La responsabilité de l’administrateur d’un page Facebook quant aux données personnelles qu’il exploi

Publié le 06/04/2018 Vu 3 133 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées ». Mais quid de la responsabilité des administrateurs de pages Facebook ?

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook a

La responsabilité de l’administrateur d’un page Facebook quant aux données personnelles qu’il exploi

       Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

       C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

       L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.

                                                             

       Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

  1. La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

  1. Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.

Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

      Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

       Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

       À l’heure actuelle, seul l’avocat général s’est prononcé sur la question, le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable ».

  1. La reconnaissance d’une coresponsabilité

       Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

       À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques à sa disposition. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

       De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

       Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées ».

       D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

  1. Une décision importante au regard des textes applicables

       Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B).

  1. L’établissement d’une responsabilité large

       Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

       La directive de 95/46, texte sur lequel s’appuient les différentes instances, définit en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles ».

                                                                                                                                 

       De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

       Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

       Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

  1. Un compromis en l’attente d’un cadre définitif

       L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».

       À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent.

       Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.

       D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

       D’autres argumenteront du risque de « brouillage des frontières ».

       Quoi qu’il en soi, la CJUE devrait faire apparaître une tendance claire afin de clarifier la situation, avant l’arrivée du prochain grand texte européen en la matière.

Vous avez une question ?
Blog de Murielle Cahen

Murielle CAHEN

150 € TTC

7 évaluations positives

Note : (5/5)

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.