Bien que le règlement général sur la protection des données soit récent, certains acquis doivent d’ores et déjà être revus.

En effet, la Cour de justice de l’Union européenne vient de juger que l’administrateur d’une page « Fan » du réseau social Facebook est co-responsable du traitement (CJUE Grande Chambre 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein GmbH). Par conséquent, il est tenu de l’ensemble des obligations applicables aux responsables du traitement.

Les administrateurs de pages fan, tels que la Wirtschaftsakademie, peuvent obtenir des données statistiques anonymes sur les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables.

Ces données sont collectées grâce à des « cookies » comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages fan.

Par décision du 3 novembre 2011, l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein, Allemagne) a, en sa qualité d’autorité de contrôle chargée en vertu de la directive 95/46 sur la protection des données de surveiller l’application dans le Land du Schleswig-Holstein des dispositions adoptées par l’Allemagne en application de cette directive, ordonné à la Wirtschaftsakademie de désactiver sa page fan. En effet, selon l’Unabhängiges Landeszentrum, ni la Wirtschaftsakademie ni Facebook n’ont informé les visiteurs de la page fan que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.

La Wirtschaftsakademie a introduit un recours contre cette décision devant les tribunaux administratifs allemands en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne peut pas lui être imputé et qu’elle n’a pas non plus chargé Facebook de procéder à un traitement de données quelle contrôlerait ou qu’elle pourrait influencer. La Cour administrative fédérale d’Allemagne, bien que d’avis que la société en cause ne saurait elle-même être considérée comme étant responsable du traitement de données, tant en application du droit allemand que de la directive 95/46 (Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), décida néanmoins de saisir la CJUE d’une question préjudicielle compte tenu de l’interprétation extensive de la notion de responsable de traitement.

En l’espèce, la CJUE, dans sa formation la plus solennelle, retient que la société en cause doit être qualifiée de co-responsable de traitement dès lors que l’administrateur de la page « fan » :

– peut obtenir des statistiques établies par Facebook à partir des visites de cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ;

– par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook, afin de collecter des données ;

– a une action de paramétrage lui permettant de définir une audience cible et peut demander à ce que soient collectées et traitées des données démographiques le renseignant notamment sur les tendances d’âge, de sexe, de situation amoureuse, de profession… des visiteurs de sa page fan.

Surtout, la Cour de justice de l’Union européenne rejette l’argument selon lequel l’ensemble des informations communiquées par Facebook Inc. le sont sous forme anonyme. Selon elle, il y a nécessairement eu collecte préalable des données pour produire les statistiques et en tout état de cause, la directive 95/46 n’exige pas que les co-responsables d’un traitement aient tous accès aux données collectées.

Le fait d’utiliser les moyens mis à disposition par un réseau social ne permet donc pas de s’exonérer des obligations en matière de protection des données.