L’avocat général de la CJUE estime qu’un site qui place un bouton « J’aime » de Facebook devient responsable conjoint d’une partie des traitements de données personnelles. L’arrêt attendu dans quelques semaines pourrait bouleverser l’écosystème de nombreux sites Internet.
Comme la quasi-totalité des sites aujourd’hui, Fashion ID a intégré un bouton « j’aime » de Facebook. Ce site d'e-commerce entend par là assurer une certaine publicité à ses produits, en surfant sur la vague des réseaux sociaux. Une association allemande de protection des consommateurs, la Verbraucherzentrale NRW, l’a cependant attaqué estimant que ce plug-in était contraire aux lois sur la protection des données à caractère personnel en vigueur.
Pourquoi ? Car la simple visite sur l’une des pages intégrant ce bouton entraîne la transmission automatisée de données à Facebook Ireland, à savoir son adresse IP et l’identifiant de son navigateur. Dans le même temps, le réseau social mitraille sur l’appareil de l’internaute plusieurs cookies (« Session », « datr » et « fr »).
Après un périple interne, l’affaire est remontée devant la Cour de justice de l’Union européenne, où Facebook est farouchement intervenue pour défendre son business model. Aujourd’hui, l’avocat général a rendu son avis, afin d’éclairer la cour.
Quand Facebook dénie à une association de consommateur le droit d’ester en justice
Le réseau social a d’abord tenté de nier à une association de consommateurs la capacité d’agir en justice sur le terrain des données personnelles. Pourquoi ? Tout simplement parce que le texte européen en vigueur, la directive sur la protection des données personnelles de 1995, ne l’avait pas prévu. L’Allemagne l’avait intégrée après coup, mais Facebook a considéré que cette adjonction était contraire au droit de l’Union.
Selon cette entreprise gorgée d’amis, « si les associations de consommateurs devaient se voir reconnaître une qualité pour agir, elles intenteraient des actions en justice parallèlement ou au lieu et place des autorités de contrôle, d’où il s’ensuivrait des pressions exercées par le public et un parti pris des autorités de contrôle, voire serait contraire à l’exigence de totale indépendance desdites autorités ».
« Incongru », « léger ». Ces arguments ont été balayés au lance-flammes par l’avocat général : « j’ai du mal (…) à voir comment une action en justice (…) pourrait menacer cette indépendance. Une association ne peut faire appliquer la loi dans le sens où elle ferait prévaloir ses vues aux autorités de contrôle de manière contraignante. Ce rôle est exclusivement dévolu aux tribunaux. »
De la responsabilité conjointe du site de e-commerce et Facebook
Ce cap procédural passé vient la question principale. Le site d'e-commerce est-il responsable des traitements tambourinant derrière les boutons « J’aime » ?
La problématique est que le site n’a aucune « influence » sur le flux de données. Son rôle, certes central, se limite à insérer un tel bouton sur son site. « En présence de contenus de tiers insérés dans des sites Web, qui est responsable de quoi exactement ? » reformule dès lors l’avocat général, avant d’esquisser ses propositions de réponses.
Selon lui, le site Web est bien responsable conjoint de ces traitements avec Facebook. D’abord, parce que c’est lui qui « a permis à Facebook Ireland d’obtenir les données à caractère personnel des utilisateurs de son site Web en ayant recours au plugiciel en cause ».
Ensuite, le recours au bouton « J’aime » lui permet d’aiguiser ses publicités. Comme Facebook, la finalité est commerciale. S’il ne détermine pas chacun des paramètres des traitements, Facebook, « en insérant délibérément le plugiciel dans son site Web, [le site] a déterminé ces paramètres pour tout visiteur de son Web ».
Enfin, si Fashion ID ne dispose même pas d’un accès aux données transmises à Facebook, le point n’est pas déterminant. Un responsable conjoint peut être vu comme tel « sans même avoir accès à de quelconques fruits d’un travail commun », objecte l’avocat général, jurisprudence de la CJUE sous le bras.
