Fashion ID, Facebook, le bouton “j’aime” et la notion de coresponsable du traitement

Télécharger en PDF

CJUE, 29.07.2019, C-40/17 (Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV)

Le gestionnaire d’un site Internet qui insère sur celui-ci le bouton “j’aime” de Facebook devient coresponsable (avec Facebook) du traitement  des données personnelles des visiteurs de son site Internet pour la collecte et la transmission de ces données à Facebook . Si le gestionnaire désire se prévaloir du consentement comme motif justifiant le traitement, il doit l’obtenir et informer les visiteurs de leurs droits avant la collecte des données. 

Faits

Fashion ID est une entreprise de vente de vêtements de mode en ligne. Elle insère sur son site Internet le bouton « j’aime » de Facebook. Grâce à l’insertion de ce bouton, Facebook reçoit de Fashion ID des données personnelles de chaque visiteur du site de cette entreprise, sans que celui-ci en soit informé et indépendamment du fait qu’il soit inscrit sur Facebook ou qu’il clique sur le bouton “j’aime”.

La Verbraucherzentrale NRW, association d’utilité publique de défense des intérêts des consommateurs, reproche à Fashion ID d’avoir transmis à Facebook des données personnelles appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.

L’Oberlandesgericht de Düsseldorf, compétent pour trancher ce litige, saisit la Cour de justice de l’Union européenne (CJUE) afin qu’elle détermine notamment (i) si le gestionnaire d’un site Internet qui insère le bouton “j’aime” de Facebook doit être considéré comme coresponsable du traitement et (ii) si, le cas échéant, ce gestionnaire doit obtenir préalablement le consentement du visiteur du site ainsi que l’informer de ses droits.

Droit

L’art. 2 let. d de la Directive 95/46/CE (actuel art. 7 ch. 7 RGPD) définit la notion de « responsable du traitement » comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

La CJUE commence par évoquer sa récente jurisprudence dans laquelle elle a considéré que l‘auteur d’une page fan hébergée sur Facebook est coresponsable du traitement avec Facebook (Wirtschaftsakademie Schleswig-Holstein, C‑210/16). Il rappelle ainsi que seule une définition large de la notion de “responsable” permet d’atteindre une protection efficace et complète des personnes concernées.

La CJUE souligne qu’il convient de distinguer les différents stades du traitement. En effet, une personne ne pourra être responsable du traitement qu’à la condition qu’elle puisse déterminer, conjointement avec un autre acteur ou non, les finalités et les moyens lors d’un stade précis du traitement. Ainsi, pour les opérations antérieures et postérieures au stade où elle intervient, elle peut ne plus être considérée comme responsable.

En l’espèce, Fashion ID collecte sur son site Internet les données personnelles des visiteurs, puis les communique à Facebook. Après cette transmission, Fashion ID ne peut en tout cas plus être considérée comme responsable, puisqu’elle n’a plus aucune influence sur le traitement.

Néanmoins, avant cette transmission, Fashion ID influe sur la collecte et la communication des données, dès lors que sans l’insertion du bouton “j’aime”, de telles données ne seraient pas collectées pour être transmises à Facebook. De plus, l’insertion de ce bouton permet à Fashion ID d’optimiser sa publicité pour ses produits en les rendant plus visibles sur Facebook. Elle perçoit ainsi un avantage commercial, lequel constitue, selon la CJUE, la contrepartie de la transmission des données à Facebook.

Le fait que Fashion ID n’ait pas accès aux données personnelles collectées et transmises à Facebook ne lui enlève pas pour autant sa qualité de coresponsable du traitement. La CJUE était en effet arrivée à la même conclusion dans sa jurisprudence susmentionnée, l’auteur d’une page fan sur Facebook n’ayant pas non plus accès aux données personnelles collectées et transmises à Facebook.

