Bouton « J’aime » de Facebook : voici le verdict final de la CJUE
Publié le 29/07/2019 par Bojana Salovic, Thierry Léonard, Etienne Wery
Pour la Cour, le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook, peut être déclaré conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs du site. Après l’arrêt « Wirtschaftsakademie » de 2018, qui avait considéré que l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page, voici une pierre supplémentaire à l’édifice.
Les faits de l’affaire FASHION ID
Fashion ID est une société de vente en ligne d’articles de mode. Elle a intégré un module sur son site Internet : le bouton « j’aime » de Facebook. Il s’ensuit que lorsqu’un utilisateur se rend sur le site Internet de Fashion ID, des informations sur son adresse IP et la chaîne de caractères de son navigateur sont transmises à Facebook.
Cette transmission s’opère automatiquement lorsque le site Internet de Fashion ID est chargé, indépendamment du fait que l’utilisateur ait cliqué ou non sur le bouton « j’aime » de Facebook et qu’il dispose ou non d’un compte Facebook.
Une association allemande de protection des consommateurs, Verbraucherzentrale NRW, a intenté une action à l’encontre de Fashion ID au motif que l’utilisation de ce plugiciel était contraire aux lois sur la protection des données à caractère personnel.
Saisi du litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) demande à la Cour de justice d’interpréter plusieurs dispositions de l’ancienne directive de 1995 sur la protection des données (qui demeure applicable à cette affaire et qui a été remplacée par le règlement général de 2016 sur la protection des données applicable depuis le 25 mai 2018).
L’avis de l’avocat général
Nous nous sommes fait l’écho, dans une précédente actu, de l’avis de l’avocat général dans ce dossier.
Dans ses conclusions, l’avocat général Michal Bobek invitait la Cour à constater que la directive ne fait pas obstacle à une réglementation nationale qui habilite des associations d’utilité publique à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données dans le but de défendre les intérêts des consommateurs.
L’avocat général invitait ensuite la Cour à juger qu’en vertu de la directive sur la protection des données, le gestionnaire d’un site Internet (Fashion ID) ayant inséré un plugiciel d’un tiers dans son site (le bouton « j’aime » de Facebook) qui collecte et transmet des données à caractère personnel de l’utilisateur, soit considéré comme le responsable conjoint du traitement avec ledit tiers (Facebook Ireland).
Toutefois, la responsabilité (conjointe) de ce responsable du traitement est limitée aux seules opérations pour lesquelles il est effectivement codécideur des finalités et des moyens du traitement des données à caractère personnel.
Sur la légitimité du traitement des données à caractère personnel sans le consentement de l’utilisateur, l’avocat général rappellait qu’un tel traitement est légitime si trois conditions sont réunies : la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.
Sur ce point, l’avocat général proposait à la Cour de juger que les intérêts légitimes des deux responsables conjoints des traitements en cause (Fashion ID et Facebook Ireland) doivent être pris en compte et mis en balance au regard des droits des personnes concernées au regard des utilisateurs du site Internet.
L’avocat général suggérait également qu’il soit jugé que, lorsqu’il est exigé, le consentement de la personne concernée doit être donné au gestionnaire du site Internet (Fashion ID) qui y a inséré le contenu d’un tiers. De même, l’obligation de fournir à l’utilisateur du site Internet le minimum d’informations requis incombe au gestionnaire de ce site Internet (Fashion ID).
L’arrêt de la Cour
La Cour a entièrement suivi les conclusions de son avocat général. Ainsi, elle précise tout d’abord que l’ancienne directive sur la protection des données ne s’oppose pas à ce que les associations de défense des intérêts des consommateurs se voient accorder le droit d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données. En effet, le règlement général sur la protection des données prévoit désormais expressément une telle possibilité (cfr article 80 GDPR).
La Cour constate ensuite que Fashion ID semble ne pas pouvoir être considérée comme responsable des opérations de traitement de données effectuées par Facebook Ireland après leur transmission à cette dernière. En effet, il apparaît exclu, de prime abord, que Fashion ID détermine les finalités et les moyens de ces opérations.
En revanche, Fashion ID peut bel et bien être considérée comme étant responsable conjointement avec Facebook des opérations de collecte et de communication par transmission à Facebook des données en cause, dès lors qu’il peut être considéré que Fashion ID et Facebook Ireland en déterminent, conjointement, les moyens et les finalités (sous réserve des vérifications à effectuer par la juridiction nationale).
La Cour précise qu’il semble que l’ajout par Fashion ID du bouton «j’aime» de Facebook sur son site Internet lui permette d’optimiser la publicité pour ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu’un visiteur de son site Internet clique sur ledit bouton. C’est donc afin de pouvoir bénéficier de cet avantage commercial que Fashion ID, en insérant un tel bouton sur son site, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site. La Cour en déduit ainsi que ces opérations de traitement paraissent être effectuées dans l’intérêt économique tant de Fashion ID que de Facebook Ireland (pour qui le fait de pouvoir disposer de ces données à ses propres fins commerciales constitue la contrepartie de l’avantage offert à Fashion ID).
(Voir aussi notre analyse de l’arrêt de 2018 wirtschaftsakademie.)
Quelles conséquences pour les sites internet utilisant un bouton « j’aime » ?
La Cour souligne que le gestionnaire d’un site Internet, tel que celui de Fashion ID dans le cas d’espèce, en tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook Ireland, doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.
La Cour a également apporté des précisions concernant deux des six cas de traitement licite de données, prévus par la directive (et désormais repris à l’article 6 GDPR).
Pour ce qui est des cas où la personne concernée a donné son consentement, la Cour décide que le gestionnaire d’un site Internet tel que Fashion ID doit recueillir ce consentement au préalable (uniquement) pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données. En ce qui concerne les cas où le traitement de données est nécessaire à la réalisation d’un intérêt légitime, la Cour décide que chacun des (co)responsables du traitement, à savoir le gestionnaire du site Internet et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.
On rappellera également que la co-responsabilité implique la conclusion d’un contrat entre les deux responsables, conformément à l’article 26 GDPR. Dans cet accord, les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14 (sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis). Le contrat doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. L’article 26.2 GDPR précise que les grandes lignes de l’accord sont mises à la disposition de la personne concernée. On soulignera également que, indépendamment des termes de l’accord, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement (article 26.3 GDPR).
L’arrêt est disponible en annexe.