La responsabilité de l’administrateur d’une page Facebook quant aux données personnelles qu’il exploite (de)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Allemagne >  Droit européen > Droit du numérique (eu) >  Commerce électronique (eu) >  Protection des données personnelles
Eu flag.png



Murielle Cahen, Avocat au Barreau de Paris
Avril2018




Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées ». Mais quid de la responsabilité des administrateurs de pages Facebook ?


Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.


C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook [1] par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.


L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.


Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).


La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).


Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.


Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.


Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.


Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données [2] ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.


Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.


À l’heure actuelle, seul l’avocat général s’est prononcé sur la question [3], le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable ».


La reconnaissance d’une coresponsabilité

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.


À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques à sa disposition. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».


De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.


Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées ».


D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B).

L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.


La directive de 95/46, texte sur lequel s’appuient les différentes instances, définit en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles ».


De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.


Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.


Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.


Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».


À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent.


Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.


D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.


D’autres argumenteront [4] du risque de « brouillage des frontières ».


Quoi qu’il en soi, la CJUE devrait faire apparaître une tendance claire afin de clarifier la situation, avant l’arrivée du prochain grand texte européen en la matière.