Par un très attendu arrêt du 29 juillet dernier (affaire C-40/17), la CJUE a tranché la question de la responsabilité en matière de données personnelle des gestionnaires de site internet insérant des boutons « J’aime ».
Les faits étaient simples : l’exploitant d’un site de vente en ligne, à l’instar de nombreux sites internet, a inséré un bouton « J’aime » sur son site permettant le transfert de données personnelles des visiteurs dudit site à FACEBOOK et ce, peu important que le visiteur clique ou non sur ledit bouton et/ou ait ou non un compte Facebook. Une association de consommateurs allemande a considéré que, par-là, le gestionnaire du site ne respecte pas la règlementation relative à la protection des données faute d’informer les personnes concernées d’un tel traitement et de recueillir leur consentement. Le gestionnaire du site considérait, quant à lui, ne pas avoir enfreint la réglementation notamment parce qu’il ignore les traitements des données qui sont transmises à FACEBOOK et n’a pas d’influence sur ceux-ci.
L’affaire a été portée devant les juridictions allemandes qui ont interrogé la CJUE sur la responsabilité d’un tel gestionnaire de site au regard de la Directive 95/46/CE sur la protection des données (abrogée par le RGPD) applicable alors aux faits.
Pour les juges européens, il convient de distinguer les traitements de données opérés via le module social « J’aime » selon deux catégories :
- d’une part, ceux effectués par FACEBOOK après transmission des données via le site et qui ne semblent pas pouvoir relever de la responsabilité du gestionnaire du site : en effet, a priori, le gestionnaire ne détermine ni les moyens ni les finalités de telles opérations ;
- d’autre part, ceux consistant en la collecte et la communication à FACEBOOK des données et qui semblent, quant à eux, relever d’une responsabilité conjointe du gestionnaire du site avec FACEBOOK si ces derniers déterminent bien conjointement les moyens et finalités de ces opérations.
S’il appartient à la juridiction du fond de faire les appréciations d’espèce pour confirmer ces points, la CJUE a précisé qu’il lui semble que l’insertion du bouton J’aime permet au gestionnaire du site d’optimiser ses actions publicitaires de sorte qu’il apparaît avoir accepté, à tout le moins implicitement, la collecte et la transmission de données de son site à FACEBOOK.
Le cas échéant, le gestionnaire est alors coresponsable de traitement de données des visiteurs de son site et a l’obligation de fournir les informations imposées par la règlementation au moment de la collecte de ces données (identité, finalité du traitement).
A noter que si l’arrêt de la CJUE a été rendu au visa de la Directive 95/46 CE, la solution pourrait tout à fait s’appliquer à l’ère du RGPD, lequel a repris les principes de la directive et même renforcé certaines obligations à ce titre (notamment en exigeant la conclusion d’un contrat entre coresponsables de traitement).
Quoiqu’il en soit, cet arrêt vient à nouveau préciser la responsabilité des exploitants de site internet qui utilisent des outils de réseaux sociaux (rappelons la coresponsabilité d’un gestionnaire d’une page fan Facebook retenue par la CJUE le 5 juin 2018).
L’application de cet arrêt par les tribunaux et cours locaux sera particulièrement intéressante à suivre…
Lien vers la publication :
