Réf. : CJUE, 29 juillet 2019, aff. C-40/17 (N° Lexbase : A7357ZKP)
Lecture: 3 min
N0126BYC
Citer l'article
Créer un lien vers ce contenu
par Vincent Téchené
le 04 Septembre 2019
► Le gestionnaire d’un site internet équipé du bouton «j’aime» de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site ;
► En revanche, il n’est, en principe, pas responsable du traitement ultérieur de ces données par Facebook seule.
Tel est l’enseignement d’un arrêt rendu le 29 juillet 2019 par la CJUE (CJUE, 29 juillet 2019, aff. C-40/17 N° Lexbase : A7357ZKP).
En l’espèce, une entreprise allemande de vente de vêtements de mode en ligne, a inséré sur son site internet le bouton «j’aime» de Facebook. Cette insertion semble avoir pour conséquence que, lorsqu’un visiteur consulte le site internet des données à caractère personnel de ce visiteur sont transmises à Facebook Ireland. Il apparaît que cette transmission s’effectue sans que ledit visiteur en soit conscient et indépendamment du fait qu’il soit membre du réseau social Facebook ou qu’il ait cliqué sur le bouton «j’aime». Une association de défense des intérêts des consommateurs, reproche à cette entreprises d’avoir transmis à Facebook Ireland des données à caractère personnel des visiteurs de son site internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.
La Cour précise, tout d’abord, que l’ancienne Directive sur la protection des données (Directive 95/46 du 24 octobre 1995 N° Lexbase : L8240AUQ) ne s’oppose pas à ce que les associations de défense des intérêts des consommateurs se voient accorder le droit d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. La Cour relève que le «RGPD» (Règlement (UE) n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), prévoit maintenant expressément une telle possibilité.
Elle constate ensuite que l’entreprise en question semble ne pas pouvoir être considérée comme responsable des opérations de traitement de données effectuées par Facebook Ireland après leur transmission à cette dernière. En effet, il apparaît exclu, de prime abord, que l’entreprise détermine les finalités et les moyens de ces opérations. En revanche, elle peut être considérée comme étant responsable conjointement avec Facebook des opérations de collecte et de communication par transmission à Facebook des données en cause, dès lors qu’il peut être considéré que l’entreprises et Facebook en déterminent, conjointement, les moyens et les finalités.
La Cour souligne que le gestionnaire d’un site internet, en tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook, doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.
La Cour apporte encore des précisions à deux des six cas de traitement licite de données à caractère personnel, prévus par la Directive.
Ainsi, en ce qui concerne le cas où la personne concernée a donné son consentement, la Cour décide que le gestionnaire d’un site internet tel qu’en l’espèce doit recueillir ce consentement au préalable (uniquement) pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données. En ce qui concerne les cas où le traitement de données est nécessaire à la réalisation d’un intérêt légitime, la Cour décide que chacun des (co)responsables du traitement, à savoir le gestionnaire du site internet et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:470126
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.