L’Administrateur d’une « fan page » Facebook est un responsable de traitement

Virginie PERDRIEUX
Virginie PERDRIEUX

 

Source : CJUE Grande Chambre 5 juin 2018 – Affaire C-210/16

 

Une autorité régionale indépendante de protection des données allemande a saisi la Cour de justice de l’Union Européenne d’une demande de décision préjudicielle portant sur l’interprétation de la Directive 95/46/CE du Parlement Européen du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, désormais abrogée par le Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018, mais dont la définition de la notion de « responsable du traitement » est restée inchangée.

 

Cette demande était présentée dans le cadre d’un litige opposant l’autorité indépendante allemande à une société de droit privé spécialisée dans le domaine de l’éducation, au sujet de la légalité d’une injonction faite à son encontre de désactiver sa fan page hébergée sur le site du réseau social Facebook.

 

Les pages fan consiste en des comptes d’utilisateurs qui peuvent être configurés sur Facebook, par des particuliers ou des entreprises.

 

L’auteur d’une fan page peut utiliser la plateforme aménagée par Facebook pour se présenter aux utilisateurs du réseau social, ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature sur le marché des médias et de l’opinion.

 

Les administrateurs de ces pages peuvent notamment obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée « Facebook insight », mise gratuitement à leur disposition par Facebook, selon des conditions d’utilisation non modifiables.

 

La question préjudicielle principale posée par ce litige consistait en résumé, à déterminer si l’administrateur de cette fan page devait être considéré comme responsable de traitement pour les données à caractère personnel relatives aux personnes visitant sa page, au même titre que la société Facebook.

 

La CJUE qui a entendu rappeler, dans un premier temps, que l’article 2 sous D de la directive définit de manière large la notion de « responsable de traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou toute autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

 

En effet, ainsi que la Cour l’a d’ores et déjà jugé, l’objectif de cette disposition est d’assurer, par une définition large de la notion de « responsable » une protection efficace et complète des personnes concernées (arrêt du 13 mai 2014, Google Spain et Google, C-131/12).

 

Cette notion de responsable de traitement ne renvoie par ailleurs pas nécessairement à un seul organisme et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données, de manière graduée, selon leur degré d’implication.

 

En l’espèce, la CJUE observe que le traitement de données à caractère personnel fait par la société Facebook, à partir d’une fan page vise, d’une part, à permettre à la société Facebook d’améliorer son système de publicité qu’elle diffuse à travers son réseau, via des cookies et, d’autre part, à l’administrateur d’obtenir des statistiques à partir des visites de cette page, à des fins de gestion de la promotion de son activité, lui permettant notamment de connaitre le profil des visiteurs qui apprécient sa page.

 

Ainsi, la création d’une fan page implique de la part de son administrateur une action de paramétrage, en fonction notamment de son audience cible ainsi que des objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la fan page.

 

Cela est d’autant plus vrai que l’administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook.

 

La CJUE retient donc que l’administrateur de la fan page contribue au traitement des données à caractère personnel des visiteurs de sa page, bien qu’il n’ait accès aux statistiques d’audience que sous une forme anonymisée et ne donne pas d’instructions techniques à la société Facebook quant à la collecte des données.

 

Dans ces conditions, la CJUE reconnait l’existence d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur de la fan page hébergée sur ce réseau, en relation avec le traitement des données personnelles des visiteurs de cette fan page, solution destinée à assurer une protection plus complète des droits dont disposent les personnes concernées.

 

Les conséquences pratiques de cette décision auront pour effet de contraindre les administrateurs de fan page de s’assurer que leur sous-traitant, soit la société Facebook, apporte des garanties suffisantes en termes de mesures de sécurité techniques et organisationnelles relatives au traitement à effectuer pour son compte.

 

Virginie PERDRIEUX

Vivaldi-Avocats

 

 

 

 

Print Friendly, PDF & Email
Partager cet article