Facebook & RGPD : une décision judiciaire qui fait mouche

Tremblement de terre juridique dans le digital

L’affaire traitée par le Cour de Justice Européenne concerne une société allemande oeuvrant dans le domaine de l’éducation.

Fin 2011, elle se voit ordonner par l’Office de protection des données privées du Schleswig Holstein (land du nord) de désactiver sa page Facebook. En cause : les visiteurs n’étaient pas informés de la collecte de données personnelles à travers les actions organisées.

La société avait renvoyé la responsabilité sur le réseau social et introduit un recours contre cette décision, recours qui montera jusqu’à la Cour Administrative Fédérale Allemande, celle-ci demandant alors à la Cour de Justice Européenne de trancher.

La Cour de Justice de l’Union Européenne a donc rendu un arrêt mardi 5 juin dernier qui rend l’administrateur d’une page Facebook coresponsable avec le réseau social du traitement des données des utilisateurs.
En effet, même si l’éditeur de la page est pleinement responsable de son contenu, c’est l’outil Facebook Insight qui permet, lui seul, d’obtenir des informations personnelles comme des données concernant son audience cible ou les tendances et informations sur le style de vie et les centres d’intérêts  (sexe, âge, profession, situation amoureuse, comportement d’achats en ligne, etc…).

Le contexte se modifie alors si l’éditeur organise, sur sa propre page, des actions pouvant lui permettre également de collecter des informations personnelles sur ses visiteurs, comme un sondage ou une pétition par exemple. Dans ce cas et comme pour toute collecte de données personnelles, la Cour de Justice désigne comme étant co-responsable autant l’éditeur de la page que la plate-forme de contenus, cette décision pouvant également être appliquée à d’autres réseaux sociaux comme à la page d’un site Web qui utiliserait des outils de sondage, par exemple.

Responsabilité du traitement des données :  un artifice juridique réduit à néant

Comme tout client des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), grands collecteurs de données, le traitement des données répond à leurs conditions générales. Cette dépendance juridique contraint aujourd’hui les sites et éditeurs à accepter que Google ou Facebook se dégagent contractuellement de toute responsabilité pour l’utilisation des données.
Cette récente décision de justice renvoie désormais le réseau social devant sa co-responsabilité du traitement des données, annulant de fait la portée de ce mécanisme juridique artificiel.

La Suisse n’est pas membre de l’Union Européenne ni soumise à la Cour de Justice de l’Union Européenne, son instance judiciaire suprême. En revanche, elle est membre du Conseil de l’Europe et de la Cour Européenne des droits de l’homme (CEDH) située à Strasbourg. Par conséquent, les arrêts de la CJUE ne sont, en principe, pas contraignants pour la Suisse.

En synthèse :

• L’éditeur d’une page est responsable des données collectées par ses propres contenus et actions sur sa page (sondage, concours, etc…) ainsi que de leur traitement.
• L’éditeur n’est par contre pas responsable des données collectées par Facebook et autres GAFAM via l’utilisation de son propre contenu si celui-ci n’incite pas directement à la collecte de données.
• Cette décision judiciaire ne concerne que les données recueillies d’utilisateurs européens, hors du territoire helvétique. La décision de la CJUE n’impactant pas le droit fédéral et donc la population Suisse.