Un administrateur de page « Fan » Facebook est-il un responsable de traitement au sens de la Directive 95/46/CE modifiée sur la protection des données à caractère personnel ? Cette question a été soulevée devant les juridictions européennes, dans le cadre d’un litige opposant la CNIL allemande (l’ULD) à une société allemande utilisant une page « Fan » sur Facebook.

L’ULD avait enjoint une société allemande, spécialisée dans l’éducation, de désactiver sa page « Fan » Facebook pour défaut d’information des utilisateurs sur la collecte de leurs données à caractère personnel réalisée par Facebook, par le biais de cookies déposés sur leur disque dur, aux fins : 

(i)               d’établir des statistiques d’audience destinées à l’administrateur de la page ;

(ii)              de permettre la diffusion par Facebook de publicités ciblées. 

Refusant de se soumettre à l’injonction de la CNIL, la société allemande arguait qu’elle n’était pas responsable du traitement et en conséquence pas tenue à cette obligation d’information, Facebook étant à l’origine de l’installation du cookie et de la collecte des données.

Le Tribunal administratif annulant l’injonction de la CNIL, le litige est arrivé jusqu’à la cour administrative fédérale allemande qui a, par renvoi préjudiciel, interrogé la Cour de Justice de l’Union européenne, notamment sur la question de savoir qui de la société administratrice de la page fan et de Facebook est responsable du traitement litigieux.

Dans l’attente de la décision des juges européens, l’avocat général nous propose des pistes de réponses, en s’inspirant notamment de la jurisprudence européenne.  

Selon lui, au regard de la Directive 95/46/CE modifiée :

  • constitue un responsable de traitement « l’administrateur d’une page fan d’un réseau social tel que Facebook, pour ce qui concerne la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page en vue de l’établissement de statistiques d’audience relatives à ladite page » ; 
  • l’administrateur de la page Fan et l’éditeur du réseau social Facebook seraient donc co-responsables de la phase du traitement consistant dans la collecte des données à caractère personnel par Facebook.

Cette affaire est une bonne occasion de rappeler que le recours par une entreprise aux services en ligne édités par des tiers (solutions, plateformes, réseaux, etc.) ne lui permet pas de se soustraire à ses obligations en matière de protection des données à caractère personnel au titre des traitements de données qu’elle met en œuvre dans le cadre de l’utilisation de ces services. 

Il convient de vous assurer que les outils que vous utilisez vous permettent bien de respecter vos obligations légales et notamment d’informer les personnes concernées sur les traitements que vous mettez en œuvre avec leurs données.  

Nous contacter