Données personnelles : la responsabilité d’une société face à sa page « Fan » sur Facebook

Données personnelles : la responsabilité d’une société face à sa page « Fan » sur Facebook

D'un réseau social à un réseau responsable

Avatar de l'auteur

Marc Rees

Publié dansDroit

24/10/2017
11
Données personnelles : la responsabilité d’une société face à sa page « Fan » sur Facebook

Les entreprises utilisent souvent les pages « Fan » de Facebook pour promouvoir leurs services ou produits. Avec Facebook Insights, l’administrateur dispose de statistiques avancées (âge, sexe, etc.) pour aiguiser son ciblage et étendre sa réputation. Une affaire à la CJUE risque de jeter un froid dans ce forage des données personnelles.

Une société spécialisée dans le domaine de l’éducation, la Wirtschaftsakademie Schleswig-Holstein GmbH s’est vue enjoindre par la Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, une CNIL allemande régionale, de désactiver une page « Fan » sur Facebook.

Le doigt sur la page « Fan » de cette entreprise, l’autorité de contrôle allemande lui a reproché un défaut d’avertissement. À leur arrivée, ses visiteurs auraient en effet dû être clairement informés de la collecte de leurs données personnelles à des fins statistiques et de publicité comportementale, via un cookie enregistré durant deux ans.

Sans surprise, l’entreprise allemande a répondu qu’elle n‘était pas « responsable » ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

De l'Allemagne à la CJUE

L’affaire a connu une valse de décisions en Allemagne. En octobre 2013, un tribunal administratif a par exemple annulé l’injonction de la CNIL allemande. L’appel de cette dernière a par la suite été rejeté. À chaque fois, il a été considéré en substance que l’entreprise n’était pas responsable des données collectées par Facebook. 

Devant la cour administrative fédérale, plusieurs questions touchant au droit européen ont cette fois été prises en compte. Elles ont justement donné lieu à un renvoi préjudiciel devant la Cour de justice de l’Union européenne. 

La problématique est assez simple : certes, ces traitements impliquent l’information et l’accord préalables des personnes concernées. Mais encore faut-il savoir qui est le responsable du traitement, quel est le droit applicable et quelle est l’autorité de contrôle ! 

À qui adresser l’injonction ?

Première question : une CNIL locale peut-elle adresser une telle injonction directement sans passer par une antenne de Facebook en Europe ? Pour l’avocat général, dont les conclusions ont été rendues aujourd’hui, cela ne fait pas de doute.

Il s’est inspiré de l’affaire « Costeja » sur le droit à l’oubli, où déjà la Cour avait eu une conception très large de la notion de responsabilité à l’égard de Google Spain. À ses yeux, Facebook inc. et Facebook Ireland « ont déterminé à titre principal les objectifs et les modalités » du traitement. Mais l’entreprise privée n’est pas hors de cause. Elle doit même être considérée comme conjointement responsable du traitement, et donc des possibles violations des règles !

Pourquoi ? « En ayant recours à Facebook pour diffuser son offre d’informations, l’administrateur de la page fan adhère au principe de la mise en œuvre d’un traitement des données à caractère personnel des visiteurs de sa page aux fins de l’établissement de statistiques d’audience » écrit l’avocat général dans ses conclusions.

Certes, l’entreprise allemande n’a pas mis les mains dans le cambouis du code Facebook, mais en ayant fait le choix de recourir à Facebook Insights, elle a pris « part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

Mieux, « en acceptant les moyens et les finalités du traitement des données à caractère personnel, tels qu’ils sont prédéfinis par Facebook, le gestionnaire de la page fan doit être considéré comme participant à leur détermination ».

Plusieurs acteurs, un même bateau

Ainsi, l’administrateur a une influence déterminante dans le déclenchement et dans la mise en œuvre du traitement puisque c’est lui encore qui, sur suggestion de Facebook, va déterminer l’audience qu’il souhaite toucher avec sa page.

Conclusion de l’avocat général : « un administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page. » 

Le juriste, dont l’avis est destiné à éclairer la Cour sans la lier, a balayé les éventuelles clauses contractuelles liant l’entreprise privée à Facebook. Trop facile : « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel. »

Pour lui, il y a donc coresponsabilité : l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées. À ceci près que si la responsabilité est conjointe, elle n’est pas nécessairement égale. La responsabilité du réseau social sera toujours plus lourde que celle de l’entreprise allemande.  

La compétence de la CNIL allemande

D’autres questions surgissent. Est-ce que la CNIL allemande est compétente ? Et à quelle antenne de Facebook peut-elle également émettre une injonction d’interrompre le traitement litigieux ? 

Selon le droit européen, « un traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’État membre sur le territoire duquel est situé cet établissement ». 

