Affaire Facebook : une conception extensive du responsable de traitement par la CJUE au profit d’une protection effective des données personnelles

/dans /par

Dans l’arrêt de la Grande Chambre de la Cour de Justice de l’Union Européenne du 5 juin 2018 (affaire C-210/16), la Cour administrative fédérale d’Allemagne a saisi la CJUE au titre de l’article 267 du TFUE. Cela a été l’occasion pour la Cour, à la suite de l’arrêt Google Spain, d’étendre la responsabilité du responsable de traitement aux utilisateurs de réseaux sociaux, en l’espèce Facebook.

Au vu de la complexité de cette affaire, rappelons les faits. Une société allemande, Wirtschaftsakademie, offre des services de formation, grâce à une page Facebook. L’ULD, la « CNIL allemande », a ordonné à Wirtschaftsakademie de désactiver cette page, au motif que ni Wirtschaftsakademie ni Facebook n’informaient de la collecte de données personnelles.

Après une longue procédure administrative, l’ULD introduit un recours en révision devant la Cour Administrative Fédérale d’Allemagne, considérant que la Wirtschaftsakademie a confié à « un fournisseur inapproprié […] le soin de l’hébergement […] d’un site Internet ». La Cour administrative fédérale a posé plusieurs questions à la CJUE :

  • Les deux premières portent sur la responsabilité du traitement : la Wirtschaftsakademie doit-elle être considérée comme responsable de traitement, en sa qualité d’administrateur d’une page hébergée sur un réseau social? La Cour répond par l’affirmative.
  • Les troisièmes et quatrièmes questions portent sur le droit national applicable et sur la compétence de l’autorité de contrôle allemande. La Cour de justice a déterminé que l’autorité de contrôle allemande est compétente à l’égard de Facebook Germany, qui doit être considéré comme un établissement de Facebook Inc, alors même que cet établissement n’est chargé que de la vente d’espaces publicitaires en Allemagne.
  • Les deux dernières questions concernent l’exercice des pouvoirs et attributions des autorités de contrôle prévus par l’article 28 de la directive dans le cas où le responsable de la violation de règles relatives à la protection des données personnelles se trouve sur un autre Etat membre. La Cour répond que l’autorité de contrôle peut « apprécier de manière autonome » par rapport à l’autre autorité de contrôle la légalité d’un traitement de données.

Dans son raisonnement relatif à la responsabilité du traitement, la Cour a donc dû se poser la question complexe de la responsabilité du traitement de Wirtschaftsakademie. Pour cela, il faut déterminer si l’administrateur de la page participe à déterminer les finalités et moyens du traitement. Or, les cookies bénéficient aussi bien à Facebook qu’à l’administrateur de la page qui obtient des statistiques établies par Facebook. La création d’une page Facebook implique de la part de son administrateur une fonction de paramétrage, et il peut demander à obtenir, et donc que soit traitées, des données démographiques concernant son audience cible. Peu importe que celles-ci soient anonymisées, puisque « la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées ».

La Cour est très claire : « il y a lieu de considérer que l’administrateur d’une page hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens de traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être qualifié de responsable au sein de l’Union. »

Cette conception extensive du responsable semble sévère pour l’administrateur de la page Facebook, qui n’obtient que des données anonymisées et ne traite pas les données personnelles directement. Toutefois, cette décision représente un grand pas en avant pour la protection des données personnelles, grâce à l’élargissement du champ d’application territorial et de la notion de responsable de traitement.