Pour l’avocat général, l’un et l’autre sont donc responsables de traitement.
Une responsabilité conjointe, mais nuancée
La responsabilité du site n’a pas la même ampleur à ses yeux que celle de Facebook. Elle doit être « limitée aux seules opérations pour lesquelles il est effectivement codécideur des moyens et des finalités du traitement des données à caractère personnel » tempère l’avocat général.
Cette limitation concerne par exemple « la phase de traitement des données que [la société] pratique et elle ne saurait déborder sur les phases subséquentes de traitement de données, si celui-ci échappe à son contrôle et, semble-t-il, est réalisé à son insu ».
« Cela signifie qu’est responsable (conjoint) du traitement celui qui est responsable de cette opération ou de cet ensemble d’opérations pour laquelle ou lequel il partage ou détermine conjointement les finalités et les moyens d’une opération donnée de traitement, reformulent les services de la cour. Par opposition, cette personne ne peut être tenue pour responsable des phases antérieures ou postérieures de la chaîne de traitement pour lesquelles elle n’est en mesure de déterminer ni les finalités ni les moyens ».
L’intérêt légitime, le consentement et l’information
Pour rendre licites ces traitements, ces responsables peuvent s’appuyer sur le critère de l’intérêt légitime à opérer des prospections commerciales et des publicités. Ces intérêts doivent simplement être mis en balance au regard des droits des personnes physiques comme le veut la directive précitée (outre le RGPD).
Lorsqu’un consentement est requis – aux autorités nationales de le déterminer – il devra être donné au gestionnaire du site web qui a inséré le bouton social. C’est lui-même encore qui sera chargé de l’obligation d’information, avant même la collecte et le transfert des données.
Un arrêt à venir aux lourdes perspectives
Les perspectives de l’arrêt attendu à une date ultérieure sont très lourdes pour l’ensemble des sites Web intégrant des boutons de partage social. Si les faits de l’affaire sont antérieurs au règlement général sur la protection des données personnelles, ses conclusions devraient s’appliquer sans difficulté à ceux ultérieurs au 25 mai.
En juin 2018, la CJUE avait déjà constaté la coresponsabilité de l’administrateur d’une page « fan » sur Facebook. Sans nul doute, devrait-elle dupliquer cette solution pour les sites intégrant des boutons de partage. Rappelons que Next INpact a fait un autre choix que d’utiliser les plug-ins sociaux fournis clef en main par Facebook. Nous avons opté pour de simples liens, sans tracker.
Commentaires (21)
Y a t-il moyen d’aimer une “ page ” facebook sans tracker ?
Parce que le lien simple oblige à visiter la page en question, puis cliquer sur j’aime la page depuis facebook, ce qui n’est pas du tout pratique.
Facebook fait tout pour que les gens utilisent leur javascript, c’est vraiment du foutage de gueule ces boutons.
On n’a pas fini de rigoler si la CJUE suit l’avocat général ce qui est probable !
" />
Quand tu penses qu’une grosse part du modèle économique de Facebook est basé sur la collecte des données grâce à ces boutons…
" />
" />
du coup si les sites commencent à virer les boutons pour ne pas avoir de problème… oulàlàlàlà on va bien rigoler oui.
Moins chez FB
@ Marc : on sait pourquoi Fashion ID a été ciblé par l’asso Allemande ? y’a une histoire derrière ou le hasard ?
Nice
" />
En même temps, ce n’est qu’un rétablissement de l’ordre naturel des choses.
Par l’intermédiaire de ce bouton, Facebook récupérait des données sans en informer les gens, ni même leur demander leur consentement. Je suis surpris que cela n’ait pas été soulevé avant.
Intégrité et respect des personnes: Facebook a basé son business model sur leur violation: ce ne serait que logique si Facebook coule après ça.
