Une dizaine de jours seulement après l’entrée en application du Règlement général sur la protection des données (RGPD) de l’Union européenne, la Cour de justice de l’Union européenne (CJUE) retient que l’administrateur d’une page hébergée sur le réseau social Facebook doit être considéré, conjointement avec ledit réseau, comme le responsable du traitement des données des visiteurs de ladite page (arrêt de la CJUE C-210/16 du 5 juin 2018). Rendue sous l’empire de l’ancienne directive européenne 95/46/CE sur la protection des données, la décision de la CJUE est entièrement transposable au regard du RGPD vu que la notion de responsable du traitement reste identique.

Rappel de la situation

L’autorité régionale indépendante de protection des données du Land allemand de Schleswig-Holstein a ordonné à la société Wirtschaftsakademie Schleswig-Holstein, spécialisée dans le domaine de l’éducation, la désactivation de sa page hébergée sur le site du réseau social Facebook au motif que ni l’administrateur ni Facebook n’informaient les visiteurs de la page que le réseau social installait sur l’appareil des utilisateurs des cookies.

Ces cookies restaient actifs pendant une période de deux ans et permettaient à Facebook de collecter des informations à caractère personnel concernant les visiteurs de la page en vue d’établir des analyses d’audience détaillées, accessibles sous forme anonymisées par l’administrateur à des fins de gestion de la promotion de son activité, et servant parallèlement à Facebook pour l’amélioration de son réseau de publicité diffusée à travers son réseau social.

Finalement, il est important de souligner que la CJUE ne remet pas en cause le statut de responsable du traitement de Facebook. L’arrêt a pour unique vocation de déterminer si et dans quel cadre l’administrateur peut revêtir conjointement ce rôle.

Avis de la CJUE

La Cour rappelle d’abord que le responsable du traitement est celui qui détermine les finalités et les moyens du traitement de données à caractère personnel ; en d’autres termes, le responsable du traitement est celui qui décide « pourquoi » et « comment ». Le sous-traitant est quant à lui défini comme celui qui traite des données à caractère personnel pour le compte du responsable du traitement. À ce propos, et depuis le 25 mai 2018, le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données à caractère personnel. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables du traitement dans leur démarche de mise en conformité de leurs traitements, à l’instar des articles 28, 30 al. 2 et 37 RGPD.

Dans son analyse, et même s’il existe une réelle nécessité d’attribuer les responsabilités de sorte à garantir le respect des règles de protection des données, la Cour reconnaît la difficulté d’appliquer les définitions évoquées dans des environnements complexes qui permettent d’envisager maints scénarios. C’est pour cette raison que les rôles de chacun doivent être attribués sur une analyse des éléments factuels ou des circonstances du cas d’espèce. Sur ce sujet, il est important de mentionner que l’ancien Groupe de protection des personnes à l’égard caractère personnel institué par l’article 29 de la Directive 95/46/CE (Groupe 29), avait rendu un avis portant sur cette question (Avis 1/2010).

Dans la présente affaire, la CJUE doit donc déterminer si et dans quelle mesure l’administrateur d’une page hébergée sur Facebook contribue à déterminer de manière conjointe les finalités et les moyens du traitement des données personnelles des visiteurs. Pour la Cour, il est évident qu’il faut distinguer la simple utilisation du réseau social, qui ne rend pas un utilisateur co-responsable d’un traitement de données à caractère personnel, de la position d’un administrateur, qui a la maîtrise sur plusieurs fonctionnalités du réseau.

L’administrateur peut dans un premier temps placer des cookies sur l’appareil de la personne ayant visité la page, que cette personne dispose ou non d’un compte, ce qui lui permet d’obtenir des statistiques anonymisées établies par Facebook. L’administrateur peut notamment obtenir de son audience des données démographiques, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt ainsi que des informations concernant les achats et le comportement d’achat en ligne, ou encore les catégories de produits ou de services qui les intéressent le plus. Sur le long terme, l’utilisation d’un tel cookie permet d’établir avec un certain degré de précision le profil type de son audience.

