Le litige oppose une société allemande spécialisée dans le domaine de l’éducation à l’autorité de protection des données allemande au sujet de la légalité d’une injonction prononcée par cette dernière à l’encontre de cette société, de désactiver une « Fanpage » Facebook dont elle est l’administratreur, au motif que ses visiteurs ne sont pas avertis que leurs données personnelles font l’objet d’une collecte par Facebook grâce à des cookies qui sont déposés sur leur terminal.
Les administrateurs de ces « Fanpages » peuvent utiliser l’outil « Facebook Insights » pour avoir des statistiques de mesure d’audience. Ces statistiques sont élaborées par Facebook et personnalisées par l’Administrateur en fonction de ses besoins.
Cela implique qu’un cookie avec un identifiant unique est déposé sur le terminal de l’utilisateur. Or, une telle action ne peut intervenir sans information et accord préalable de la personne concernée conformément à la Directive 95/46/CE.
La société conteste la légalité de cette injonction et argue, notamment, du fait qu’elle n’est pas responsable du traitement puisque les traitements effectués par Facebook ne peuvent pas lui être imputés et qu’elle n’a pas demandé au réseau social d’effectuer ces traitements pour son compte
L’autorité allemande considère que cette société est soumise à la directive 95/46 dans la mesure où elle apporte une contribution active et volontaire à la collecte de données et qu’elle en profite grâce aux statistiques d’audience.
Cette affaire amène la Cour administrative allemande saisie du litige à solliciter des clarifications sur l’interprétation de la directive sur les points suivants :
- est-ce que la directive 95/46 sur les données personnelles permet aux autorités de contrôle d’exercer leurs pouvoirs d’intervention à l’encontre d’un organisme qui ne peut pas être considéré comme un responsable de traitement ?
- quelle interprétation avoir des dispositions relatives au droit national applicable et aux pouvoirs de l’autorité de contrôle dans le cas d’une société américaine (Facebook) qui dispose de plusieurs filiales en Europe dont les missions sont différentes ?
L’Avocat Général qui a rendu ses conclusions le 24 octobre dernier considère d’une part, que l’administrateur d’une « Fanpage » d’un réseau social tel que Facebook doit être considéré comme responsable conjoint de la phase du traitement des données à caractère personnel, consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page. Position que nous partageons.
D’autre part, il estime qu’un réseau social générant la plupart de ses revenus de la publicité diffusée sur les pages créées par les utilisateurs, les activités des responsables conjoints du traitement que sont Facebook Inc. et Facebook Ireland, en charge du traitement sont indissociablement liées à celle d’un établissement tel que Facebook Germany en charge de la vente d’espaces publicitaires à destination des utilisateurs allemands (il fait, à ce titre, référence à la logique de l’arrêt de la CJUE GOOGLE SPAIN / COSTEJA du 13 mai 2014) et ce, quand bien même Facebook dispose d’un siège en Europe (Facebook Ireland). Position, là encore, que notre cabinet défend devant le TGI de Paris.
