28 Fév La RGPD et les administrateurs de Pages Facebook
A l’heure du RGPD, la décision de la Cour de Justice de l’Europe prend nécessairement un caractère particulier. La CUJE estime qu’administrateurs et entreprises gestionnaires de Pages Facebook sont comme Facebook responsables de la protection des données.
La plus haute juridiction européenne a statué que les entreprises et les personnes qui administrent des Pages de Facebook sont conjointement responsables avec Facebook de la protection des données sur ces pages.
La décision signifie que si Facebook enfreint les droits sur la protection des données des utilisateurs qui suivent une Fan Page, les administrateurs de la page peuvent également être mis en cause, au moins dans une certaine mesure.
Facebook doit réécrire ses contrats avec ses clients
De même, si l’opérateur de la page enfreint les droits à la vie privée des personnes, la responsabilité de Facebook peut elle aussi être engagée.
En raison de cette décision, Facebook et nombre d’autres entreprises impliquées dans le marketing en ligne devront très vraisemblablement réécrire leurs contrats avec leurs clients à travers l’Europe.
« Nous sommes déçus par cette décision » a déclaré un porte-parole de Facebook.
« Les entreprises de toute taille à travers l’Europe utilisent des services Internet comme Facebook pour atteindre de nouveaux clients et grandir. S’il n’y a aucun impact immédiat sur les personnes et les entreprises qui utilisent les services Facebook, nous allons aider nos partenaires à comprendre ses implications. »
L’arrêt, rendu par la Cour de justice de l’Union européenne (CJUE), intervient dans le cadre d’une action engagée par une société d’éducation allemande appelée Wirtschaftsakademie Schleswig-Holstein.
En 2011, l’autorité de protection des données du Land du Schleswig-Holstein a ordonné à l’entreprise de désactiver sa page Facebook, car ni Wirtschaftsakademie ni Facebook n’informaient les visiteurs que Facebook recueillait des données personnelles les concernant, par l’intermédiaire de cookies.
Facebook aussi responsable des traitements de données
Le régulateur de la protection des données du Schleswig-Holstein estime que l’académie opère comme le « contrôleur » des données personnelles recueillies par le biais de sa page Facebook. Selon cette lecture, il est donc responsable.
La firme allemande juge quant à elle ne pas pouvoir être tenue pour responsable et ne pas avoir demandé à Facebook de collecter les données des visiteurs de sa page sur la plateforme.
« Le tribunal estime qu’un administrateur tel que Wirtschaftsakademie doit être considéré comme un contrôleur conjointement responsable, au sein de l’UE, avec Facebook Irlande pour le traitement de ces données » a tranché la CUJE.
La Cour européenne a estimé qu’un administrateur de page était un contrôleur de données conjoint (ou co-responsable de traitement), car il pouvait contrôler la façon dont les données des personnes sont utilisées. Grâce à l’outil Facebook Insights, l’administrateur pourrait demander des informations sur la démographie, les intérêts et la localisation géographique de l’audience de la page.
« Le jugement confirme ma position qu’il ne doit pas y avoir de lacune dans la loi sur la protection des données, ce qui signifie que tous les administrateurs de Pages Facebook doivent s’assurer qu’eux et Facebook respectent leurs obligations respectives en matière de protection des données » a réagi Marit Hansen, la commissaire à la protection des données du Schleswig-Holstein.
« Ceci est particulièrement important en ce qui concerne les obligations d’information : la transparence est requise pour le traitement des données concernant tous les utilisateurs, qu’ils soient membres de Facebook ou non-membres. »
Les clients peuvent se retourner contre la plateforme
L’affaire remonte à 2011 et la décision se réfère donc ici à la loi sur la protection des données en vigueur à l’époque, à savoir la directive sur la protection des données de 1995, et non au règlement général sur la protection des données (RGPD) en application depuis le 25 mai. Le principe s’applique malgré tout de la même façon.
Mais alors, dans quelle mesure cette décision impacte-t-elle les organisations qui exploitent des Pages sur Facebook ? La réponse est nuancée.
Selon l’avocat berlinois Niko Härting, depuis 2011, de nombreuses entreprises telles que Facebook et Google ont commencé à proposer des contrats à leurs clients marketing, comme les opérateurs de fan-page, ou les utilisateurs de Google Analytics.
Les contrats stipulent que lorsque les données des personnes sont concernées, la plateforme ne fait que traiter les données, agissant comme un sous-traitant (‘processeur’). Le client a lui le rôle de responsable du traitement des données, assurant la responsabilité principale dans la protection des données personnelles.
Cependant, le statut de responsable de traitement du client marketing n’a jamais été établi par une décision de la plus haute juridiction de l’UE. Et en outre, l’arrêt de la CUJE estime que les deux acteurs interviennent comme responsables de traitement, et non respectivement comme responsable et sous-traitant, comme défini par Facebook dans ses contrats.
« Tous ces accords contrôleur-processeur ne tiennent plus » en déduit ainsi Härting. « A l’avenir, ils doivent être des accords contrôleurs-contrôleurs qui, par chance, sont réglementés par le RGPD. Il n’existait pas de régulation explicite pour les accords de responsables conjoints par le passé, et beaucoup de mes collègues se demandaient quoi faire [de ce nouvel élément du RGPD]. Le [tribunal] fournit la réponse à cette question. »
Des répercussions importantes pour le marketing
« Pour l’ensemble du monde du marketing en ligne, les répercussions sont potentiellement profondes, car ils doivent revoir les contrats standards qu’ils viennent tout juste de réviser pour le RGPD » ajoute l’avocat. « Ils doivent les modifier à nouveau. »
Cependant, l’avocat rappelle que la CJUE a souligné que le statut de responsable conjoint ne signifie pas pour les administrateurs des Pages des responsabilités équivalentes à celles de Facebook en ce qui concerne les pratiques de protection des données de la plateforme.
« Si vos données ont été mal utilisées en lien avec la fan page, vous pouvez vous tourner vers l’opérateur de la page, mais l’opérateur peut se tourner vers Facebook et dire ‘C’est principalement votre responsabilité’ » explique ainsi Härting.
L’arrêt affirme également que le régulateur de la vie privée du Schleswig-Holstein a compétence en Allemagne sur les activités de Facebook Irlande, le siège européen du réseau social.
Cependant, de précédents arrêts de la CJUE ont déjà abordé ce type de question juridictionnelle, notamment la décision sur Google Espagne, qui a établi le fameux droit à l’oubli dans les résultats de recherche du moteur.
Le RGPD instaure également des mécanismes permettant aux citoyens européens de déposer plainte contre le comportement d’une entreprise auprès de leur autorité locale de protection des données, quel que soit l’endroit où la société en question est basée.
Hansen, la commissaire à la protection des données du Schleswig-Holstein, regrette le temps écoulé pour l’examen de l’affaire par la CJUE. Il est selon elle indispensable que les tribunaux soumettent plus rapidement ces questions de droit à la Cour européenne.
« Une décision rapide est primordiale pour la sécurité juridique, et les procédures juridiques relatives à ces concepts essentiels de la loi sur la protection des données doivent être accélérées » encourage-t-elle.
« Certains cas d’utilisation abusive des données personnelles, tels que Cambridge Analytica, auraient peut-être pu être évités si tous les administrateurs de pages Facebook allemands ou, mieux encore, européens, avaient assuré le respect de la législation européenne sur la protection des données en 2011. »
No Comments