ment à la dis­po­si­ti­on des per­son­nes con­cer­nées l’e­s­sence de cet Adden­dum aux don­nées de la Page Insights. […] Vous accep­tez que seul Face­book Ire­land peut prend­re et mett­re en œuvre des décis­i­ons sur le trai­te­ment des don­nées Insights.

Face­book Irlan­de déci­de, à sa seu­le dis­cré­ti­on, de la maniè­re de se con­for­mer avec ses obli­ga­ti­ons au tit­re du pré­sent Adden­dum à la Page Insights. […] […] 

Si vous êtes cont­ac­té par des sujets de don­nées ou une auto­ri­té de sur­veil­lan­ce en ver­tu du RGPD en ce qui con­cer­ne le trai­te­ment des Don­nées Per­son­nel­les et les obli­ga­ti­ons assu­mées par Face­book Ire­land en ver­tu du pré­sent Adden­dum aux Don­nées Per­son­nel­les (cha­cu­ne une “Deman­de”), vous sou­hai­tez for­ward all rele­vant infor­ma­ti­on à nous rapi­de­ment mais dans un délai maxi­mum de 7 jours calendaires.

[…] Vous vous enga­gez à fai­re tout ce qui est rai­sonnablem­ent pos­si­ble, en temps uti­le, pour coopé­rer avec nous en répon­se à une tel­le demande. […].
[…]

La pri­se en char­ge de la responsa­bi­li­té prin­ci­pa­le par Face­book repré­sen­te sans aucun dou­te un sou­la­ge­ment pour les explo­itants de pages. Elle mont­re éga­le­ment une fois de plus qu’u­ne responsa­bi­li­té com­mu­ne ne doit en aucun cas être une responsa­bi­li­té à parts éga­les. Néan­mo­ins, il est recom­man­dé aux explo­itants de pages fans de con­tin­uer à fai­re réfé­rence à leur pro­pre décla­ra­ti­on de pro­tec­tion des don­nées et d’y men­ti­on­ner par exemp­le la base juri­di­que de l’uti­li­sa­ti­on de la page fan (par exemp­le sur leur inté­rêt légiti­me).