Pour gérer vos consentements :

Données personnelles : de grandes responsabilités pour un petit bouton « J’aime »

L’insertion d’un petit bouton « J’aime » peut être synonyme de grandes responsabilités pour les gestionnaires de sites Internet.

C’est le sens d’un arrêt que la Cour de justice de l’Union européenne a rendu ce 29 juillet 2019.

À l’origine du dossier, des poursuites engagées en Allemagne par l’association de défense des consommateurs Verbraucherzentrale NRW.

La plainte vise l’entreprise Fashion ID. Celle-ci avait intégré, sur son site de vente de vêtements de mode, un bouton « Like ».
Il est apparu que ledit bouton permettait la collecte de données personnelles auprès de quiconque consultait le site. Ces données étaient ensuite transmises à la filiale irlandaise de Facebook, sans que l’internaute soit averti… et qu’il soit ou non membre du réseau social.

Le litige était remonté jusqu’au tribunal régional supérieur (Oberlandsgericht) de Düsseldorf. Lequel avait présenté, début 2017, une demande de décision préjudicielle à la CJUE.

Cette dernière ne s’est pas appuyée sur le RGPD, pas encore en vigueur au moment des faits constatés. Elle s’en est tenue au précédent texte de référence, à savoir la directive de 1995.

Sa première conclusion : la directive n’empêche pas une association telle que Verbraucherzentrale NRW d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel*.
Fashion ID prétendait pour sa part que le texte n’envisageait des voies de droit qu’en faveur des personnes concernées et des autorités compétentes.

Les pages Facebook aussi

Qu’en est-ilt des obligations de Fashion ID eu égard au bouton « Like » ? La CJUE estime que l’entreprise allemande ne peut être perçue comme responsable des opérations de traitement que Facebook réalise une fois que les données lui sont communiquées. La raison : elle ne détermine ni les finalités, ni les moyens de ces opérations.

Fashion ID doit, en revanche, être considéré comme coresponsable des opérations de collecte et de transmission des données personnelles à Facebook.
Sur ce point, la CJUE met notamment en avant l’intérêt commercial des deux parties. Fashion ID implémente sciemment le bouton « Like », qui lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur Facebook.

L’arrêt fait aussi référence à une décision similaire du 5 juin 2018. L’administrateur d’une page Facebook avait été jugé coresponsable du traitement de données personnelles.
Et la CJUE d’ajouter qu’une responsabilité conjointe ne présuppose pas que chacune des parties ait accès aux données personnelles concernées.

Dans ce contexte, Fashion ID doit fournir aux visiteurs de son site des informations relatives aux opérations de traitement dont il est coresponsable. Et disposer, pour y procéder, d’une base légale. Typiquement, le consentement.

* La CJUE relève en outre que le RGPD donne désormais explicitement cette possibilité.

Photo d’illustration © Burak Kaynak – licence CC BY-NC-SA 4.0

Recent Posts

Comment passer de Skype for Business à Teams

Avec la fin imminente de la version cloud de Skype for Business, Microsoft recommande d'utiliser…

2 semaines ago

Ransomwares : les entreprises cèderaient trop facilement

Les entreprises françaises cèdent trop facilement aux menaces des ransomwares. C'est le constat partagé par…

4 semaines ago

Cloud : qui sont les leaders sur le marché français ?

Si les filiales des leaders américains se taillent la part du lion sur le marché…

1 mois ago

Communications unifiées : Microsoft garde Zoom à distance

Boostée par la pandémie de covid-19, la demande solutions de communications unifiées et collaboratives (UCC)…

1 mois ago

Digital workplace : les contours d’une nouvelle approche

Avec l'approche Managed Workplace Services (NWS), Gartner redimensionne la digital workplace en intégrant désormais l’accompagnement…

2 mois ago

Comment Free Pro s’attaque au marché des entreprises

Free Pro est lancée avec un ticket d'entrée à 49,99 € HT par mois. Zoom…

2 mois ago