Les Boutons "J"aime" sur votre site : Êtes-vous un Co-Responsable de Traitement ?

Est-ce que vous avez un plug-in qui incorpore le bouton “J’aime” de Facebook sur votre site Internet ? Si oui, à la suite d’une décision récente de la Cour de justice de l’Union européenne, vous pourriez être un Co-Responsable de Traitement, tel que défini au RGPD. 

Qu’est-ce que c’est un “Responsable de Traitement” ?

Selon le Règlement Général sur la Protection des Données Personnelles (UE/2016/679) (le “RGPD”), un responsable de traitement détermine pourquoi et comment les données personnelles doivent être collectées et traitées (article 4(7)), tandis qu’un sous-traitant traite simplement les données personnelles au nom du responsable de traitement (article 4(8)). 

Un responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer et démontrer que tout traitement de données est effectué conformément au RGPD (article 24). Les responsables de traitement sont chargés de déterminer la finalité spécifique de leurs opérations de traitement de données personnelles et de garantir que seulement les données personnelles requises pour cette finalité soient traitées (article 25).  

Les responsables de traitement sont strictement responsables de la quantité de données personnelles collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité (article 25). Lorsqu’il y a deux (ou plusieurs!) responsables de traitement qui déterminent conjointement les finalités et les moyens du traitement, ils sont considérés comme étant des responsables conjoints du traitement et donc doivent partager ces obligations et ces responsabilités (article 26). 

Les boutons “J’aime” sur les sites et plateformes en ligne 

Chaque mois, plus que deux milliards de personnes utilisent la plateforme de réseau social, Facebook – plus qu’un tiers de la population mondiale. L’intégration d’un bouton “J’aime’” de Facebook sur un site Internet pourrait donc faire le lien entre les abonnés des réseaux sociaux et donc les niveaux d’engagement des utilisateurs et visiteurs d’un site Internet.

Ces boutons “J’aime” peuvent alors être extrêmement efficaces pour l’accroissement de la visibilité sur les réseaux sociaux des produits vendus en ligne, telles que des articles de mode. Cependant, il semble maintenant que ces boutons “J’aime” (dès lors qu’ils sont intégrés sur un site Internet par le bias d’un plug in) puissent désormais imposer sur des propriétaires de ces sites Internet des lourdes responsabilités. 

Dans un jugement récent, la Cour de justice de l’Union européenne (“CJUE”) a rendu sa décision sur la question de responsabilité entre le propriétaire d’un site Internet utilisant un tel plug-in et la plate-forme, Facebook :

Le gestionnaire d’un site Internet équipé du bouton “J’aime” de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site.

Dans cette affaire devant la juridiction européenne entre les parties Fashion ID GmbH & Co. & Verbraucherzentrale NRW eV, la société défenderesse, Fashion ID, une entreprise allemande de vente de vêtements de mode en ligne, a inséré sur son site Internet le bouton “J’aime” de Facebook. 

En 2015, une association allemande d’utilité publique de défense des intérêts des consommateurs, à savoir, l’association Verbraucherzentrale NRW, avait introduit une action judiciaire à l’encontre de Fashion ID en reprochant à cette dernière d’avoir transmis à Facebook des données personnelles des visiteurs de son sa boutique en ligne : (i) sans le consentement de ces derniers ; et (ii) en violation des obligations d’information prévues par la législation en matière de la protection des données personnelles.

La décision de la CJUE

Tandis que la CJUE a été initialement invitée à interpréter l’ancienne directive sur la protection des données de 1995, sa décision a stipulé que le RGPD est désormais applicable aux circonstances, sachant que cette législation a désormais remplacé la directive de 1995

Tout d’abord, la CJUE a retenu que Fashion ID semble ne être responsable des opérations de traitement de données personnelles effectuées par Facebook après leur transmission à ce dernier. En effet, après une telle transmission, Fashion ID n’exerçait aucun contrôle sur les finalités et les moyens de traitement des données personnelles par Facebook.

Cependant, la CJUE a néanmoins estimé que Fashion ID contrôlait conjointement avec Facebook les opérations de collecte et de communication de données via les boutons “J’aime” qui avaient ensuite été transmises à Facebook. Dans ce cas, la CJUE donc a considéré que Facebook et Fashion ID ont déterminé conjointement les moyens et les finalités de ces opérations. Conformément à la procédure devant la CJUE ce jugement n’est qu’une décision préjudicielle et la CJUE ne tranche pas le litige elle-même. L’affaire sera donc renvoyée devant le tribunal national en Allemagne qui décidera le résultat. Toutefois, le tribunal national doit appliquer le droit aux faits tels qu’énoncés dans la décision de la CJUE, car elle est désormais applicable à tout tribunal national qui examinerait des questions similaires. Nous attendons donc la publication de la décision finale de la juridiction allemande, qui sans doute confirmera ce statut de co-responsable de traitement.

Et les conséquences ?

La CJUE fait un rappel des obligations des responsables de traitement lors de la collecte et le traitement des données personnelles via un site Internet. La décision de la CJUE nous confirme également que les propriétaires de sites Internet, tels que les sites web, les sites d’e-commerce ou les plateforme de vente en ligne, sont conjointement responsable avec Facebook pour les données personnelles collectées sur leur site via l’intégration d’un bouton “J’aime”. Les propriétaires de ces sites ont alors un devoir d’information vis-à-vis de leurs visiteurs, et ce au moment de la collecte, notamment d’informer ces dernier de l’identité de tous les responsables de traitement et des finalités du traitement. 

Cette décision nous rappelle que dès lors les propriétaires des sites Internet récoltent les données personnelles par le bias d’un bouton ”J’aime” de Facebook sur la base du consentement d’un visiteur (ex. en tant que personne concernée), ce consentement doit être recueilli au préalable pour les opérations dont le propriétaire du site est (co)responsable (ex. pour la collecte et la transmission des données personnelles à Facebook).

Le RGPD autorise le traitement des données personnelles sur la base des intérêts légitimes des responsables de traitement, sous réserve du respect de certaines conditions (Article 6(1)(f)).

La CJUE a toutefois averti que dans les cas où le traitement de données personnelles est nécessaire à la réalisation d’un intérêt légitime, il ne suffit pas qu’un seul responsable de traitement poursuit un intérêt légitime – pour que leurs opérations soient justifiées, les deux co-responsables de traitement devraient poursuivre un intérêt légitime par la collecte et la transmission de données personnelles, tout en assurant une protection rigoureuse des droits et libertés des personnes concernées.  

Si vous êtes propriétaire d’un site Internet et vous utilisez les plug-ins Facebook ou si vous désirez recevoir plus d’informations, n’hésitez pas à nous contacter.

Article par : Lily Morrison & Rebecca Willoughby, consultantes juridique @ Gerrish Legal, août 2019