Pour gérer vos consentements :

Données personnelles : de grandes responsabilités pour un petit bouton « J’aime »

L’insertion d’un petit bouton « J’aime » peut être synonyme de grandes responsabilités pour les gestionnaires de sites Internet.

C’est le sens d’un arrêt que la Cour de justice de l’Union européenne a rendu ce 29 juillet 2019.

À l’origine du dossier, des poursuites engagées en Allemagne par l’association de défense des consommateurs Verbraucherzentrale NRW.

La plainte vise l’entreprise Fashion ID. Celle-ci avait intégré, sur son site de vente de vêtements de mode, un bouton « Like ».
Il est apparu que ledit bouton permettait la collecte de données personnelles auprès de quiconque consultait le site. Ces données étaient ensuite transmises à la filiale irlandaise de Facebook, sans que l’internaute soit averti… et qu’il soit ou non membre du réseau social.

Le litige était remonté jusqu’au tribunal régional supérieur (Oberlandsgericht) de Düsseldorf. Lequel avait présenté, début 2017, une demande de décision préjudicielle à la CJUE.

Cette dernière ne s’est pas appuyée sur le RGPD, pas encore en vigueur au moment des faits constatés. Elle s’en est tenue au précédent texte de référence, à savoir la directive de 1995.

Sa première conclusion : la directive n’empêche pas une association telle que Verbraucherzentrale NRW d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel*.
Fashion ID prétendait pour sa part que le texte n’envisageait des voies de droit qu’en faveur des personnes concernées et des autorités compétentes.

Les pages Facebook aussi

Qu’en est-ilt des obligations de Fashion ID eu égard au bouton « Like » ? La CJUE estime que l’entreprise allemande ne peut être perçue comme responsable des opérations de traitement que Facebook réalise une fois que les données lui sont communiquées. La raison : elle ne détermine ni les finalités, ni les moyens de ces opérations.

Fashion ID doit, en revanche, être considéré comme coresponsable des opérations de collecte et de transmission des données personnelles à Facebook.
Sur ce point, la CJUE met notamment en avant l’intérêt commercial des deux parties. Fashion ID implémente sciemment le bouton « Like », qui lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur Facebook.

L’arrêt fait aussi référence à une décision similaire du 5 juin 2018. L’administrateur d’une page Facebook avait été jugé coresponsable du traitement de données personnelles.
Et la CJUE d’ajouter qu’une responsabilité conjointe ne présuppose pas que chacune des parties ait accès aux données personnelles concernées.

Dans ce contexte, Fashion ID doit fournir aux visiteurs de son site des informations relatives aux opérations de traitement dont il est coresponsable. Et disposer, pour y procéder, d’une base légale. Typiquement, le consentement.

* La CJUE relève en outre que le RGPD donne désormais explicitement cette possibilité.

Photo d’illustration © Burak Kaynak – licence CC BY-NC-SA 4.0

Recent Posts

Assurance Cyber : ce qu’il faut savoir pour signer un contrat

Marc-Henri Boydron - fondateur du courtier Cyber Cover- et Jean-François Louapre - expert du Cesin…

3 semaines ago

Silicon Day Workplace : l’entreprise à l’heure du travail hybride

Silicon Day Workplace est un évènement dédié aux enjeux de la Digital Workplace. Dans un…

4 semaines ago

Digital Markets Act : les nouvelles règles du jeu numérique

Le Parlement et Conseil européens sont parvenus à concilier leurs positions pour adopter le Digital…

2 mois ago

Logiciels : quelles sont les priorités des PME ?

Quelles sont les priorités d'achat de logiciels d'entreprises de taille moyenne ? La question a…

2 mois ago

Teams : comment Microsoft veut réduire son impact environnemental

Microsoft veut réduire l'empreinte énergétique de Teams. Petit aperçu des bonnes démarches pour y parvenir.

3 mois ago

Windows Insider : ce que Microsoft va changer

Afin de mieux distinguer les canaux Dev et Bêta, Microsoft va faire évoluer le programme…

3 mois ago