Le bouton « J’aime » va-t-il disparaitre ?
Publié le 20/12/2018 par Etienne Wery
On le pressentait : c’est chose faite. Pour l’avocat général, celui qui intègre un bouton « J’aime » Facebook sur son site, est responsable conjointement avec Facebook de cette phase du traitement des données. Lorsque la Cour aura confirmé l’analyse (ce qui est très probable), à peu près tous les sites web devront modifier leur charte vie privée (et leur mode de fonctionnement s’ils doivent récolter le consentement) s’ils veulent continuer à utiliser la puissance des réseaux sociaux …
Pour l’avocat général, le gestionnaire du site Internet doit fournir aux utilisateurs le minimum d’informations requis sur les opérations de traitement des données et, lorsqu’il est exigé, recevoir leur consentement avant la collecte et la transmission des données.
Le contexte : l’arrêt Wirtschaftsakademie
Il y a 6 mois, l’arrêt Wirtschaftsakademie de la CJUE avait considéré que l’administrateur d’une page fan sur Facebook, est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page. Ni sous-traitant, ni tiers au traitement, mais bel et bien co-responsable du traitement des données des visiteurs de sa page.
La Cour considérait qu’un tel administrateur participe, par son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. En particulier, la Cour relève à cet égard que l’administrateur de la page fan peut demander l’obtention (sous une forme anonymisée) – et donc le traitement – de données démographiques concernant son audience cible (notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession), d’informations sur le style de vie et les centres d’intérêt de son audience cible (y compris des informations sur les achats et le comportement d’achat en ligne des visiteurs de sa page ainsi que sur les catégories de produits ou de services qui l’intéressent le plus) et de données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.
La Cour suivait la position de l’avocat général, qui avait déjà fait le lien dans son avis avec l’affaire dite Fashion ID, qui concerne la situation du gestionnaire d’un site web qui insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook).
L’avocat avait été clair : « Nous n’identifions pas, à cet égard, de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking. »
Plus d’infos sur cette affaire.
Les faits de l’affaire Fashion ID
Fashion ID est une société de vente en ligne d’articles de mode. Elle a intégré un plugiciel sur son site Internet : le bouton « j’aime » de Facebook. Il s’ensuit que lorsqu’un utilisateur se rend sur le site Internet de Fashion ID, des informations sur son adresse IP et la chaîne de caractères de son navigateur sont transmises à Facebook. Cette transmission s’opère automatiquement lorsque le site Internet de Fashion ID est chargé, indépendamment du fait que l’utilisateur ait cliqué ou non sur le bouton « j’aime » de Facebook et qu’il dispose ou non d’un compte Facebook.
Une association allemande de protection des consommateurs, Verbraucherzentrale NRW, a intenté une action à l’encontre de Fashion ID au motif que l’utilisation de ce plugiciel était contraire aux lois sur la protection des données à caractère personnel.
Saisi du litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) demande à la Cour de justice d’interpréter plusieurs dispositions de l’ancienne directive de 1995 sur la protection des données (qui demeure applicable à cette affaire et qui a été remplacée par le règlement général de 2016 sur la protection des données applicable depuis le 25 mai 2018).
L’avis de l’avocat général
Dans ses conclusions, l’avocat général Michal Bobek invite la Cour à constater que la directive ne fait pas obstacle à une réglementation nationale qui habilite des associations d’utilité publique à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données dans le but de défendre les intérêts des consommateurs.
L’avocat général invite ensuite la Cour à juger qu’en vertu de la directive sur la protection des données, le gestionnaire d’un site Internet (Fashion ID) ayant inséré un plugiciel d’un tiers dans son site (le bouton « j’aime » de Facebook) qui collecte et transmet des données à caractère personnel de l’utilisateur, soit considéré comme le responsable conjoint du traitement avec ledit tiers (Facebook Ireland).
Toutefois, la responsabilité (conjointe) de ce responsable du traitement est limitée aux seules opérations pour lesquelles il est effectivement codécideur des finalités et des moyens du traitement des données à caractère personnel.
Cela signifie qu’est responsable (conjoint) du traitement celui qui est responsable de cette opération ou de cet ensemble d’opérations pour laquelle ou lequel il partage ou détermine conjointement les finalités et les moyens d’une opération donnée de traitement. Par opposition, cette personne ne peut être tenue pour responsable des phases antérieures ou postérieures de la chaîne de traitement pour lesquelles elle n’est en mesure de déterminer ni les finalités ni les moyens.
Au vu des faits de la présente affaire, il semble que Fashion ID et Facebook Ireland décident conjointement des finalités et des moyens du traitement des données au stade de la collecte et de la transmission des données à caractère personnel dont il est question. Sous réserve de vérification par la juridiction de renvoi, Facebook Ireland et Fashion ID semblent avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données et, à défaut d’identité de finalité, il existe une unité de finalité : une finalité commerciale et publicitaire (la décision de Fashion ID d’insérer le bouton « j’aime » de Facebook sur son site Internet paraît motivée par le souhait d’améliorer la visibilité de ses produits par le biais du réseau social).
Dès lors, en ce qui concerne le processus de traitement des données au stade de la collecte et de la transmission des données à caractère personnel, Fashion ID agit en tant que responsable du traitement et, dans cette mesure, en est conjointement responsable avec Facebook Ireland.
Sur la légitimité du traitement des données à caractère personnel sans le consentement de l’utilisateur, l’avocat général rappelle qu’un tel traitement est légitime si trois conditions sont réunies : la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.
Sur ce point, l’avocat général propose à la Cour de juger que les intérêts légitimes des deux responsables conjoints des traitements en cause (Fashion ID et Facebook Ireland) doivent être pris en compte et mis en balance au regard des droits des personnes concernées au regard des utilisateurs du site Internet.
L’avocat général suggère également qu’il soit jugé que, lorsqu’il est exigé, le consentement de la personne concernée doit être donné au gestionnaire du site Internet (Fashion ID) qui y a inséré le contenu d’un tiers. De même, l’obligation de fournir à l’utilisateur du site Internet le minimum d’informations requis incombe au gestionnaire de ce site Internet (Fashion ID).