Données personnelles : L’administrateur d’une page fan responsable conjointement avec Facebook

Page fan Facebook

L’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page, a jugé la Cour de justice de l’Union européenne, et l’autorité de protection des données de l’État membre dans lequel cet administrateur a son siège peut donc, en vertu de la directive 95/46, agir tant contre celui-ci que contre la filiale de Facebook établie dans ce même État.

En l’espèce, la société allemande Wirtschaftsakademie Schleswig-Holstein est spécialisée dans le domaine de l’éducation et elle offre des services de formation au moyen notamment d’une page fan hébergée sur Facebook. D’une manière générale, les administrateurs de pages fan peuvent obtenir des données statistiques anonymes sur les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables. Ces données sont collectées via des « cookies » comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan.

Par décision du 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein) a, en sa qualité d’autorité de contrôle chargée en vertu de la directiveDirective 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.UE 1995, L 281, p. 31. Directive abrogée avec effet au 25 mai 2018 par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.UE 2016, L 119, p. 1. sur la protection des données de surveiller l’application dans le Land du Schleswig-Holstein des dispositions adoptées par l’Allemagne en application de cette directive, ordonné à la Wirtschaftsakademie de désactiver sa page fan dans la mesure où ni elle ni Facebook n’ont informé les visiteurs de la page fan que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.

La Wirtschaftsakademie a alors introduit un recours contre cette décision devant les tribunaux administratifs allemands en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne peut pas lui être imputé et qu’elle n’a pas non plus chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. La Wirtschaftsakademie estimant que l’Unabhängiges Landeszentrum aurait dû agir directement contre Facebook et non contre elle. C’est ainsi que le Bundesverwaltungsgericht (Cour administrative fédérale  allemande) a demandé à la Cour de justice d’interpréter la directive 95/46 sur la protection des données.

La CourCJUE, 5 juin 2018, n° C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein c/ Wirtschaftsakademie Schleswig-Holstein GmbH. observe d’emblée qu’il n’est pas contesté que la société américaine Facebook et, s’agissant de l’Union, sa filiale irlandaise Facebook Ireland doivent être regardées comme étant « responsables du traitement » des données à caractère personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur Facebook. En effet, ces sociétés déterminent, à titre principal, les finalités et les moyens du traitement de ces données mais administrateur, tel que la Wirtschaftsakademie, estime la Cour, doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook Ireland du traitement des données en question car il participe, par « son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan », relevant à cet égard que l’administrateur de la page fan peut demander « l’obtention (sous une forme anonymisée) – et donc le traitement – de données démographiques concernant son audience cible (notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession), d’informations sur le style de vie et les centres d’intérêt de son audience cible (y compris des informations sur les achats et le comportement d’achat en ligne des visiteurs de sa page ainsi que sur les catégories de produits ou de services qui l’intéressent le plus) et de données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations ».

Le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel, juge la Cour qui souligne que la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan « contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46 sur la protection des données ».

L’Unabhängiges Landeszentrum est compétente, aux fins d’assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, non seulement à l’égard de la Wirtschaftsakademie mais également à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la directive 95/46 et lorsqu’une entreprise établie en dehors de l’Union, telle que la société américaine Facebook, dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère la directive 95/46 3 à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement, en l’espèce Facebook Germany, est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire de l’État membre en question et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre, en l’espèce Facebook Ireland.

La Cour précise encore que, lorsque l’autorité de contrôle d’un État membre, l’Unabhängiges Landeszentrum en Allemagne, entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre, la Wirtschaftsakademie, les pouvoirs d’intervention prévus par la directive 95/46 4 en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, Facebook Ireland, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre (Irlande), la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.