La CJUE dira si un site est responsable des traitements derrière les boutons « J’aime » de Facebook

Aucun changement pour Nxi

Le 31 août 2018 à 08h40

5 min

Droit

Sur la planche de la Cour de justice de l’Union européenne, une affaire risque de susciter un grand chamboulement dans les pratiques des sites Internet. Elle vise à déterminer qui est responsable de traitement des données personnelles lors de l’introduction d’un bouton « J’aime » en bas d’une publication en ligne.

La détermination du responsable de traitement n’est pas toujours aisée. Cette mission achevée permet de savoir qui doit supporter les obligations légales, en particulier au regard du règlement général sur la protection des données personnelles : devoir d’information, droits des personnes physiques, obligations de sécurisation, responsabilité devant les autorités de contrôle ou les juridictions… Les intérêts sont multiples et lourds de conséquences.

Mercredi prochain, la Cour de justice de l’Union européenne (CJUE) entendra les plaidoiries autour de l’affaire « Fashion ID ». Ce site de e-commerce allemand, spécialisé dans la vente de vêtements, a intégré un bouton « J’aime » sous ses produits. Un moyen pratique pour faciliter le partage social sur Facebook, garantir sa visibilité et donc l'arrivée de nouveaux clients potentiels.

Rien de nouveau, ce module social étant très repandu.

En octobre dernier, comme l’avait résumé l’avocat général Yves Bot en marge d’un autre litige, une association de consommateurs a néanmoins reproché à cet e-commerçant d’avoir permis de ce fait à Facebook « d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel ».

Le widget Facebook : un choix du site, sans maîtrise sur les données

Lorsque des utilisateurs consultent le site enrichi d’un bouton social sous forme de widget, des données sont en effet transmises à Facebook, automatiquement : « l’adresse IP, les données techniques du navigateur ainsi que des informations sur le contenu souhaité », selon le résumé dressé par les services de la CJUE.

L'e-commerçant n’a pas de maitrise sur ces informations. Néanmoins, l’association de consommateur considère que ces solutions devraient être interdites : les utilisateurs ne donnent pas leur consentement et ne sont même pas informés des finalités ou de l’utilisation de ces données envoyées à Facebook.

Saisies, les juridictions allemandes ont transmis à la CJUE une batterie de questions. Il s’agit déjà de savoir si le site injectant ce bouton peut ou non être qualifié de responsable de traitement quand bien même il n’a pas cette maitrise. Comment dès lors doit s’opérer le recueil du consentement ou le droit à l’information des utilisateurs ? Qu’en est-il par ailleurs de l’intérêt légitime derrière lequel le site pourrait s’abriter ?

Une décision qui vaudra pour le RGPD

Le dossier concerne l’ancienne législation européenne, la directive du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données personnelles. Les réponses de la cour vaudront néanmoins pour le nouveau règlement européen, mis en application depuis le 25 mai. Celui-ci reprend en effet ces principes de base en ajoutant de nouveaux droits et obligations (notre analyse ligne par ligne des 99 articles).

L’avocat général Yves Bot avait déjà estimé ne pas voir de « différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking ».

Dans cette précédente affaire, la Cour de justice avait justement jugé que l’administrateur d’une page « fan » était bien coresponsable des données collectées par Facebook. Pourquoi ? Car sa décision d’ouvrir une telle page contribue finalement à nourrir un traitement de données personnelles des visiteurs de sa page.

Cet arrêt avait connu un certain bruit médiatique, mais il est d’une logique implacable : « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel », avait plaidé l’avocat général.

Vers une coresponsabilité

En toute logique, dans sa nouvelle décision attendue dans quelques mois, la CJUE devrait arriver à la même issue : celui qui décide d’utiliser le widget Facebook sera alors lui aussi responsable. Cette coresponsabilité ne devrait pas conduire à une responsabilité à 50 % entre le site et le réseau social, les juridictions des États membres étant appelées à départager les rôles de chacun.

Précisons pour notre part que Next INpact n’utilise pas les plug-ins sociaux fournis clef en main par Facebook (ou Twitter et autres solutions similaires). Nous avons opté pour l’inclusion de simples liens, sans tracker. Preuve qu’il est possible pour les sites de s’assurer d’une certaine visibilité sociale, tout en respectant les droits de chacun.