Dans un second temps, la création de la page implique une action de paramétrage, en fonction d’objectifs de gestion ou de promotion de ses activités, qui permet à l’administrateur de choisir les catégories de personnes qui vont faire l’exploitation de leurs données à caractère personnel. Ce procédé alloue à l’administrateur la possibilité de mieux cibler sa clientèle et de lui proposer un contenu plus pertinent.

Cette fonction de paramétrage fut décisive pour la CJUE. Elle a en effet considéré que par son action de paramétrage, l’administrateur participait à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page, ce qui fait de lui un responsable du traitement, conjointement avec Facebook. La conclusion à laquelle arrive la CJUE contribue sans aucun doute à assurer une protection plus complète des droits des internautes puisque la notion de co-responsable du traitement implique de nouvelles obligations pour ces derniers au regard du RGPD, telles que le devoir de répondre à un droit d’accès ou à une demande de portabilité des données.

Reste que, comme le précise la CJUE sans donner une réelle réponse, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Le RGPD prévoit toutefois une obligation à l’égard des co-responsables de prévoir une convention pour définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du règlement.

À cet égard, Facebook prévoit un addendum à ses conditions générales concernant le responsable des statistiques de pages. Ce document additionnel fait état de la co-responsabilité engendrée par le traitement des données statistiques et prévoit notamment que Facebook accepte de prendre la responsabilité principale, en vertu du RGPD, pour ledit traitement ainsi que de se conformer à toutes les obligations applicables (notamment les obligations rattachées aux articles 12 et 13, 15 à 22 et 32 à 34 RGPD). Typiquement, en cas de demande de droit d’accès aux données statistiques, l’administrateur de la page a le devoir de transmettre à Facebook dans un délai maximum de sept jours toutes les informations pertinentes relatives à la demande, par le biais d’un formulaire. Reste que le co-responsable utilisant les services de Facebook n’a aucun droit de demander la divulgation des données personnelles des utilisateurs en lien avec les statistiques. Son degré de responsabilité est donc minime.

Vers un système de co-responsabilité ?

Au vu de ce qui précède, faut-il comprendre qu’à l’avenir la tendance sera à généraliser le système de co-responsabilité en élargissant la notion de responsable du traitement au détriment de la notion de sous-traitant ? La CJUE semble en tout cas aller en ce sens.

En effet, à peine plus d’un mois après l’arrêt exposé, la CJUE s’est prononcée favorablement sur la possibilité de considérer la communauté religieuse des témoins de Jéhovah comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté (arrêt de la CJUE C-25/17 du 10 juillet 2018). La CJUE a estimé que la collecte de données à caractère personnel menée par les membres servait à la réalisation de l’objectif de la communauté consistant à diffuser la foi. De plus, il apparaît que la communauté organise et coordonne l’activité de prédication en répartissant les secteurs d’activité des différents prédicateurs conformément à des listes établies sur la base des données collectées s’agissant de la volonté des personnes de ne plus recevoir la visite de prédicateurs.

Une dernière affaire actuellement pendante auprès de la CJUE se doit d’être mentionnée, même si elle s’éloigne du sujet de la co-responsabilité. L’affaire C-40/17 porte sur la possibilité d’assimiler un webmaster, insérant dans son site un plugin social permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à cet effet des données à caractère personnel, à un responsable du traitement.

En guise de conclusion, et vu les affaires évoquées, on comprend que la tendance est d’interpréter de manière large cette notion de responsable du traitement, et a fortiori celle de responsables conjoints, afin de permettre aux personnes dont les données sont récoltées une plus grande marge pour exercer leurs droits. Cette façon d’opérer s’inscrit dans cette logique de responsabilisation consacrée par le RGPD mais également dans cette logique de protection des consommateurs face à la masse de données charriées par Internet.