Si l’on déploie sur la table les acteurs en présence, nous trouvons Facebook inc. concepteur d’un réseau social, estomac à données personnelles. Mais ce système est déployé en Europe sous la responsabilité de Facebook Ireland. Là-dessus se greffe Facebook Germany qui s’occupe de la promotion et de la vente d’espaces publicitaires. Pas simple ! 

Pour dénouer ce fil, l’avocat général va utiliser les solutions déjà proposées par la Cour dans deux arrêts importants : Weltimmo et Google Spain (ou Costja), déjà citée. 

Le premier a étendu les compétences d’une CNIL nationale dès lors qu’une entreprise y dispose d’un représentant. 

Le second a estimé qu’un site qui « collecte » des données et les « extraits », les « enregistre », les « organise » dans son index, les « conserve » sur ses serveurs et les « communique » ou les « met à disposition » des utilisateurs, réalise des traitements de données personnelles.

Et ces opérations seront réputées se réaliser en Europe si elles ont lieu « dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre », en l’occurrence Google Spain face à Google inc. 

Une compétence élargie en attendant le RGPD

Afin de poursuivre sa logique de protection efficace des données personnelles, il en conclut que l’autorité de contrôle allemande est « compétente pour appliquer son droit national au traitement de données à caractère personnel en cause ».

Elle y dispose donc d’un pouvoir d’investigation, d’injonction et pourquoi pas de sanction en infligeant à celui qui est désigné responsable, une amende. Elle peut d'ailleurs directement enjoindre Facebook Ireland sans passer par la CNIL irlandaise, par exemple, voire prendre des mesures contre la Wirtschaftsakademie Schleswig-Holstein GmbH.

L’arrêt est attendu dans les prochains mois, sans doute à l’approche de l’entrée en vigueur du règlement sur les données personnelles (RGPD). Le texte prévoit un guichet unique avec lequel Facebook n’aura à se frotter qu’à une seule autorité de contrôle, mais où des mécanismes de coopération seront mis en place. 

11
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 0
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 10

Sommaire de l'article

Introduction

De l'Allemagne à la CJUE

À qui adresser l’injonction ?

Plusieurs acteurs, un même bateau

La compétence de la CNIL allemande

Une compétence élargie en attendant le RGPD

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 0
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 10

En ligne, les promos foireuses restent d’actualité

DroitWeb 12

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 24
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 68

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 19

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 93
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Station spatiale internationale 1998

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Science 2

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

Science 14

Drapeaux de l’Union européenne

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Droit 6

Amazon re:Invent

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

IA 2

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

ÉcoSécu 3

Commentaires (11)


Quiproquo Abonné
Hier à 18h40

Ça me semble plein de bon sens.


jackjack2
Hier à 19h20

Mouais la CJUE va casser ça


boogieplayer
Hier à 21h45

Voilà qui me parrait intéressant. N’empêche avec la GRPD on va se marrer tiens dans les années qui viennent.

Merci Marc pour cet très bon article.


MsGambit Abonné
Hier à 05h02

Genial le nom de l avocat general , vraiment dans le contexte&nbsp;<img data-src=" />


MeowMeow
Hier à 07h34

Ca va être ultra chaud pour appliqué la GRPD…


ProFesseur Onizuka
Hier à 07h52

Les avocats sont déjà remplacés par des IA <img data-src=" />


dematbreizh Abonné
Hier à 08h09

Google a la main sur sur code, intégralement, elle a la possibilité (donc le devoir) de respecter de manière automatique le droit de signaler cette récolte sur la page.


numerid Abonné
Hier à 08h55

Pourquoi ?


Plastivore Abonné
Hier à 09h15

Mais on n’est pas mis au courant dans le CGU de Facebook ? Bon, OK, personne ne les lit, mais il doit bien y avoir un paragraphe qui indique que les données persos sont manipulées ad nauseam par les pages que l’on suit, non ?

Ou j’ai raté un truc…


jackjack2
Hier à 10h24






numerid a écrit :

Pourquoi ?


Je sais pas, intuition
Trop d’enjeux



Z-os Abonné
Hier à 19h10

Il y a le choix :

Vous nous autorisez à utiliser votre nom, votre photo de profil, vos contenus et vos informations dans le cadre d’un contenu commercial, sponsorisé ou associé (par exemple une marque que vous aimez) que nous diffusons ou améliorons. Cela implique, par exemple, que vous autorisez une entreprise ou une autre entité à nous rémunérer pour afficher votre nom et/ou la photo de votre profil avec votre contenu ou vos informations, sans vous verser de dédommagement. Si vous avez sélectionné une audience particulière pour votre contenu ou vos informations, nous respecterons votre choix lors de leur utilisation.

ou

Nous nous réservons tous les droits qui ne vous sont pas explicitement accordés.


Mais on est sauvés :

Vous n’utiliserez pas Facebook si vous avez été condamné(e) pour violences sexuelles.