Le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site. L’obligation d‘information des internautes est opposable au gestionnaire du site.

Position de la CJUE

La Verbraucherzentrale NRW, association d’utilité publique de défense des intérêts des consommateurs, reprochait à la société Fashion ID d’avoir transmis à Facebook Ireland des données à caractère personnel appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles. Saisie de l’affaire, la CJUE a considéré que le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site.  En revanche, l’éditeur du site n’est, en principe, pas responsable du traitement ultérieur de ces données par Facebook.

Niveau de protection élevée des données personnelles

Conformément à l’objectif poursuivi par la directive 95/46 (remplacée par le Règlement (UE) 2016/679 du 27 avril 2016 dit RGDP) de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, la notion de « responsable du traitement » est définie de manière large. Il s’agit de la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel (arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, points 26 et 27). L’objectif est d’assurer une protection efficace et complète des personnes concernées (arrêts du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388).

Notion de responsable de traitement

La notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données (arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 29, et du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 65).

Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46 (arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 68).

Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées (voir, en ce sens, arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 38, et du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 69).

Conséquences de la responsabilité conjointe

L’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 66).

Lorsque plusieurs acteurs déterminent conjointement les finalités et les moyens d’un traitement de données à caractère personnel, ils participent, en tant que responsables, à ce traitement. L’éditeur du site et Facebook déterminent donc conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs. La circonstance que le gestionnaire d’un site Internet, n’a pas lui-même accès aux données à caractère personnel collectées et transmises au fournisseur du module social avec lequel il détermine, conjointement, les moyens et les finalités du traitement des données à caractère personnel ne fait pas obstacle à ce qu’il puisse présenter la qualité de responsable du traitement.

Pour rappel, un traitement de données à caractère personnel inclut toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Il ressort de cette définition qu’un traitement de données à caractère personnel peut être constitué d’une ou de plusieurs opérations, chacune d’entre elles visant l’un des différents stades que peut contenir un traitement de données à caractère personnel.

[list]
[li type=”glyphicon-ok”]Télécharger la décision[/li]
[li type=”glyphicon-ok”]Télécharger un modèle de contrat en droit des données personnelles[/li]
[li type=”glyphicon-ok”]Poser une question juridique (confidentialité garantie, réponse en 48h) [/li]
[li type=”glyphicon-ok”]Mise en relation avec un Avocat ayant traité un dossier similaire (affaires vérifiées)[/li]
[li type=”glyphicon-ok”]Commander un dossier juridique sur le RGDP(en 48h)[/li]
[/list]