Commentaires (12)

pbigen Abonné

Le 31/08/2018 à 08h45

répandu, je pense?

MarcRees

Le 31/08/2018 à 08h58

grr, c’est corrigé, merci.

 

Nerg34

Le 31/08/2018 à 09h16

J’espère que ça responsabilisera un peu les possesseurs de site web.

Cette façon de faire de Facebook est juste dégueulasse, mais la complicité des Webmasters est bien réelle.

wanou Abonné

Le 31/08/2018 à 10h28

La guerre des boutons est ouverte ?

krogoth21 Abonné

Le 31/08/2018 à 10h49

wanou a écrit :

La guerre des boutons est ouverte ?

" />

crocodudule

Le 31/08/2018 à 11h58

Avec sa décision sur la coresponsabilité du fait de FB Insights du 5 juin, il serait curieux  que la CJUE dise pas la même chose s’agissant du widget FB.

Exagone313

Le 31/08/2018 à 12h16

Mais dans ce cas, comment différencier un service de tracking d’une ressource externe ?

Deux exemples :

des ressources statiques sur un CDN, qui utilise un cookie pour le load balancing;

l’inclusion d’une vidéo hébergée par un site tiers (script ou iframe).

Et quid de l’invitation à cliquer sur un lien qui mène vers un site de tracking ?

crocodudule

Le 31/08/2018 à 12h22

Exagone313 a écrit :

Mais dans ce cas, comment différencier un service de tracking d’une ressource externe ?
 Deux exemples :       


 1) des ressources statiques sur un CDN, qui utilise un cookie pour le load balancing;       


 2) l'inclusion d'une vidéo hébergée par un site tiers (script ou iframe).       


 Et quid de l'invitation à cliquer sur un lien qui mène vers un site de tracking ?
 Si le "tracking" n'a qu'une finalité technique, aucun consentement préalable n'est nécessaire.      


Si c'est à des fins marketing avant d'afficher le truc ou de renvoyer vers une page, il faut recueillir l'accord préalable.     
Par contre je te l’accorde la distinction est pas toujours évidente, par exemple j’utilise webtool de google pour faciliter le référencement et avoir des stats en mettant une balise meta dans le header. Pour moi ca n’a qu’une finalité technique. En revanche si google fait du tracking publicitaire avec (ce qui est probable mais je n’arrive pas à le confirmer), ben je dois avoir l’accord préalable du visiteur.

skankhunt42

Le 02/09/2018 à 16h05

Nerg34 a écrit :

J’espère que ça responsabilisera un peu les possesseurs de site web. Cette façon de faire de Facebook est juste dégueulasse, mais la complicité des Webmasters est bien réelle.

Comme bien souvent le webmaster ne fait que répondre à une demande et ce n’est pas de sa faute si les données sont pompable… Rajouter un bouton j’aime sur chaque fiche produit c’est augmenter sa visibilité sur internet facebook. Si demain certains sites suppriment le module partager qui contiens 20 boutons c’est au moins 25% de visite en moins.

De toute façon j’ai déja dis ça il y à quelques années, le bouton j’aime à 2 problème majeur :

. Pas de contrôle sur l’url : Vous pensez like une photo de chat et vous aurez un lien zoophile à la place.

. Pas de contrôle sur la visibilité : Tu pense clic sur un bouton next et en fait c’est un j’aime invisible

Naturellement c’est drôle quand les deux son combinés, une galerie de photo de chat avec à chaque fois que tu clic sur next tu partage un lien zoophile sur facebook.

ps : j’ai été dev ecommerce, ce genre de module ce vend comme des petits pains ( 30€ min ). ( jusqu’au jours ou le cms l’intègre et le rend gratuit ).

CryoGen

Le 03/09/2018 à 08h38

Tu oublis un problème majeur de ces boutons : le tracking. Sans même cliquer dessus tu peux te retrouver avec des cookies, ou alimenter ton profil “fantôme”…

numerid

Le 05/09/2018 à 15h10

C’est pour ça que par principe je n’en mets sur aucun de mes sites.

CryoGen

Le 05/09/2018 à 15h13

Oui c’est une bonne pratique je trouve, ou alors façon “cookie” il faudrait pouvoir activer/désactiver les boutons sociaux (comme NXI le fait)

Mais perso j’ai uMatrix pour “régler” le problème.