L’avocat général de la CJUE estime qu’un site qui place un bouton « J’aime » de Facebook devient responsable conjoint d’une partie des traitements de données personnelles. L’arrêt attendu dans quelques semaines pourrait bouleverser l’écosystème de nombreux sites Internet.
Comme la quasi-totalité des sites aujourd’hui, Fashion ID a intégré un bouton « j’aime » de Facebook. Ce site d’e-commerce entend par là assurer une certaine publicité à ses produits, en surfant sur la vague des réseaux sociaux. Une association allemande de protection des consommateurs, la Verbraucherzentrale NRW, l’a cependant attaqué estimant que ce plug-in était contraire aux lois sur la protection des données à caractère personnel en vigueur.
Pourquoi ? Car la simple visite sur l’une des pages intégrant ce bouton entraîne la transmission automatisée de données à Facebook Ireland, à savoir son adresse IP et l’identifiant de son navigateur. Dans le même temps, le réseau social mitraille sur l’appareil de l’internaute plusieurs cookies (« Session », « datr » et « fr »).
Après un périple interne, l’affaire est remontée devant la Cour de justice de l’Union européenne, où Facebook est farouchement intervenue pour défendre son business model. Aujourd’hui, l’avocat général a rendu son avis, afin d’éclairer la cour.
Quand Facebook dénie à une association de consommateur le droit d’ester en justice
Le réseau social a d’abord tenté de nier à une association de consommateurs la capacité d’agir en justice sur le terrain des données personnelles. Pourquoi ? Tout simplement parce que le texte européen en vigueur, la directive sur la protection des données personnelles de 1995, ne l’avait pas prévu. L’Allemagne l’avait intégrée après coup, mais Facebook a considéré que cette adjonction était contraire au droit de l’Union.
Selon cette entreprise gorgée d’amis, « si les associations de consommateurs devaient se voir reconnaître une qualité pour agir, elles intenteraient des actions en justice parallèlement ou au lieu et place des autorités de contrôle, d’où il s’ensuivrait des pressions exercées par le public et un parti pris des autorités de contrôle, voire serait contraire à l’exigence de totale indépendance desdites autorités ».
« Incongru », « léger ». Ces arguments ont été balayés au lance-flamme par l’avocat général : « j’ai du mal (…) à voir comment une action en justice (…) pourrait menacer cette indépendance. Une association ne peut faire appliquer la loi dans le sens où elle ferait prévaloir ses vues aux autorités de contrôle de manière contraignante. Ce rôle est exclusivement dévolu aux tribunaux. »
De la responsabilité conjointe du site de e-commerce et Facebook
Ce cap procédural passé vient la question principale. Le site d’e-commerce est-il responsable des traitements tambourinant derrière les boutons « J’aime » ?
La problématique est que le site n’a aucune « influence » sur le flux de données. Son rôle, certes central, se limite à insérer un tel bouton sur son site. « En présence de contenus de tiers insérés dans des sites Web, qui est responsable de quoi exactement ? » reformule dès lors l’avocat général, avant d’esquisser ses propositions de réponses.
Selon lui, le site Web est bien responsable conjoint de ces traitements avec Facebook. D’abord, parce que c’est lui qui « a permis à Facebook Ireland d’obtenir les données à caractère personnel des utilisateurs de son site Web en ayant recours au plugiciel en cause ».
Ensuite, le recours au bouton « J’aime » lui permet d’aiguiser ses publicités. Comme Facebook, la finalité est commerciale. S’il ne détermine pas chacun des paramètres des traitements, Facebook, « en insérant délibérément le plugiciel dans son site Web, [le site] a déterminé ces paramètres pour tout visiteur de son Web ».
Enfin, si Fashion ID ne dispose même pas d’un accès aux données transmises à Facebook, le point n’est pas déterminant. Un responsable conjoint peut être vu comme tel « sans même avoir accès à de quelconques fruits d’un travail commun », objecte l’avocat général, jurisprudence de la CJUE sous le bras.
Pour l’avocat général, l’un et l’autre sont donc responsables de traitement.
Une responsabilité conjointe, mais nuancée
La responsabilité du site n’a pas la même ampleur à ses yeux que celle de Facebook. Elle doit être « limitée aux seules opérations pour lesquelles il est effectivement codécideur des moyens et des finalités du traitement des données à caractère personnel » tempère l’avocat général.
Cette limitation concerne par exemple « la phase de traitement des données que [la société] pratique et elle ne saurait déborder sur les phases subséquentes de traitement de données, si celui-ci échappe à son contrôle et, semble-t-il, est réalisé à son insu ».
« Cela signifie qu’est responsable (conjoint) du traitement celui qui est responsable de cette opération ou de cet ensemble d’opérations pour laquelle ou lequel il partage ou détermine conjointement les finalités et les moyens d’une opération donnée de traitement, reformulent les services de la cour. Par opposition, cette personne ne peut être tenue pour responsable des phases antérieures ou postérieures de la chaîne de traitement pour lesquelles elle n’est en mesure de déterminer ni les finalités ni les moyens ».
L’intérêt légitime, le consentement et l’information
Pour rendre licites ces traitements, ces responsables peuvent s’appuyer sur le critère de l’intérêt légitime à opérer des prospections commerciales et des publicités. Ces intérêts doivent simplement être mis en balance au regard des droits des personnes physiques comme le veut la directive précitée (outre le RGPD).
Lorsqu’un consentement est requis – aux autorités nationales de le déterminer – il devra être donné au gestionnaire du site web qui a inséré le bouton social. C’est lui-même encore qui sera chargé de l’obligation d’information, avant même la collecte et le transfert des données.
Un arrêt à venir aux lourdes perspectives
Les perspectives de l’arrêt attendu à une date ultérieure sont très lourdes pour l’ensemble des sites Web intégrant des boutons de partage social. Si les faits de l’affaire sont antérieurs au règlement général sur la protection des données personnelles, ses conclusions devraient s’appliquer sans difficulté à ceux ultérieurs au 25 mai.
En juin 2018, la CJUE avait déjà constaté cela coresponsabilité de l’administrateur d’une page « fan » sur Facebook. Sans nul doute, devrait-elle dupliquer cette solution pour les sites intégrant des boutons de partage. Rappelons que Next INpact a fait un autre choix que d’utiliser les plug-ins sociaux fournis clef en main par Facebook. Nous avons opté pour de simples liens, sans tracker.