Sur la planche de la Cour de justice de l’Union européenne, une affaire risque de susciter un grand chamboulement dans les pratiques des sites Internet. Elle vise à déterminer qui est responsable de traitement des données personnelles lors de l’introduction d’un bouton « J’aime » en bas d’une publication en ligne.
La détermination du responsable de traitement n’est pas toujours aisée. Cette mission achevée permet de savoir qui doit supporter les obligations légales, en particulier au regard du règlement général sur la protection des données personnelles : devoir d’information, droits des personnes physiques, obligations de sécurisation, responsabilité devant les autorités de contrôle ou les juridictions… Les intérêts sont multiples et lourds de conséquences.
Mercredi prochain, la Cour de justice de l’Union européenne (CJUE) entendra les plaidoiries autour de l’affaire « Fashion ID ». Ce site de e-commerce allemand, spécialisé dans la vente de vêtements, a intégré un bouton « J’aime » sous ses produits. Un moyen pratique pour faciliter le partage social sur Facebook, garantir sa visibilité et donc l'arrivée de nouveaux clients potentiels.
Rien de nouveau, ce module social étant très repandu.
En octobre dernier, comme l’avait résumé l’avocat général Yves Bot en marge d’un autre litige, une association de consommateurs a néanmoins reproché à cet e-commerçant d’avoir permis de ce fait à Facebook « d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel ».
Le widget Facebook : un choix du site, sans maîtrise sur les données
Lorsque des utilisateurs consultent le site enrichi d’un bouton social sous forme de widget, des données sont en effet transmises à Facebook, automatiquement : « l’adresse IP, les données techniques du navigateur ainsi que des informations sur le contenu souhaité », selon le résumé dressé par les services de la CJUE.
L'e-commerçant n’a pas de maitrise sur ces informations. Néanmoins, l’association de consommateur considère que ces solutions devraient être interdites : les utilisateurs ne donnent pas leur consentement et ne sont même pas informés des finalités ou de l’utilisation de ces données envoyées à Facebook.
Saisies, les juridictions allemandes ont transmis à la CJUE une batterie de questions. Il s’agit déjà de savoir si le site injectant ce bouton peut ou non être qualifié de responsable de traitement quand bien même il n’a pas cette maitrise. Comment dès lors doit s’opérer le recueil du consentement ou le droit à l’information des utilisateurs ? Qu’en est-il par ailleurs de l’intérêt légitime derrière lequel le site pourrait s’abriter ?
Une décision qui vaudra pour le RGPD
Le dossier concerne l’ancienne législation européenne, la directive du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données personnelles. Les réponses de la cour vaudront néanmoins pour le nouveau règlement européen, mis en application depuis le 25 mai. Celui-ci reprend en effet ces principes de base en ajoutant de nouveaux droits et obligations (notre analyse ligne par ligne des 99 articles).
L’avocat général Yves Bot avait déjà estimé ne pas voir de « différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking ».
Dans cette précédente affaire, la Cour de justice avait justement jugé que l’administrateur d’une page « fan » était bien coresponsable des données collectées par Facebook. Pourquoi ? Car sa décision d’ouvrir une telle page contribue finalement à nourrir un traitement de données personnelles des visiteurs de sa page.
Cet arrêt avait connu un certain bruit médiatique, mais il est d’une logique implacable : « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel », avait plaidé l’avocat général.
Vers une coresponsabilité
En toute logique, dans sa nouvelle décision attendue dans quelques mois, la CJUE devrait arriver à la même issue : celui qui décide d’utiliser le widget Facebook sera alors lui aussi responsable. Cette coresponsabilité ne devrait pas conduire à une responsabilité à 50 % entre le site et le réseau social, les juridictions des États membres étant appelées à départager les rôles de chacun.
Précisons pour notre part que Next INpact n’utilise pas les plug-ins sociaux fournis clef en main par Facebook (ou Twitter et autres solutions similaires). Nous avons opté pour l’inclusion de simples liens, sans tracker. Preuve qu’il est possible pour les sites de s’assurer d’une certaine visibilité sociale, tout en respectant les droits de chacun.
Commentaires (12)
répandu, je pense?
grr, c’est corrigé, merci.
J’espère que ça responsabilisera un peu les possesseurs de site web.
Cette façon de faire de Facebook est juste dégueulasse, mais la complicité des Webmasters est bien réelle.
La guerre des boutons est ouverte ?
Avec sa décision sur la coresponsabilité du fait de FB Insights du 5 juin, il serait curieux que la CJUE dise pas la même chose s’agissant du widget FB.
Mais dans ce cas, comment différencier un service de tracking d’une ressource externe ?
Deux exemples :
Et quid de l’invitation à cliquer sur un lien qui mène vers un site de tracking ?
Tu oublis un problème majeur de ces boutons : le tracking. Sans même cliquer dessus tu peux te retrouver avec des cookies, ou alimenter ton profil “fantôme”…
C’est pour ça que par principe je n’en mets sur aucun de mes sites.
Oui c’est une bonne pratique je trouve, ou alors façon “cookie” il faudrait pouvoir activer/désactiver les boutons sociaux (comme NXI le fait)
Mais perso j’ai uMatrix pour “régler” le problème.