Données personnelles : L’administrateur d’une page fan responsable conjointement avec Facebook

L’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page, a jugé la Cour de justice de l’Union européenne, et l’autorité de protection des données de l’État membre dans lequel cet administrateur a son siège peut donc, en vertu de la directive 95/46, agir tant contre celui-ci que contre la filiale de Facebook établie dans ce même État.
En l’espèce, la société allemande Wirtschaftsakademie Schleswig-Holstein est spécialisée dans le domaine de l’éducation et elle offre des services de formation au moyen notamment d’une page fan hébergée sur Facebook. D’une manière générale, les administrateurs de pages fan peuvent obtenir des données statistiques anonymes sur les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables. Ces données sont collectées via des « cookies » comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan.
Par décision du 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein) a, en sa qualité d’autorité de contrôle chargée en vertu de la directive
La Wirtschaftsakademie a alors introduit un recours contre cette décision devant les tribunaux administratifs allemands en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne peut pas lui être imputé et qu’elle n’a pas non plus chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. La Wirtschaftsakademie estimant que l’Unabhängiges Landeszentrum aurait dû agir directement contre Facebook et non contre elle. C’est ainsi que le Bundesverwaltungsgericht (Cour administrative fédérale allemande) a demandé à la Cour de justice d’interpréter la directive 95/46 sur la protection des données.
La Cour
Le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel, juge la Cour qui souligne que la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan « contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46 sur la protection des données ».
L’Unabhängiges Landeszentrum est compétente, aux fins d’assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, non seulement à l’égard de la Wirtschaftsakademie mais également à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la directive 95/46 et lorsqu’une entreprise établie en dehors de l’Union, telle que la société américaine Facebook, dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère la directive 95/46 3 à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement, en l’espèce Facebook Germany, est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire de l’État membre en question et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre, en l’espèce Facebook Ireland.
La Cour précise encore que, lorsque l’autorité de contrôle d’un État membre, l’Unabhängiges Landeszentrum en Allemagne, entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre, la Wirtschaftsakademie, les pouvoirs d’intervention prévus par la directive 95/46 4 en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, Facebook Ireland, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre (Irlande), la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.