Coup de froid pour l’ensemble des sites utilisant les plug-ins fournis par Facebook. La Cour de justice de l’Union européenne juge que l’éditeur d’un tel service en ligne peut être responsable avec Facebook d’une partie des traitements de données personnelles orchestrés par le bouton « J’aime ».
FashionID, un site de e-commerce, avait été attaqué par une association de consommateurs, la Verbraucherzentrale NRW. Celle-ci pestait contre cette fonction de partage, l’estimant peu dans les clous de la législation antérieure au règlement général sur la protection des données personnelles.
Et pour cause, selon elle, des données des visiteurs sont avalées par Facebook, via cette balise, même lorsque l’internaute ne clique pas dessus ou n’est pas abonné au réseau social.
Pour ausculter ce dossier né en Allemagne, la Cour de justice de l’Union européenne va retenir une conception large de la notion de responsable de traitement, inspirée par l’objectif de la directive de 1995, celui d’assurer un haut niveau de protection des personnes physiques. Elle s'inspire aussi d'un arrêt de juin 2018, où elle avait déjà constaté la coresponsabilité de l’administrateur d’une page « fan » sur Facebook.
Sous réserve de vérification par les juridictions de fond, note-t-elle aujourd'hui, « en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet ».
Un traitement de données et deux responsables
Pour la Cour, il y a bien des opérations de traitement de données à caractère personnel. En ayant pris la décision d’insérer un module social sur son site, « Fashion ID influe, par ailleurs, de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, en l’occurrence Facebook Ireland ». La preuve : « en l’absence de l’insertion dudit module, [ces opérations] n’auraient pas lieu ».
Dès lors elle en déduit que Facebook Ireland et Fashion ID « déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID ».
Ces deux acteurs déterminent également les finalités conjointement puisque pour FashionID, ce bouton social a pour objectif d’aiguiser ses campagnes de publicité pour les vêtements qu’elle vend. « C’est afin de pouvoir bénéficier de cet avantage commercial consistant en une telle publicité accrue pour ses produits que Fashion ID, en insérant un tel bouton sur son site Internet, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site ».
Au passage, la CJUE note que le fait FashionID n'ait pas accès aux données personnelles collectées et transmises à Facebook est sans influence. Le site peut être reconnu coresponsable.
Consentement et information des internautes
Concrètement, la CJUE exige du site, comme de Facebook, le recueil du consentement de l’ensemble de ces personnes avant ces traitements. Ils doivent en outre assumer l’obligation d’information, toujours avant de collecter et avaler ces données.
Comme l'avait expliqué l'avocat général dans son opinion, cette responsabilité sera circonscrite pour FashionID : elle se limite à son périmètre d’intervention, non aux traitements effectués en amont ou en aval. Mais cette responsabilité sera toujours plus importante lorsque les données transmises au réseau social concernent des internautes non membres de Facebook.
Les perspectives de cet arrêt sont très importantes tellement le bouton de partage Facebook est aujourd’hui répandu. Toutefois nuançons, puisqu'il ne concerne que les sites ayant choisi le module clef en main fourni par Facebook, non ceux, comme Next INpact, qui ont opté pour un lien sans tracker.
Les juridictions allemandes vont maintenant réexaminer l’affaire, armées des réponses apportées par la CJUE. La balle sera aussi dans le camp des autorités de contrôle, comme la CNIL en France, d’autant que le RGPD est venu conforter plusieurs droits et obligations de la directive antérieure.
Commentaires (15)
Bien !
J’aime!
" />
il n’y avait pas deja eu un arret du meme style il y a quelques mois ? ou alors c’etait à un niveau national et pas européen ?
Je me demande si sur NXI il y à pas également une forme de tracking indirect avec un traitement complet de la page lors de chaque partage, moulinage des commentaires avec création de mot clef, pseudo et avatar puis comparaison sur facebook pour tenter de retrouver l’utilisateur.
Les juridictions allemandes vont maintenant réexaminer l’affaire, armées des réponses apportées par la CJUE.
S’il pouvait y avoir une belle sanction à la clé, cela pourrait être le déclencheur d’une véritable prise de conscience de la part de tous ces sites qui mettent les boutons sociaux par mimétisme, sans réfléchir aux conséquences
Tu fais peut-être référence à l’avis de l’avocat général, cité dans l’actu. Son avis n’est que consultatif, mais d’après Marc la Cour suit généralement son avis (ce qu’elle a fait ici).
Y’a un bouton Facebook sur NextInpact ? Où ça ? Je vois pas.
Peut-être un effet du plugin NoScript ! Sortez couvert !
Salut,
Sinon pour info ou rappel : en utilisant Firefox il y a l’extension Facebook Container (conçu par Mozilla) ;-)
“Facebook Container isole votre activité
Facebook du reste de votre activité web, afin d’empêcher Facebook de
vous pister en dehors du site web Facebook à l’aide de cookies tiers.”
Merci pour l’info 😉
Tu penses peut-être à ce qu’il s’est passé en Belgique:
" />
https://information.tv5monde.com/info/belgique-facebook-condamne-et-ensuite-6630…
Depuis Facebook bloque tout simplement les pages FB aux personnes qui ne sont pas inscrites sur leur réseau: pas de compte FB, pas de menu du petit resto du coin qui utilise FB comme une page web!
Euh … tu en es vraiment sû ? Je ne suis pas inscrit sur Facebook et pourtant j’ai déjà pu voir des pages (malgré un beandeau insistant pour s’inscrire).
C’est une réponse puérile de Facebook en forme de chantage… si cela a changé je ne l’ai pas remarqué car j’ai tendance à sciemment éviter les services/entreprises désormais réputées “co-responsables” de la médiocrité Etat-Zuckienne.
" />
http://namok.be/blog/?post/2016/10/18/pages-facebook-publiques-inaccessibles-en-belgique
" />
https://www.journaldugeek.com/2015/12/03/cookies-belgique-facebook-bloque-acces-…
https://www.arobasenet.com/2015/12/facebook-bloque-acces-contenu-non-membres-bel…
Et je l’ai assez vécu que pour te confimer que la page FB avec “Permission denied” est bien visible elle!