Les entreprises utilisent souvent les pages « Fan » de Facebook pour promouvoir leurs services ou produits. Avec Facebook Insights, l’administrateur dispose de statistiques avancées (âge, sexe, etc.) pour aiguiser son ciblage et étendre sa réputation. Une affaire à la CJUE risque de jeter un froid dans ce forage des données personnelles.

Une société spécialisée dans le domaine de l’éducation, la Wirtschaftsakademie Schleswig-Holstein GmbH s’est vue enjoindre par la Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, une CNIL allemande régionale, de désactiver une page « Fan » sur Facebook.

Le doigt sur la page « Fan » de cette entreprise, l’autorité de contrôle allemande lui a reproché un défaut d’avertissement. À leur arrivée, ses visiteurs auraient en effet dû être clairement informés de la collecte de leurs données personnelles à des fins statistiques et de publicité comportementale, via un cookie enregistré durant deux ans.

Sans surprise, l’entreprise allemande a répondu qu’elle n‘était pas « responsable » ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

De l'Allemagne à la CJUE

L’affaire a connu une valse de décisions en Allemagne. En octobre 2013, un tribunal administratif a par exemple annulé l’injonction de la CNIL allemande. L’appel de cette dernière a par la suite été rejeté. À chaque fois, il a été considéré en substance que l’entreprise n’était pas responsable des données collectées par Facebook. 

Devant la cour administrative fédérale, plusieurs questions touchant au droit européen ont cette fois été prises en compte. Elles ont justement donné lieu à un renvoi préjudiciel devant la Cour de justice de l’Union européenne. 

La problématique est assez simple : certes, ces traitements impliquent l’information et l’accord préalables des personnes concernées. Mais encore faut-il savoir qui est le responsable du traitement, quel est le droit applicable et quelle est l’autorité de contrôle ! 

À qui adresser l’injonction ?

Première question : une CNIL locale peut-elle adresser une telle injonction directement sans passer par une antenne de Facebook en Europe ? Pour l’avocat général, dont les conclusions ont été rendues aujourd’hui, cela ne fait pas de doute.

Il s’est inspiré de l’affaire « Costeja » sur le droit à l’oubli, où déjà la Cour avait eu une conception très large de la notion de responsabilité à l’égard de Google Spain. À ses yeux, Facebook inc. et Facebook Ireland « ont déterminé à titre principal les objectifs et les modalités » du traitement. Mais l’entreprise privée n’est pas hors de cause. Elle doit même être considérée comme conjointement responsable du traitement, et donc des possibles violations des règles !

Pourquoi ? « En ayant recours à Facebook pour diffuser son offre d’informations, l’administrateur de la page fan adhère au principe de la mise en œuvre d’un traitement des données à caractère personnel des visiteurs de sa page aux fins de l’établissement de statistiques d’audience » écrit l’avocat général dans ses conclusions.

Certes, l’entreprise allemande n’a pas mis les mains dans le cambouis du code Facebook, mais en ayant fait le choix de recourir à Facebook Insights, elle a pris « part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

Mieux, « en acceptant les moyens et les finalités du traitement des données à caractère personnel, tels qu’ils sont prédéfinis par Facebook, le gestionnaire de la page fan doit être considéré comme participant à leur détermination ».

Plusieurs acteurs, un même bateau

Ainsi, l’administrateur a une influence déterminante dans le déclenchement et dans la mise en œuvre du traitement puisque c’est lui encore qui, sur suggestion de Facebook, va déterminer l’audience qu’il souhaite toucher avec sa page.

Conclusion de l’avocat général : « un administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page. » 

Le juriste, dont l’avis est destiné à éclairer la Cour sans la lier, a balayé les éventuelles clauses contractuelles liant l’entreprise privée à Facebook. Trop facile : « il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel. »

Pour lui, il y a donc coresponsabilité : l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées. À ceci près que si la responsabilité est conjointe, elle n’est pas nécessairement égale. La responsabilité du réseau social sera toujours plus lourde que celle de l’entreprise allemande.  

La compétence de la CNIL allemande

D’autres questions surgissent. Est-ce que la CNIL allemande est compétente ? Et à quelle antenne de Facebook peut-elle également émettre une injonction d’interrompre le traitement litigieux ? 

Selon le droit européen, « un traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’État membre sur le territoire duquel est situé cet établissement ». 

Si l’on déploie sur la table les acteurs en présence, nous trouvons Facebook inc. concepteur d’un réseau social, estomac à données personnelles. Mais ce système est déployé en Europe sous la responsabilité de Facebook Ireland. Là-dessus se greffe Facebook Germany qui s’occupe de la promotion et de la vente d’espaces publicitaires. Pas simple ! 

Pour dénouer ce fil, l’avocat général va utiliser les solutions déjà proposées par la Cour dans deux arrêts importants : Weltimmo et Google Spain (ou Costja), déjà citée. 

Le premier a étendu les compétences d’une CNIL nationale dès lors qu’une entreprise y dispose d’un représentant. 

Le second a estimé qu’un site qui « collecte » des données et les « extraits », les « enregistre », les « organise » dans son index, les « conserve » sur ses serveurs et les « communique » ou les « met à disposition » des utilisateurs, réalise des traitements de données personnelles.

Et ces opérations seront réputées se réaliser en Europe si elles ont lieu « dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre », en l’occurrence Google Spain face à Google inc. 

Une compétence élargie en attendant le RGPD

Afin de poursuivre sa logique de protection efficace des données personnelles, il en conclut que l’autorité de contrôle allemande est « compétente pour appliquer son droit national au traitement de données à caractère personnel en cause ».

Elle y dispose donc d’un pouvoir d’investigation, d’injonction et pourquoi pas de sanction en infligeant à celui qui est désigné responsable, une amende. Elle peut d'ailleurs directement enjoindre Facebook Ireland sans passer par la CNIL irlandaise, par exemple, voire prendre des mesures contre la Wirtschaftsakademie Schleswig-Holstein GmbH.

L’arrêt est attendu dans les prochains mois, sans doute à l’approche de l’entrée en vigueur du règlement sur les données personnelles (RGPD). Le texte prévoit un guichet unique avec lequel Facebook n’aura à se frotter qu’à une seule autorité de contrôle, mais où des mécanismes de coopération seront mis en place. 

• Télécharger les conclusions de l'avocat général Yves Bot