La Cour de justice de l’Union européenne vient de rendre une décision encore peu commentée mais très importante à l’heure de l’application du RGPD (Règlement général relatif à la protection des données personnelles). Elle élargit la notion de responsable du traitement dans des proportions qui pourraient affecter tous les utilisateurs.
Rendue le 5 juin 2018 dans le cadre d’une affaire allemande, la décision vise les administrateurs de pages fan hébergées sur Facebook et plus spécifiquement les cookies générés automatiquement pour analyser les données d’utilisation de la page. La CJUE considère que ces administrateurs sont responsables du traitement des données des utilisateurs de la page fan dans les mêmes proportions que l’hébergeur de la page qui est Facebook.
Administrateurs de pages Facebook : RGPD s’applique à vous
Avec l’entrée en vigueur du RGPD, on a vu le patron de Facebook délivrer des discours rassurants et pleins d’enthousiasme sur la conformité de son réseau avec les exigences de transparence et de sécurité en matière de protection des données personnelles. Le réseau aurait fait sa mue et serait en totale adéquation avec les nouvelles obligations liées au RGPD.
Cela peut paraître rassurant, mais tous les administrateurs de pages fan sur ce réseau devraient se poser des questions car ils sont désormais considérés comme responsables du traitement des données personnelles utilisateurs au même titre que Facebook. La CJUE considère en effet que “la notion de « responsable du traitement » […] englobe l’administrateur d’une page fan hébergée sur un réseau social“.
Les observateurs remarqueront que cette décision fait référence à la notion de responsable du traitement prévue par la directive de 1995. Mais cette directive vient d’être remplacée par le RGPD et l’on peut déduire sans difficulté que l’interprétation de la CJUE survivra à l’abrogation de la directive de 1995.
Quelles sont les conséquences sur les administrateurs de pages fan sur Facebook ?
Cette reconnaissance de responsabilité pourrait avoir plusieurs conséquences.
La première est que l’administrateur de page de fan et Facebook pourraient être désignés co-responsables du traitement des données personnelles. Dans ce cas, le RGPD prévoit qu’un document doit partager concrètement entre les responsables les tâches à effectuer pour être conforme au Règlement : à l’heure actuelle aucune démarche de ce type n’est proposée par Facebook. Facebook pourrait, à terme, estimer possible de se décharger petit-à-petit sur les administrateurs des pages de fan.
La seconde conséquence possible est la responsabilisation de l’administrateur de page de fan qui devra s’assurer que le RGPD est bien respecté par Facebook (on leur souhaite bien du courage, qui a dit Cambridge Analytica ?). Cela signifie aussi que si la société Facebook est un jour reconnue responsable de ne pas avoir respecté le RGPD, la responsabilité pourrait retomber sur l’administrateur de la page fan hébergée sur le réseau qui n’a pas mis en oeuvre toutes les mesures nécessaires à la protection des données personnelles.
Seule la pratique permettra de confirmer ou d’infirmer ces pistes de réflexion. Toujours est-il que les utilisateurs de Facebook, a fortiori les administrateurs de pages fan, sont invités à la plus grande vigilance.
Retrouvez le texte complet de l’arrêt en cliquant sur ce lien.
