[Brèves] Traitement des données des visiteurs d’une page fan sur Facebook : responsabilité conjointe de l’administrateur de la page avec Facebook

► L’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page. Tel est le principal enseignement d’un arrêt rendu par la CJUE le 5 juin 2018 (CJUE, 5 juin 2018, aff. C-210/16 N° Lexbase : A2093XQL).

Dans cette affaire, l’autorité régionale indépendante de protection des données du Schleswig-Holstein (Allemagne) a ordonné à une société de désactiver sa page fan. En effet, selon l’autorité, ni la société, ni Facebook n’ont informé les visiteurs de la page fan que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations. La société a introduit un recours contre cette décision en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne peut pas lui être imputé et qu’elle n’a pas non plus chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. L’autorité aurait donc dû agir directement contre Facebook et non contre elle.

La CJUE, saisie d’une question préjudicielle, constate donc qu’un administrateur tel doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook Ireland du traitement des données en question. En effet, un tel administrateur participe, par son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. Selon la Cour, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel. La Cour souligne que la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la Directive 95/46 sur la protection des données (N° Lexbase : L8240AUQ).

En outre, la Cour constate que l’autorité du Schleswig-Holstein est, en l’espèce compétente, aux fins d’assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, non seulement à l’égard de la société requérante mais également à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la Directive 95/46.

La Cour précise encore que, lorsque l’autorité de contrôle d’un Etat membre  entend exercer à l’égard d’un organisme établi sur le territoire de cet Etat membre les pouvoirs d’intervention prévus par la Directive 95/46 en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre Etat membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier Etat membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre Etat membre à intervenir.

© Reproduction interdite, sauf autorisation écrite préalable