L’administrateur d’une page fan sur Facebook est un responsable conjoint de traitement

La CJUE a indiqué que l’administrateur d’une page fan hébergée sur Facebook devait être considéré comme un responsable de traitement conjoint aux côté de Facebook dès lors que via la création d’une telle page, il offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil des visiteurs de sa page fan…

Ce qu’il faut retenir : La Cour de Justice de l’Union Européenne (CJUE) a indiqué que l’administrateur d’une page fan hébergée sur Facebook devait être considéré comme un responsable de traitement conjoint aux côté de Facebook dès lors que via la création d’une telle page, il offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil des visiteurs de sa page fan (y compris de ceux qui ne disposent pas d’un compte Facebook) et qu’il reçoit communication des données statistiques collectées via ces cookies.

Pour approfondir : La Cour administrative fédérale d’Allemagne a saisi la CJUE de plusieurs questions préjudicielles dans le cadre d’une affaire opposant Wirtschaftsakademie, une société allemande spécialisée dans le domaine de l’éducation et l’ULD, l’autorité de contrôle allemande (équivalent de la CNIL en Allemagne). Dans les faits, Wirtschaftsakademie offre des services de formation notamment via une page fan hébergée sur Facebook.

Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises. Régulièrement utilisées par les entreprises pour la création d’un compte professionnel sur le réseau social, ces pages fan permettent de diffuser des communications de toute nature.

Les administrateurs de ces pages peuvent obtenir des données statistiques anonymes concernant les visiteurs à l’aide de la fonction intitulée Facebook Insight, que Facebook propose gratuitement et qui utilise des cookies comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan.

Suite à un contrôle réalisé par l’ULD, cette dernière a, par une décision du 3 novembre 2011 fait injonction à Wirtschaftsakademie de désactiver sa page fan sous peine d’astreinte en cas de non-exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les internautes que des données personnelles les concernant étaient collectées via les cookies.

Wirtschaftsakademie a alors attaqué cette décision en indiquant qu’elle n’était responsable ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

L’ULD a rejeté cette réclamation, par une décision du 16 décembre 2011, en considérant que la responsabilité de Wirtschaftsakademie est établie dès lors qu’en créant sa page fan, elle contribue activement et volontairement à la collecte de données personnelles par Facebook dont elle profitait au moyen des statistiques mises à sa disposition par le réseau social.

Wirtschaftsakademie a alors introduit un recours contre cette décision devant le tribunal administratif, lequel a annulé la décision attaquée. Le tribunal administratif supérieur d’Allemagne a rejeté l’appel introduit par l’ULD contre cet arrêt comme étant non fondé.

En dernière instance, la Cour administrative fédérale a décidé de surseoir et de saisir la CJUE afin de notamment savoir si Wirtschaftsakademie devait être considérée comme un responsable conjoint de traitement aux côtés du réseau social Facebook.

LA CJUE a alors analysé dans quelle mesure l’administrateur d’une page fan hébergée sur Facebook contribue, dans le cadre de cette page fan, à déterminer, conjointement avec Facebook les finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut donc, lui aussi, être considéré comme étant « responsable du traitement ».

La CJUE a d’abord rappelé que les traitements de données à caractère personnel sont profitables à Facebook ainsi qu’à l’administrateur de la page qui peut connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.

Si la CJUE a pris le soin de préciser que le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, elle a toutefois relevé que la création d’une page fan sur Facebook implique que l’administrateur réalise une action de paramétrage, en fonction notamment de son audience cible et par conséquent, qu’il contribue au traitement des données à caractère personnel des visiteurs de sa page.

La CJUE a précisé que s’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable de données personnelles.

Dans ces circonstances, la CJUE a conclu que l’administrateur d’une page fan hébergée sur Facebook participe, par son action de paramétrage, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan et de ce fait, doit être qualifié de responsable conjointement avec Facebook.

A rapprocher : Règlement Général sur la Protection des Données personnelles