Dans un arrêt du 29 juillet 2019, la Cour de justice de l’Union européenne (CJUE), qualifie de responsable conjoint avec la société Facebook une société de vente en ligne ayant apposé un bouton « J’aime » de Facebook sur son site

Les faits relèvent des dispositions de la Directive 95/46 abrogée depuis l’entrée en application du RGPD. Pour autant, de telles conclusions pourraient s’inscrire dans le cadre du nouveau texte qui définit, de manière similaire, le responsable de traitement comme «la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Son article 26 est par ailleurs consacré aux responsables conjoints d’un même traitement.

En l’espèce, à l’instar de la majorité des sites de e-commerce, la société Fashion ID avait placé le bouton « J’aime » de Facebook sur une des pages de son site, par le fait duquel la simple connexion au site de vente permettait la collecte et le transfert des données des internautes à la société Facebook (qu’ils activent ou pas le bouton « j’aime »)

C’est dans ce contexte qu’une association de consommateur a saisi les juridictions allemandes d’une action à l’encontre de la société Fashion ID pour transmission de leurs données à Facebook sans leur consentement. Au-delà de la problématique liée à la possibilité pour les associations d’agir contre un auteur présumé d’une atteinte aux dispositions relatives à la protection des données, ici confirmée, se pose celle de la qualification du responsable d’un traitement de données personnelles.

Lors de décisions antérieures, la CJUE avait été amenée à considérer un administrateur d’une page fan sur Facebook comme conjointement responsable avec le réseau social du traitement des données des visiteurs de sa page (5 juin 2018, Wirtschaftakademie Schleiswig-Holstein C-210/16,https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62016CJ0210), ou encore, une communauté religieuse, qui encourageait, coordonnait et organisait la collecte de données par ses membres prédicateurs auprès de personnes physiques, sans pour autant y avoir accès (10 juillet 2018, Jehovan todistajat C-25/17), http://curia.europa.eu/juris/document/document.jsf?docid=203822&doclang=FR.

La Cour retient à nouveau ici la responsabilité conjointe des deux acteurs d’un même traitement, mais limite cette qualification aux opérations de traitement dédiées à la collecte et à la communication des données, pour l’exclure s’agissant du traitement des données après leur transmission à Facebook Ireland. Elle estime que Facebook détermine alors seule les finalités et les moyens de ces opérations.

Ainsi, par la simple mise à disposition sur son propre site du bouton « J’aime », Fashion ID est responsable conjoint de la collecte et de la transmission des données à Facebook, à l’exclusion de tout autre traitement réalisé par Facebook ultérieurement.

Il est probable que la CJUE n’ait pas été insensible aux intérêts économiques respectifs, tant de Fashion ID, qui optimise son site par la présence même de ce bouton, que de Facebook qui dispose, de ce fait, des données des internautes à ses propres fins commerciales.

Au regard de cette distinction des opérations de traitements opérées, la Cour fait peser des obligations spécifiques sur les différents acteurs et précise que le niveau d’exigence à l’égard de chacun résulte de leur degré d’implication respectif . La société Fashion ID, gestionnaire du site de vente en ligne, est dès lors tenue, s’agissant des opérations de traitement des données à caractère personnel dont elle détermine effectivement les finalités et les moyens, de fournir, au moment de la collecte des données, les informations adaptées permettant d’en assurer la loyauté et de disposer d’une base juridique qui lui est propre.

Par cette décision, la CJUE retient explicitement que la responsabilité conjointe des acteurs d’un même traitement ne se traduit pas nécessairement par des obligations équivalentes, lesquelles doivent être évaluées au regard de toutes les circonstances pertinentes du cas d’espèce.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance 

Partager: