Dans un arrêt du 29 juillet 2019 ( C-40/17, Fashion ID GmbH & Co ), la Cour Européenne de Justice a jugé que les administrateurs d’un site internet avec un bouton « j’aime » étaient responsables conjoints du traitement avec Facebook.
Par conséquent, ceux-ci doivent notamment trouver un accord avec Facebook pour fixer leurs obligations respectives en matière de protection des données. Ils devront également informer les utilisateurs et obtenir le consentement qui est (en principe) exigé.
Dans cette affaire, une boutique de vêtements en ligne avait ajouté sur son site internet un bouton « j’aime » de Facebook. Par ce biais, les données à caractère personnel des utilisateurs (adresse IP, données de navigation et contenu souhaité) étaient automatiquement transmises à Facebook, sans que les utilisateurs n’en soient conscients et indépendamment du fait qu’ils soient membres de Facebook, ou encore qu’ils aient cliqué sur le bouton « j’aime ».
La Cour de Justice a estimé que l’entreprise était un responsable conjoint du traitement, au sens de la réglementation relative à la protection des données, pour la collecte et la transmission des données à Facebook. Elle détermine en effet conjointement les finalités et moyens du traitement, dès lors qu’elle a elle-même inséré le bouton pour augmenter sa visibilité et celle de ses produits sur le réseau social.
Le fait que l’entreprise n’ait pas elle-même eu accès aux données est, selon la Cour de Justice, sans incidence pour la qualification. La Cour a toutefois souligné qu’elle ne pouvait, par contre, pas être tenue pour responsable de l’ensemble des traitements effectués par Facebook ultérieurement à la transmission des données via le bouton « j’aime ».
Le rôle qu’une entreprise revêt au sens de la législation concernant la protection des données (responsable individuel, responsable conjoint ou sous-traitant) est déterminant par rapport à ses obligations. La qualification de responsable conjoint du traitement entraîne différentes exigences dans le chef de l’administrateur du site internet, parmi lesquelles :
- Accord: l’administrateur du site internet et Facebook doivent conclure un accord concernant leurs obligations respectives, notamment en ce qui concerne l’exercice des droits et l’obligation d’information. On peut s’attendre à ce que, suite à l’arrêt de la Cour de Justice, Facebook mette au point un modèle de convention en ce sens (comme elle l’a déjà fait lorsque, dans un précédent arrêt, la Cour de Justice a jugé que les administrateurs de pages Facebook étaient également des responsables conjoints du traitement).
- Obligation d’information : l’administrateur du site internet devra informer ses utilisateurs de façon étendue quant au bouton « j’aime » et au traitement des données à cet égard ;
- Consentement : d’après la réglementation e-Privacy, l’usage du bouton « j’aime » semble requérir un consentement explicite (conforme au RGPD) des utilisateurs, certainement lorsque des données de personnes non-membres de Facebook sont transmises dans ce cadre. C’est également le point de vue de l’Autorité de Protection des Données.
La Cour de Justice ne s’est pas expressément prononcée à ce sujet, mais insiste toutefois sur le fait qu’un éventuel consentement doit être obtenu par l’administrateur du site internet (et non par Facebook) et ce, avant la collecte ou la transmission des données.
L’impact de l’arrêt de la Cour de Justice ne semble pas se limiter au bouton « j’aime » de Facebook. Les mêmes principes peuvent, selon nous, être appliqués à toutes les applications (plug-ins, widgets, etc.) de tiers sur un site internet, pour autant que l’administrateur du site participe à la détermination des moyens et finalités du traitement.
Point d’action
« Third-party check »
Les administrateurs de sites internet ou autres services en ligne (par ex. apps) doivent vérifier :
- les applications externes impliquant des tiers intégrées au site/service en ligne ;
- le rôle joué par rapport aux tiers concernés et la nécessité de conclure avec eux un accord ;
- le respect de l’ensemble des autres règles relatives à la protection des données, notamment le fait qu’une information correcte relative au traitement des données à caractère personnel est bien communiquée, et la nécessité éventuelle d’obtenir un consentement conforme au RGPD avant le traitement.