Dans son arrêt du 5 juin 2018, la CJUE précise que l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page. Ainsi, l’autorité de protection des données personnelles peut agir tant sur l’administrateur de la page facebook que contre la filiale de Facebook établie dans ce même Etat.
Revenons sur cet arrêt important, qui bien que pris sous l’empire de la directive du 24 octobre 1995, vaut sous le règne du RGPD, et bouleverse les relations entre les acteurs du marketing en ligne.
En l’espèce une société allemande spécialisée dans le domaine de l’éducation offre des services de formation, notamment via sa page Facebook. Grâce à l’outil Facebook Insight, mise gratuitement à disposition de l’administrateur de la page, celui-ci peut obtenir des statistiques anonymes sur les visiteurs de la page ( avec différents critères d’âge, de sexe, situation amoureuse, etc.). Ces données sont collectées grâce à des cookies comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page.
L’équivalent de la CNIL allemande a ordonné à la société de désactiver sa page fan car selon elle, ni Facebook, ni l’administrateur n’ont informé les visiteurs de la page que Facebook collectait à l’aide de cookies, des données personnelles, par la suite utilisées par Facebook et la société susmentionnée. Cette dernière a introduit un recours contre cette décision, estimant notamment que l’autorité de contrôle allemande aurait dû agir directement contre Facebook et non contre elle.
C’est dans ce contexte que la Cour administrative fédérale allemande demande à la CJUE d’interpréter la directive 95/46 sur la protection des données et pose (entre autres) la question préjudicielle suivante :
L’article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens qu’il régit de manière définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore, dans le cadre des “mesures appropriées” visées à l’article 24 de [cette directive] et des “pouvoirs effectifs d’intervention” visés à l’article 28, paragraphe 3, deuxième tiret, de [celle-ci], en présence de fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le responsable du traitement des données au sens de l’article 2, sous d), de [ladite directive] au titre du choix d’un administrateur pour son offre d’informations ?
Dans son arrêt rendu le 5 juin 2018, la CJUE confirme que Facebook doit être regardé comme étant « responsable de traitement » des données personnelles collectées puisqu’elle déterminent à titre principal « les finalités et les moyens du traitement de ces données« .
Elle précise ensuite que la société administrateur de la page « doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook Ireland du traitement des données en question« . En effet, un tel administrateur participe, par son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan.
Ainsi, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.
L’arrêt de la CJUE est d’une importance capitale pour toutes les entreprises qui gèrent une fan-page mais aussi pour Facebook, et plus largement les « GAFA ». Il signifie que si Facebook ne respecte pas la législation relative à la protection des données personnelles des utilisateurs de la page fan, les administrateurs peuvent également être mis en cause ; mais aussi que si ces derniers enfreignent le droit applicable, Facebook peut voir sa responsabilité engagée. Il n’y a plus un responsable de traitement vs. un sous-traitant, mais bien une co-responsabilité dans le traitement des données. Les contrats signés entre Facebook et certains clients marketing tels que des administrateurs de fan-page, identifiant la plateforme comme le sous-traitant et l’administrateur comme le « responsable », devront être revus.
Cette décision vient ainsi bouleverser ces mécanismes et donne corps à la nouvelle catégorie de responsable conjoint de traitement introduite par le RGPD.