Données personnelles : un bouton « J’aime » peut rendre coresponsables le site et Facebook

Données personnelles : un bouton « J’aime » peut rendre coresponsables le site et Facebook

Cliquer sur J'aime !

Avatar de l'auteur

Marc Rees

Publié dansDroit

29/07/2019
15
Données personnelles : un bouton « J’aime » peut rendre coresponsables le site et Facebook

Coup de froid pour l’ensemble des sites utilisant les plug-ins fournis par Facebook. La Cour de justice de l’Union européenne juge que l’éditeur d’un tel service en ligne peut être responsable avec Facebook d’une partie des traitements de données personnelles orchestrés par le bouton « J’aime ».

FashionID, un site de e-commerce, avait été attaqué par une association de consommateurs, la Verbraucherzentrale NRW. Celle-ci pestait contre cette fonction de partage, l’estimant peu dans les clous de la législation antérieure au règlement général sur la protection des données personnelles.

Et pour cause, selon elle, des données des visiteurs sont avalées par Facebook, via cette balise, même lorsque l’internaute ne clique pas dessus ou n’est pas abonné au réseau social.

Pour ausculter ce dossier né en Allemagne, la Cour de justice de l’Union européenne va retenir une conception large de la notion de responsable de traitement, inspirée par l’objectif de la directive de 1995, celui d’assurer un haut niveau de protection des personnes physiques. Elle s'inspire aussi d'un arrêt de juin 2018, où elle avait déjà constaté la coresponsabilité de l’administrateur d’une page « fan » sur Facebook.

Sous réserve de vérification par les juridictions de fond, note-t-elle aujourd'hui, « en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet ».

Un traitement de données et deux responsables

Pour la Cour, il y a bien des opérations de traitement de données à caractère personnel. En ayant pris la décision d’insérer un module social sur son site, « Fashion ID influe, par ailleurs, de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, en l’occurrence Facebook Ireland ». La preuve : « en l’absence de l’insertion dudit module, [ces opérations] n’auraient pas lieu ».

Dès lors elle en déduit que Facebook Ireland et Fashion ID « déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID ».

Ces deux acteurs déterminent également les finalités conjointement puisque pour FashionID, ce bouton social a pour objectif d’aiguiser ses campagnes de publicité pour les vêtements qu’elle vend. « C’est afin de pouvoir bénéficier de cet avantage commercial consistant en une telle publicité accrue pour ses produits que Fashion ID, en insérant un tel bouton sur son site Internet, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site ».

Au passage, la CJUE note que le fait FashionID n'ait pas accès aux données personnelles collectées et transmises à Facebook est sans influence. Le site peut être reconnu coresponsable.

Consentement et information des internautes

Concrètement, la CJUE exige du site, comme de Facebook, le recueil du consentement de l’ensemble de ces personnes avant ces traitements. Ils doivent en outre assumer l’obligation d’information, toujours avant de collecter et avaler ces données.

Comme l'avait expliqué l'avocat général dans son opinion, cette responsabilité sera circonscrite pour FashionID : elle se limite à son périmètre d’intervention, non aux traitements effectués en amont ou en aval. Mais cette responsabilité sera toujours plus importante lorsque les données transmises au réseau social concernent des internautes non membres de Facebook.

Les perspectives de cet arrêt sont très importantes tellement le bouton de partage Facebook est aujourd’hui répandu. Toutefois nuançons, puisqu'il ne concerne que les sites ayant choisi le module clef en main fourni par Facebook, non ceux, comme Next INpact, qui ont opté pour un lien sans tracker.

Les juridictions allemandes vont maintenant réexaminer l’affaire, armées des réponses apportées par la CJUE. La balle sera aussi dans le camp des autorités de contrôle, comme la CNIL en France, d’autant que le RGPD est venu conforter plusieurs droits et obligations de la directive antérieure. 

