Le 29 juillet 2019, la Cour de Justice de l’Union Européenne (CJUE) a défini d’une manière nouvelle et peu attendue la qualification ainsi que le régime juridique de la notion de responsabilité conjointe de traitement. Cet arrêt laisse perplexe quant à la faisabilité opérationnelle du recueil du consentement et l’information des personnes concernées par le traitement de données personnelles générées par un bouton de partage sur les réseaux sociaux. 

Facebook

La société Fashion ID réalise des opérations commerciales de vente en ligne via son site internet. Ce site internet comporte un module social « j’aime » relié au réseau social Facebook. Par l’effectivité de ce module, les données à caractères personnel des visiteurs du site de Fashion ID sont ainsi automatiquement transmises au réseau social Facebook, et ce même lorsque les visiteurs ne sont pas membres de Facebook ou qu’ils ne cliquent pas sur ce module social. Par ce moyen, Facebook collecte également des cookies, bien qu’en pratique ce soit le navigateur du visiteur qui communique à Facebook l’adresse IP du visiteur.

Une association allemande de consommateurs, reprochant à Fashion ID de transmettre à Facebook Ireland des données à caractère personnel sans le consentement et l’information des personnes concernées, a intenté une action devant les juridictions allemandes afin que Fashion ID mette un terme à cette pratique.

La CJUE saisie d’une question préjudicielle par la juridiction d’appel apporte des précisions à la qualification et au régime juridique du responsable conjoint de traitement, appliqués à l’installation par l’éditeur d’un site Internet d’un plugiciel de partage sur un réseau social.

En termes de procédure, en première instance la qualité à agir de l’association de consommateur a été reconnue. En France, la loi LIL en vigueur en janvier 2020 prévoit également la possibilité d’agir pour les associations de consommateurs.  Le défendeur, Fashion ID, a alors soutenu devant les juridictions d’appel que cette action était irrecevable étant donné le défaut de qualité à agir au regard de la directive 95/46/ CE. Le défendeur a également soutenu qu’il était invraisemblable de retenir la qualification de responsable de traitement à son encontre dans la mesure où elle n’a dans la pratique aucune influence sur les données collectées via le navigateur du visiteur de son site Internet, ni sur les finalités de la collecte, qui sont déterminées exclusivement par Facebook. Ce à quoi, Facebook Ireland est intervenu de manière volontaire au soutien de Fashion ID.

La CJUE s’est vu saisir de la question de l’interprétation des articles 2, 7, 10, 22 à 24 de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

A cette question, la CJUE répond que « l’éditeur d’un site Internet, qui insère un module social permettant au navigateur de transmettre les données à caractère personnel du visiteur du site au fournisseur du module, doit être considéré comme responsable conjoint de traitement. Toutefois, cette responsabilité est limitée à l’opération ou à l’ensemble d’opérations de traitement dont il détermine effectivement, conjointement, les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause. »

Le responsable de traitement au sens de la directive 95/46 est la personne physique ou morale, qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (article 4 du RGPD).

En l’espèce, la mise en œuvre des moyens de traitement ainsi que la détermination de la finalité des traitements par Fashion ID ne rendent pas évidente une telle qualification et soulève la question du caractère applicable à l’ensemble des sites internet qui, comme Fashion ID, ont différents modules sociaux tels que Snapchat, Facebook, Instagram, Twitter. Tous les sites utilisant un ou des modules sociaux peuvent désormais s’interroger sur l’obligation qui pèse sur eux en tant que responsable conjoint de traitement, et sur la mise en œuvre opérationnelle de moyens techniques permettant le recueil du consentement sur ces modules.

Sources :

https://www.legalis.net/jurisprudences/cour-de-justice-de-lunion-europeenne-2eme-ch-arret-du-29-juillet-2019/