Accueil » Droit de l'informatique, des Libertés & Internet » Internet, application & réseaux sociaux » Actualités

Article avocat Internet, application & réseaux sociaux

La responsabilité de l’administrateur d’une page Facebook quant aux données personnelles qu’il exploite

Par , Avocat - Modifié le 06-04-2018

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, «un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées». Mais quid de la responsabilité des administrateurs de pages Facebook?

Face à la production croissante des données, une régulation des plus strictes et précise s’impose donc concernant la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au c½ur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des «fans» de la page.

Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

I) La responsabilité comme principal enjeu de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

A) La procédure

Ici, le fait au c½ur du litige constituait l’emploi par le réseau social d’un tracker afin de collecter certaines données personnelles de ses utilisateurs, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux «fans» consultant leur page.

C’est en réaction à ces pratiques que les autorités allemandes ordonnèrent la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de «responsable» du traitement et de la réutilisation de ces données; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l'Union Européenne des questions quant au partage de responsabilité litigieux.

Les propos de l’avocat général, qui s’est prononcé sur la question le 24 octobre dernier, sont illustrant : il soutient effectivement que «L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable».

B) Les conclusions

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

Il justifie d’ailleurs sa position en rappelant notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques à sa disposition. Dès lors, en employant le tracker, l’entreprise aurait «pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page».

De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

Le régime de coresponsabilité soulevé ici découle donc de cette volonté d’exploiter le logiciel litigieux : quand «l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées».

D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car «susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel».

II) Un parti-pris nécessaire au regard de la définition du responsable de traitement

Les conclusions apportées ici font état d’un régime de responsabilité «élargie» (A), en attendant l’établissement d’un cadre précis et définitif (B).

A) L’affirmation d’une responsabilité large

L’objectif ici poursuivi par l’avocat général est clair : définir ce qu’est un responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, définit en son article 2 qu’un responsable de traitement est la «personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles».

De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

Ceci étant, l’avocat général appuie son propos en effectuant un parallèle avec la mise en place de «modules sociaux» (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

B) Un palliatif en attendant l’instauration d’un cadre définitif

Tout l’intérêt d’une telle interprétation consiste, en réalité, à d’éviter que l’entreprise puisse s’octroyer les services d’un tiers «pour se soustraire à ses obligations en matière de protection des données à caractère personnel».

À l’aube de l’entrée envigueur du Règlement général sur la protection des données («RGPD»), le 25 mai prochain, ce débat apparaît donc plus que jamais pertinent.

Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en «garde-fou» d’éventuelles dérives, tout en prônant une certaine «lucidité» quand il s’agit de quantifier la responsabilité de chacun des acteurs.

D’aucuns diront qu’une telle man½uvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

D’autres argumenteront du risque de «brouillage des frontières».

Quoi qu’il en soi, la CJUE devrait faire apparaître une tendance claire afin de clarifier la situation, avant l’arrivée du prochain grand texte européen en la matière.

Pour aller plus loin


Maître Murielle CAHEN

Maître Murielle CAHEN

Avocat au Barreau de PARIS

  • Droit du Travail Salarié
  • - Droit des Employeurs - Droit Social

Me contacter

Publicité

Ne passez pas à coté de l'actualité juridique

Recevez gratuitement notre Newsletter !

Toutes les nouveautés juridiques décryptées par nos équipes, rédigées en langage simple dans tous les domaines de droits !

Personnalisez votre Newsletter :

Simplicité et transparence avec Juritravail en savoir plus

Nous ne commercialisons pas vos adresses emails à un tiers. Nous conservons vos informations personnelles uniquement pour vous adresser des contenus et services que vous avez demandés et qui vous intéressent. Vous pouvez vous désinscrire à tout moment depuis les mails que vous allez recevoir.

Votre inscription a bien été prise en compte !

Vous recevrez bientôt des nouvelles de nous par email.

Pour connaitre et exercer vos droits relatifs à l'utilisation de vos données, consultez notre  Charte sur la protection des données personnelles ou contactez-nous à l'adresse suivante : dpo@juritravail.com.



© 2003 - 2020 JuriTravail tous droits réservés