[Brèves] Collecte de données personnelles : coresponsabilité de Facebook et du gestionnaire d’un site internet équipé du bouton «j’aime» de Facebook

► Le gestionnaire d’un site internet équipé du bouton «j’aime» de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site ;

► En revanche, il n’est, en principe, pas responsable du traitement ultérieur de ces données par Facebook seule.

Tel est l’enseignement d’un arrêt rendu le 29 juillet 2019 par la CJUE (CJUE, 29 juillet 2019, aff. C-40/17 N° Lexbase : A7357ZKP).

En l’espèce, une entreprise allemande de vente de vêtements de mode en ligne, a inséré sur son site internet le bouton «j’aime» de Facebook. Cette insertion semble avoir pour conséquence que, lorsqu’un visiteur consulte le site internet des données à caractère personnel de ce visiteur sont transmises à Facebook Ireland. Il apparaît que cette transmission s’effectue sans que ledit visiteur en soit conscient et indépendamment du fait qu’il soit membre du réseau social Facebook ou qu’il ait cliqué sur le bouton «j’aime». Une association de défense des intérêts des consommateurs, reproche à cette entreprises d’avoir transmis à Facebook Ireland des données à caractère personnel des visiteurs de son site internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.

La Cour précise, tout d’abord, que l’ancienne Directive sur la protection des données (Directive 95/46 du 24 octobre 1995 N° Lexbase : L8240AUQ) ne s’oppose pas à ce que les associations de défense des intérêts des consommateurs se voient accorder le droit d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. La Cour relève que le «RGPD» (Règlement (UE) n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), prévoit maintenant expressément une telle possibilité.

Elle constate ensuite que l’entreprise en question semble ne pas pouvoir être considérée comme responsable des opérations de traitement de données effectuées par Facebook Ireland après leur transmission à cette dernière. En effet, il apparaît exclu, de prime abord, que l’entreprise détermine les finalités et les moyens de ces opérations. En revanche, elle peut être considérée comme étant responsable conjointement avec Facebook des opérations de collecte et de communication par transmission à Facebook des données en cause, dès lors qu’il peut être considéré que l’entreprises et Facebook en déterminent, conjointement, les moyens et les finalités.

La Cour souligne que le gestionnaire d’un site internet, en tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook, doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.

La Cour apporte encore des précisions à deux des six cas de traitement licite de données à caractère personnel, prévus par la Directive.

Ainsi, en ce qui concerne le cas où la personne concernée a donné son consentement, la Cour décide que le gestionnaire d’un site internet tel qu’en l’espèce doit recueillir ce consentement au préalable (uniquement) pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données. En ce qui concerne les cas où le traitement de données est nécessaire à la réalisation d’un intérêt légitime, la Cour décide que chacun des (co)responsables du traitement, à savoir le gestionnaire du site internet et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.

© Reproduction interdite, sauf autorisation écrite préalable