Données personnelles : de grandes responsabilités pour un petit bouton « J’aime »

L’insertion d’un petit bouton « J’aime » peut être synonyme de grandes responsabilités pour les gestionnaires de sites Internet.

C’est le sens d’un arrêt que la Cour de justice de l’Union européenne a rendu ce 29 juillet 2019.

À l’origine du dossier, des poursuites engagées en Allemagne par l’association de défense des consommateurs Verbraucherzentrale NRW.

La plainte vise l’entreprise Fashion ID. Celle-ci avait intégré, sur son site de vente de vêtements de mode, un bouton « Like ».
Il est apparu que ledit bouton permettait la collecte de données personnelles auprès de quiconque consultait le site. Ces données étaient ensuite transmises à la filiale irlandaise de Facebook, sans que l’internaute soit averti… et qu’il soit ou non membre du réseau social.

Le litige était remonté jusqu’au tribunal régional supérieur (Oberlandsgericht) de Düsseldorf. Lequel avait présenté, début 2017, une demande de décision préjudicielle à la CJUE.

Cette dernière ne s’est pas appuyée sur le RGPD, pas encore en vigueur au moment des faits constatés. Elle s’en est tenue au précédent texte de référence, à savoir la directive de 1995.

Sa première conclusion : la directive n’empêche pas une association telle que Verbraucherzentrale NRW d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel*.
Fashion ID prétendait pour sa part que le texte n’envisageait des voies de droit qu’en faveur des personnes concernées et des autorités compétentes.

Les pages Facebook aussi

Qu’en est-ilt des obligations de Fashion ID eu égard au bouton « Like » ? La CJUE estime que l’entreprise allemande ne peut être perçue comme responsable des opérations de traitement que Facebook réalise une fois que les données lui sont communiquées. La raison : elle ne détermine ni les finalités, ni les moyens de ces opérations.

Fashion ID doit, en revanche, être considéré comme coresponsable des opérations de collecte et de transmission des données personnelles à Facebook.
Sur ce point, la CJUE met notamment en avant l’intérêt commercial des deux parties. Fashion ID implémente sciemment le bouton « Like », qui lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur Facebook.

L’arrêt fait aussi référence à une décision similaire du 5 juin 2018. L’administrateur d’une page Facebook avait été jugé coresponsable du traitement de données personnelles.
Et la CJUE d’ajouter qu’une responsabilité conjointe ne présuppose pas que chacune des parties ait accès aux données personnelles concernées.

Dans ce contexte, Fashion ID doit fournir aux visiteurs de son site des informations relatives aux opérations de traitement dont il est coresponsable. Et disposer, pour y procéder, d’une base légale. Typiquement, le consentement.

* La CJUE relève en outre que le RGPD donne désormais explicitement cette possibilité.

Photo d’illustration © Burak Kaynak – licence CC BY-NC-SA 4.0

Recent Posts

One Outlook : le plan de Microsoft pour unifier sa messagerie

Quelle forme prendra la stratégie One Outlook de Microsoft ? Un élément de réponse émerge…

1 semaine ago

Méthodes agiles : quels métiers sont les mieux rémunérés ?

Développeur, product owner ou scrum master... Quelles sont les rémunérations proposées aux professionnels des méthodes…

1 semaine ago

Certifications : gros changements chez Microsoft

Microsoft fait évoluer ses processus de certification. Le renouvellement pourra bientôt se faire en ligne,…

3 semaines ago

Cloud : qui s’impose dans les bases de données

Le segment des bases de données as a service - aussi appelées SGBD cloud managés…

1 mois ago

Flash Player : comment Adobe prépare l’extension du support

Fin 2020, c'en sera terminé du support de Flash Player... par Adobe. HARMAN reprendra le…

1 mois ago

Excel : vers une création plus simple des fonctions personnalisées

Microsoft ouvre aux bêtatesteurs d'Excel la possibilité de créer des fonctions personnalisées en utilisant le…

1 mois ago