Je suis déjà tombé sur des sites où il fallait “activer” le bouton Facebook avant de pouvoir “aimer”.
(Je suppose que c’est seulement lors de cette activation que les données étaient envoyées, et les cookies crées.)
Bon, c’est de plus en plus rare ce genre de site (à l’exception de rares cas comme NextINpact), ces jours-ci en général c’est plutôt : soit les réseaux sociaux à fond, soit pas de bouton d’aucun réseau social du tout !
Donc si la CJUE est du même avis, cela veut dire que la plupart des sites (e-commerce ou pas) sont dans l’illégalité ?
" />
Car la simple visite sur l’une des pages intégrant ce bouton entraîne la
transmission automatisée de données à Facebook Ireland, à savoir son
adresse IP et l’identifiant de son navigateur.
Simple visite, sans clic = Facebook récupère des données sans même qu’on y soit inscrit ?!
C’est qui l’Avocat Général ?
Je vois tellement de monde autour de moi continuer à cliquer sur accepter pour avoir accès au contenu de site…. Tout comme la pleine page que prennent les affichage type Quanta, empêchant la navigation alors que ce doit être informatif et que si il n’y a pas acceptation (pouvoir fermer le pop up par exemple) doit être équivalent à un refus.
Ça veut dire que :
Certains le font déjà pour eux ou leurs partenaires.
De toute façon, si le site “hôte” était jugé non responsable, facebook serait responsable du traitement des données et donc serait quand même obligé de faire ce que j’ai indiqué au-dessus et ne pourrait le faire sans passer par le site hôte.
oui, le bouton j’aime tu l’affiches directement depuis FB, donc le fait de le charger te fait faire des requêtes vers leur serveurs et ils en profitent pour te marquer à la culotte.
FB constitue ensuite ce qu’ils appellent des shadow profiles (y’a eu pas mal d’articles la dessus y compris sur NxI si je dis pas de bétise) qui sont parfois très très complet, sans que la personne n’ai aucun recours (pas inscrite sur le site, donc aucune possibilité de quoique ce soit).
et vu le nombre de sites et de page avec des boutons j’aime, autant dire que FB possède une bonne part de ton historique de navigation et souvent absolument pas anonyme car ils ont reussi a chopper plein données perso(via linkedin and co)au passage. Enfin ca a pas du s’arranger avec le pompage de données whatsapp et messenger en plus.
voila une belle entreprise “qui regorge d’amis” et déborde de respect :)
Yep, ces boutons de machins sociaux sont de véritables espions ambulants. Le tout installé avec la complicité des sites web.
Heureusement que les bloqueurs de contenu ont aussi des listes pour ces saletés.
J’espère qu’établir la coresponsabilité sera un bon pas en avant pour espérer assainir le Web, c’est devenu la fête du slip tellement vite…
pour firefox je vous conseille : behind the overlay
" />
https://addons.mozilla.org/fr/firefox/addon/behind_the_overlay/
un clic et quantcast disparait
Voilà.
De rien.
Ton message méprisant ne répond pas à la question. Il voulait connaître son nom. Ta recherche google trop générale ne permet pas d’obtenir la réponse.
Le 2e lien de la réponse Google a dans son intitulé “présentation des membres - CJUE”.
Mais il faut lire. Et cliquer. Et lire à nouveau. Oui, je sais, c’est dur.
NB: pas de mépris, juste de la taquinerie en mode “tu t’attendais à quoi?”
le souci c’est que quand on fait le malin, il faut savoir s’y prendre.
" />
Il y a 9 avocats généraux à la CJUE. du coup même en lisant, en cliquant, et en lisant à nouveau (ce que tu n’as à l’évidence pas fait, lol), t’as 11% de chance de trouver le bon. oui je sais, c’est dur.
la réponse est: Michal Bobek.
il est tout en haut de son propre avis, cité dans l’article.