Partant, la CJUE considère que Fashion ID et Facebook déterminent conjointement les finalités de la collecte et de la communication des données personnelles des visiteurs de la page Internet de Fashion ID. Partant, Fashion ID est coresponsable du traitement des données collectées et transmises à Facebook.

Concernant le consentement de la personne concernée (art. 2 let. h de la Directive 95/46/CEactuel art. 7 ch. 11 RGPD), la CJUE souligne que le visiteur du site Internet voit ses données collectées dès qu’il consulte ledit site. Or, vu que le consentement doit être donné préalablement à la collecte et à la communication des données, il incombe au gestionnaire du site, et non à Facebook, de recueillir le consentement. La CJUE précise que le consentement ne doit porter que sur la collecte et la transmission des données à Facebook, c’est-à-dire uniquement pour le stade du traitement lors duquel le gestionnaire du site est coresponsable.

La CJUE considère qu’il en va de même pour l’obligation d’information en faveur de la personne concernée (art. 10 de la Directive 95/46/CEactuel art. 7 ch. 11 RGPD). Le gestionnaire du site Internet doit ainsi informer le visiteur sur la collecte et la transmission des données à Facebook.

Note

La CJUE retient de manière intéressante que même si Fashion ID et Facebook ne collectent pas les données dans le même but – Fashion ID recherche une meilleure publicité sur le réseau social alors que Facebook vise un autre but économique non précisé dans l’arrêt -, les deux parties ont réalité une seule et unique finalité commune : un “avantage commercial“. David Vasella souligne que la CJUE vise ainsi à augmenter l’importance de la protection des données sans que les questions dogmatiques ne jouent un rôle prépondérant dans ses décisions.

Dès lors que Fashion ID et Facebook sont coresponsables du traitement, ils doivent nécessairement conclure un accord au sens de l’art. 26 RGPD afin de définir leurs obligations respectives. Ainsi, cette obligation s’applique désormais à tous les gestionnaires de site Internet qui installent des plugin impliquant une collecte et une transmission de données personnelles. Les coresponsables doivent également mettre à disposition des personnes concernées “les grandes lignes” de leur accord (art. 26 par. 2 RGPD).

Concernant la licéité du traitement, bien que la CJUE l’examine exclusivement au regard du consentement du visiteur du site – vu qu’elle avait été saisie par cette question -, il convient de ne pas oublier que d’autres motifs justificatifs au traitement sont expressément prévus par la loi (art. 6 par. 1 RGPD).

À noter que, même si l’arrêt traite la problématique exclusivement au regard de l’ancien droit européen applicable (la Directive 95/46/CE ayant été remplacée par le RGPD depuis le 25 mai 2018), l’analyse de la CJUE est, à notre avis, intégralement transposable à l’actuel RGPD et au droit suisse.

De plus, vu l’importante application extraterritoriale du RGPD (cf. art. 3 RGPD ainsi que le projet de lignes directrices de l’EDPB), les gestionnaires de sites Internet en Suisse ne devraient pas négliger l’importance de cette nouvelle jurisprudence et, dès lors, adapter leur politique de traitement de données relative aux réseaux sociaux, notamment en concluant un accord avec Facebook au sens de l’art. 26 RGPD et en publiant leur politique relative à cet accord.

Enfin, le législateur suisse est actuellement en train de réviser son droit de la protection des données afin notamment de le rendre compatible avec le droit européen en vue d’obtenir une décision d’équivalence. La Commission des institutions politiques du Conseil national vient tout juste d’achever son examen du projet proposé par le Conseil fédéral. Parmi ses diverses propositions, on retiendra qu’elle veut prévoir un délai de deux ans avant l’entrée en vigueur du nouveau droit. Les citoyens suisses devront ainsi encore patienter avant de pouvoir bénéficier d’un droit de la protection des données adapté à l’ère numérique.

Proposition de citation : Célian Hirsch, Fashion ID, Facebook, le bouton “j’aime” et la notion de coresponsable du traitement, in : www.lawinside.ch/805/