15
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Un traitement de données et deux responsables

Consentement et information des internautes

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 13
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 14

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 11
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 51
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (15)


CryoGen Abonné
Il y a 4 ans

Bien !


barlav Abonné
Il y a 4 ans

J’aime!
<img data-src=" />


drizzt2511 Abonné
Il y a 4 ans

il n’y avait pas deja eu un arret du meme style il y a quelques mois ? ou alors c’etait à un niveau national et pas européen ?


skankhunt42
Il y a 4 ans

Je me demande si sur NXI il y à pas également une forme de tracking indirect avec un traitement complet de la page lors de chaque partage, moulinage des commentaires avec création de mot clef, pseudo et avatar puis comparaison sur facebook pour tenter de retrouver l’utilisateur.

&nbsp;

&nbsp;


Jarodd Abonné
Il y a 4 ans


Les juridictions allemandes vont maintenant réexaminer l’affaire, armées des réponses apportées par la CJUE.


S’il pouvait y avoir une belle sanction à la clé, cela pourrait être le déclencheur d’une véritable prise de conscience de la part de tous ces sites qui mettent les boutons sociaux par mimétisme, sans réfléchir aux conséquences <img data-src=" />


Jarodd Abonné
Il y a 4 ans

Tu fais peut-être référence à l’avis de l’avocat général, cité dans l’actu. Son avis n’est que consultatif, mais d’après Marc la Cour suit généralement son avis (ce qu’elle a fait ici).


AncalagonTotof Abonné
Il y a 4 ans

Y’a un bouton Facebook sur NextInpact ? Où ça ? Je vois pas.
Peut-être un effet du plugin NoScript ! Sortez couvert !


linkin623 Abonné
Il y a 4 ans






AncalagonTotof a écrit :

Y’a un bouton Facebook sur NextInpact ? Où ça ? Je vois pas.
Peut-être un effet du plugin NoScript ! Sortez couvert !


Option dans les pref de ton compte. Et je crois que le bouton utilisé par défaut n’est pas complètement celui par défaut mis en avant par FB.



Mr.S
Il y a 4 ans

Salut,
Sinon pour info ou rappel : en utilisant Firefox il y a l’extension Facebook Container (conçu par Mozilla) ;-)
&nbsp;
&nbsp;“Facebook Container isole votre activité
Facebook du reste de votre activité web, afin d’empêcher Facebook de
vous pister en dehors du site web Facebook à l’aide de cookies tiers.”


razcrambl3r Abonné
Il y a 4 ans

Merci pour l’info 😉


Kiurg
Il y a 4 ans






AncalagonTotof a écrit :

Y’a un bouton Facebook sur NextInpact ? Où ça ? Je vois pas.
Peut-être un effet du plugin NoScript ! Sortez couvert !


Ouep en bas d’article à gauche du bouton de partage Twitter. Mais perso moi il se fait désactiver par Privacy Badger, tant que je cliques pas dessus une première fois !



frikakwa
Il y a 4 ans

Tu penses peut-être à ce qu’il s’est passé en Belgique:
https://information.tv5monde.com/info/belgique-facebook-condamne-et-ensuite-6630…

Depuis Facebook bloque tout simplement les pages FB aux personnes qui ne sont pas inscrites sur leur réseau: pas de compte FB, pas de menu du petit resto du coin qui utilise FB comme une page web! <img data-src=" />


Anony
Il y a 4 ans

Euh … tu en es vraiment sû ? Je ne suis pas inscrit sur Facebook&nbsp; et pourtant j’ai déjà pu voir des pages (malgré un beandeau insistant pour s’inscrire).


Idiogène
Il y a 4 ans

C’est une réponse puérile de Facebook en forme de chantage… si cela a changé je ne l’ai pas remarqué car j’ai tendance à sciemment éviter les services/entreprises désormais réputées “co-responsables” de la médiocrité Etat-Zuckienne. <img data-src=" />