RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

Depuis le 25 mai 2018, le RGPD — règlement général sur la protection des données — est entré en vigueur au sein de l’Union Européenne. Ce règlement qui a remplacé la directive 95/46/CE consacre de nombreuses règles destinées à protéger les données personnelles des ressortissants européens.
Parmi les exigences consacrées par le RGPD figure l’obligation d’information pour les collectes de données. En effet, le règlement exige qu’avant de collecter les données personnelles d’un client ou visiteur, les responsables de traitement doivent l’informer de la collecte et de ses finalités, et avoir au préalable son consentement.
Si les responsables de sites web s’étaient toujours sentis concernés par la mesure, cela n’a jamais été le cas pour les administrateurs de « Pages Fan » sur Facebook.
Alors qu’elle était récemment saisie dans une affaire relative à la protection de donnée, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la question.

Les pages Facebook et la collecte d’information

Plus qu’un simple réseau social, Facebook est devenu un outil de promotion à part entière. Grâce à ses « Pages Fan », les professionnels peuvent placer toutes sortes de communications afin de développer une activité commerciale. Nombreuses sont les entreprises qui profitent aujourd’hui des avantages de cette solution pour assurer la promotion de leurs produits et services.

De plus, Facebook a développé un outil, « Facebook Insights », qu’elle met gratuitement à la disposition des administrateurs de « Fan Page ».
Grâce à cet outil, les administrateurs peuvent obtenir des statistiques d’audience élaborés et des informations anonymes sur les utilisateurs ayant visité les fan-pages. Facebook collecte lesdites informations grâce à des cookies avec numéro ID unique qu’il installe sur les appareils des visiteurs et qui reste actif pendant deux ans.
Les administrateurs ont même la possibilité de personnaliser les statistiques du réseau social à l’aide de différents critères — âge, sexe, localisation —, qu’ils peuvent sélectionner. Ils se servent ensuite des données obtenues pour mieux cibler leur communication.

Les administrateurs sont aussi des responsables de traitement

Dans l’affaire sur laquelle s’est prononcée la CJUE, l’autorité régionale de protection des données de Schleswig-Holstein, un état allemand, avait ordonné à une société locale disposant d’une fan-page Facebook de la désactiver. La raison ? Les visiteurs n’étaient pas informés de la collecte de leurs données aux fins d’établir des statistiques qui serviront à des publicités ciblées.
La société avait alors refusé de se plier à l’injonction et l’affaire est remontée jusqu’au tribunal administratif supérieur qui a saisi la CJUE. Et pour se prononcer, cette dernière s’est chargée de déterminer le responsable de traitement pour les pages Facebook.
Le RGPD définit en effet le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
En se basant sur cette définition, la cour établit que Facebook était le principal responsable de traitement des données collectées sur une « Page Fan ». En effet, c’est bien lui qui procède à la collecte des données personnelles et à leur exploitation en vue de permettre l’établissement des statistiques qui vont ensuite être exploitées par les administrateurs des pages.
Mais même si la Cour sous-entend que l’administrateur était avant tout un utilisateur, elle n’exclut pas sa responsabilité pour autant. Elle le considère en réalité comme co-responsable de traitement.
En effet, la Cour estime que Facebook n’aurait pas effectué de traitement si l’administrateur n’avait pas décidé de créer et d’exploiter sa page. De plus, bien que les modalités de « Facebook Insights » soient définies par le réseau social, l’administrateur peut influer — comme nous l’avons déjà expliqué — sur la mise en œuvre du traitement, en fonction de la finalité qu’il prévoit.

En définitive, la CJUE a conclu que les administrateurs de « Page Fan » sur Facebook sont responsables de traitement conjointement avec Facebook. De ce fait, ils doivent donc faire face aux obligations prévues par le RGPD en matière de protection de données personnelles.
Bien sûr, la Cour établit que l’étendue de la responsabilité n’est pas le même pour les opérateurs. Bien qu’on parle de « responsabilité conjointe », les responsables peuvent être impliqués dans le traitement à différents degrés. Tout dépend donc des circonstances de l’affaire.