Par un arrêt du 5 juin 2018 (C-210/15), la Cour de Justice de l’Union Européenne s’est livrée à une interprétation de la directive 95/46 sur la protection des données personnelles (avant RGPD) riche (lourde ?) de conséquences.
En effet, les juges européens ont d’abord considéré que l’administrateur d’une page fan Facebook est conjointement responsable du traitement des données des visiteurs de sa page (essentiellement via le dépôt de cookies), aux côtés du réseau social.
C’est essentiellement l’action de paramétrages qui détermine une telle position : l’administrateur, en utilisant les « filtres » proposés par FACEBOOK, peut définir des critères visant à obtenir des statistiques voire indiquer les catégories de personnes dont les données vont être exploitées par le réseau social.
L’administrateur qui utilise une telle plateforme, afin de bénéficier des services qu’elle propose, doit donc respecter les obligations du responsable de traitement en matière de données à caractère personnel.
Ensuite, la Cour a jugé que la « CNIL » allemande est bien compétente pour assurer le respect de la règlementation « données personnelles » sur son territoire vis-à-vis de FACEBOOK.
Se référant à ses arrêts Costeja et Weltimmo, la CJUE retient que le réseau social génère la plupart de ses revenus de la publicité diffusée sur les pages créées par les utilisateurs. Ainsi, les activités des responsables conjoints du traitement que sont Facebook Inc. et Facebook Ireland sont indissociablement liées à celles d’un établissement tel que Facebook Germany en charge de la vente d’espaces publicitaires à destination des utilisateurs allemands et ce, quand bien même « la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union » à sa filiale irlandaise (Facebook Ireland Limited).
Plus encore, la CJUE juge que la « CNIL » allemande est habilitée à apprécier la légalité des traitements de façon autonome par rapport à l’autorité de contrôle irlandaise et sans avoir à l’appeler au préalable.
La thèse de FACEBOOK selon laquelle (i) la loi de protection des données irlandaise, à l’exclusion de toute autre loi locale, s’appliquerait aux traitements des données des européens, dont les français, et (ii) les rapports du Commissaire à la protection des données de l’Irlande devraient être suivis par les autorités locales, est encore une fois mise à mal.
Cet arrêt, riche d’enseignements, fera certainement couler encore beaucoup d’encre, qu’ils s’agissent de dossiers sous l’empire de la Directive de 95 ou du RGPD…