Responsabilités du traitement des données sur Facebook

Par sa décision du 5 juin 2018(1), la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la coresponsabilité de l’administrateur d’une page fan sur Facebook en matière de traitement de données ainsi que sur les contours des pouvoirs d’intervention conférés aux autorités de contrôle d’un État membre à l’égard d’un établissement, situé sur le territoire de cet État membre, d’une entreprise établie en dehors de l’Union.

En l’espèce, une société allemande, spécialisée dans le domaine de l’éducation, offrait des services de formation au moyen d’une page fan hébergée sur Facebook. Par l’intermédiaire de l’une des fonctions mise à la disposition par Facebook selon des conditions d’utilisation non modifiables, les administrateurs de cette page pouvaient obtenir des données statistiques anonymes sur les visiteurs de cette page, collectées grâce à des « cookies » actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou tout autre support des visiteurs de la page fan.

Par une décision du 3 novembre 2011, l’autorité régionale indépendante de protection des données du Schleswig-Holstein avait, en sa qualité d’autorité de contrôle chargée de surveiller l’application des dispositions allemandes transposant la directive 95/46 sur la protection des données(2), ordonné à la société de désactiver sa page fan au motif que ni celle-ci, ni la société Facebook n’avaient informé les visiteurs de la page fan que des informations à caractère personnel les concernant étaient collectées et traitées.

Contestant cette décision devant les juridictions administratives allemandes en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne pouvait lui être imputé et qu’elle n’avait pas non plus chargé Facebook de procéder à un traitement de données, la société en cause considérait que l’autorité de contrôle aurait dû agir directement contre Facebook et non contre elle.

Répondant à une question préjudicielle posée par la Cour administrative fédérale allemande portant sur l’interprétation à donner de la directive 95/46 sur la protection des données, la Cour de justice juge qu’un administrateur tel que la société en cause doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook Ireland (filiale irlandaise établie sur le territoire de l’Union) du traitement des données en question. L’utilisation d’une plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations à caractère personnel.

La Cour relève, en effet, que l’administrateur de la page fan peut demander l’obtention (sous une forme anonymisée) – et donc le traitement – de données démographiques concernant son audience cible, d’informations sur le style de vie et les centres d’intérêt de son audience cible et de données géographiques qui permettent, de manière plus générale, de cibler au mieux son offre d’informations. La Cour juge ainsi qu’un tel administrateur participe dès lors, par son action de paramétrage, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan.

En outre, la Cour relève que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère la directive 95/46 à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement (en l’espèce Facebook Germany) est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire de l’État membre en question et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre (en l’espèce Facebook Ireland). Par conséquent, la Cour juge que l’autorité régionale indépendante allemande est compétente, en l’espèce, pour assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel pour mettre en œuvre à l’égard de Facebook Germany l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la directive 95/46.
 
Notes
puce note (1) CJUE, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, C-2018/388
puce note (2) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
 
 
Informations légales | Données personnelles