A l’instar de nombreux acteurs du numérique, la société Fashion ID a inséré sur son site un bouton « J’aime » de Facebook. Ce plugiciel a par la suite automatiquement collecté et transmis à Facebook les données personnelles des utilisateurs dudit site, qu’ils aient ou non cliqué sur le bouton et qu’ils possèdent ou non un compte Facebook. Ces opérations se sont déroulées sans contrôle possible de la part de l’éditeur du site. Arguant d’une atteinte aux droits des utilisateurs, une association de consommateurs a alors saisie la juridiction allemande afin de faire cesser cette atteinte. Le 20 janvier 2017, le tribunal compétent a transmis plusieurs questions préjudicielles à la Cour de justice de l’Union européenne (CJUE). La principale question est de savoir si l’intégration de ce bouton « J’aime » est suffisante pour considérer Fashion ID comme le responsable de traitement conjoint de Facebook, en application de la directive 95/46/CE du 24 octobre 1995, qui a été remplacée par le règlement général sur la protection des données du 27 avril 2016 (RGPD).
Cependant, la Cour doit se prononcer sur la notion de responsabilité conjointe ainsi que sur les conséquences de cette responsabilité au regard de la directive 95/46/CE qui a été remplacée par le RGPD. Les deux textes définissent le responsable de traitement de la même façon. De ce fait, la portée de l’arrêt de la CJUE dépassera très probablement le cas d’espèce. Conscient des enjeux de cette future décision, l’avocat général Michel Bobek, dans ses conclusions du 19 décembre 2018, s’est montré favorable à une responsabilité conjointe entre Fashion ID et Facebook.
Par le passé, la CJUE a déjà reconnu la qualité de responsable de traitement à l’administrateur d’une page Facebook qui avait librement choisi d’héberger la page sur Facebook et pouvait donc paramétrer les traitements statistiques réalisés par le réseau social (CJUE, « Wirtschaftsakademie », 5 juin 2018, C-210/16). La Cour a également précisé que cette responsabilité peut être retenue quand bien même aucun traitement direct n’est fait par l’administrateur de la page (CJUE, 10 juillet 2018, « Jehovan », C-25/17). La CJUE retient donc une acception large de la notion de responsabilité conjointe.
Dans ses conclusions, l’avocat général Bobek invite la Cour à réduire le champ de la responsabilité conjointe afin de mieux identifier la responsabilité de chacun des acteurs. Il estime en effet qu’élargir la notion de responsable de traitement à tout tiers permettant la réalisation du traitement d’une quelconque manière diluerait la responsabilité. La protection des particuliers serait moins efficace. C’est pourquoi il propose d’articuler la définition de responsable du traitement avec la finalité du traitement qui doit être unique dans ses moyens et sa finalité.
Cette approche nécessite de découper le traitement en autant de sous traitements qu’il y a de finalités, pour arriver à la partie du traitement sur laquelle l’éditeur de site exerce un contrôle effectif. La responsabilité de l’éditeur serait alors limitée à la phase de traitement dont il a la charge et ne comprendrait pas les traitements postérieurs qui échapperaient à son contrôle. En l’espèce, Facebook et Fashion ID poursuivent une finalité commerciale et publicitaire. Par conséquent, Facebook serait seul responsable des traitements réalisés après la collecte des données tandis que la responsabilité de Fashion ID se limiterait à la collecte et la transmission de ces données. Cette solution proposée par l’avocat général présente toutefois plusieurs inconvénients.
Ainsi, réduire la notion de finalité aux fonctions du traitement, c’est-à-dire les opérations techniques de collecte, occulte la finalité publicitaire. Or cette dernière doit pouvoir être anticipée par les utilisateurs. Le traitement ne peut être examiné dans son ensemble et l’analyse de sa conformité au regard des conséquences pour les personnes concernées n’est pas possible. Adopter cette approche restrictive dispenserait donc les éditeurs de site internet d’exiger de leurs partenaires d’exploitation la communication des informations permettant de renseigner efficacement les utilisateurs. Cette interprétation conduirait à une certaine opacité du traitement des données dès lors que les différents responsables de traitement ne seraient pas tenus de connaître les traitements réalisés par leurs partenaires. En effet, un responsable du traitement des données pourrait essayer de se soustraire à ses responsabilités en prétendant que ses actes n’ont pas causé de dommages ou en blâmant ses partenaires, responsables conjoints du traitement des données. Une telle présomption de solidarité pourrait être envisagée si les dispositions de l’article 26 du RGPD (qui impose aux responsables conjoints de déterminer les responsabilités de manière transparente) n’étaient pas respectées.
En outre, l’avocat général ne règle pas la question des responsabilités en cascade. En effet, en cas de responsables de traitement multiples il faudrait se livrer à un nouveau découpage du traitement en application de cette solution. Par exemple, si Facebook transmet des données à un partenaire, la société n’aura à son tour qu’une responsabilité limitée et c’est à son partenaire qu’il reviendra de faire respecter le RGPD.
Une interprétation extensive de la responsabilité conjointe en cascade contraindrait au contraire les opérateurs à identifier les mécanismes assurant le respect des droits des personnes.
Le choix d’une interprétation extensive ou restreinte de la responsabilité conjointe appartient désormais à la CJUE. Son arrêt est donc très attendu puisqu’il impactera directement les éditeurs de sites internet et la protection des données personnelles des particuliers.
Dreyfus assiste ses clients dans le monde entier sur leurs stratégies de protection et de défense de leurs droits sur internet. N’hésitez pas à nous contacter !