ETUDE DE CAS. L’arrêt de la cour européenne de justice du 29 juillet sur le bouton I like que tant de sites web intègrent sur leurs pages risque de donner des sueurs à leurs propriétaires. Par Charles Cuvelliez, Université de Bruxelles.
Cet arrêt considère, rien de moins, que le site web devient responsable (du traitement) des données (data controller) qui sont envoyées de la sorte à Facebook par l'intermédiaire de ce bouton, même si le site web ne sait pas au fond quelles données vont partir vers Facebook, ni comment Facebook va les utiliser (il ne fait qu'ajouter le bouton I like). Facebook est évidemment co-responsable des données qui lui sont envoyées : il a aussi le statut de sous-traitant (data processor) puisque c'est lui qui les manipule (et les exploite). Ça, c'est normal par contre.
Le cas portait sur un site web, Fashion ID, qui avait intégré un bouton I like sur ses pages. Une association de consommateurs allemande avait décidé de porter plainte pour l'envoi supposé sans consentement de données à Facebook par l'intermédiaire de ce bouton.
Pour la Cour, le simple fait que le site web accepte de collecter et d'envoyer les données à Facebook suffit pour dire qu'il a une influence sur le traitement des données à caractère personnel. Il devient co- responsable du traitement des données avec Facebook. Et justement, dit la cour, la responsabilité conjointe de plusieurs acteurs pour un même traitement, dit la Cour, ne présuppose pas que chacun d'eux ait accès aux données à caractère personnel concernées. Le site web est responsable des données qu'il envoie même s'il ne sait pas bien ce qui se passe quand il intègre le bouton I like sur son site. Il faut dire que la notion de traitement des données au sens de l'ancienne directive 95/46 (la plainte a été déposée avant l'entrée en vigueur du RGPD) est particulièrement large et on y retrouve expressément la notion de collecte, de mise à disposition et de communication par transmission, etc. pour avoir le statut de data controller.
Entre les lignes, le Cour trouve même des circonstances aggravantes au site web: que le visiteur soit ou non membre du réseau social, qu'il ait appuyé ou non sur le bouton I like, pour lui, Facebook se régale des données venant du site web qui a imprudemment placé le bouton I like. Le site web n'en est que d'autant plus responsable (du traitement) des données et des obligations qui lui incombe !
Pour la Cour cependant, le site web ne peut être tenu responsable de tout, à savoir de ce que Facebook fera ultérieurement des données en sa possession. La coresponsabilité du site web et de Facebook tient aussi, pour la cour, aux intérêts économiques conjoints qu'en tirent les deux parties : le site web optimise sa publicité pour ses produits en les rendant plus visibles sur le réseau social lorsqu'un visiteur clique sur le bouton I like. Facebook dispose de données pour ses propres fins commerciales aussi. C'est la contrepartie de l'avantage offert au site web.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Consentement
La conséquence de cette responsabilité attribuée au site web porte sur le consentement à demander à chaque visiteur du site et l'information à lui fournir. C'est là que cela se complique. Quel consentement demander sachant que le site web ne sait pas ce que Facebook va faire des données ultérieurement. Pour la Cour, le consentement à demander par le site web n'a trait qu'à ce qu'il contrôle lui-même à savoir la collecte et la transmission des données à Facebook. Tout ce que l'utilisateur doit averti de la part du site web, c'est que des données qui le concernent s'échappent du site. Il existe déjà des modules pour les principaux navigateurs qui vous montrent un graphe de tous les sites tiers qu'un site donné sur lequel vous surfez contacte. Ces modules font d'ailleurs froid dans le dos.
On aurait pu imaginer que Facebook, destinataire ultime des données, prenne sur lui toute la responsabilité de la demande du consentement. Pas efficace, répond la Cour. S'il y plusieurs responsables de traitement des données, c'est à chacun d'eux de demander le consentement pour la partie qu'il maitrise, la collecte et la transmission pour l'un, l'exploitation pratique pour l'autre. Oui Facebook devrait demander le consentement du visiteur du site pour l'exploitation de ses données qui en proviennent mais en pratique, comment l'organiser si le visiteur n'est pas membre de Facebook ? Tout ceci n'est pas de bonne augure pour l'ergonomie des sites web déjà encombrées de demandes de consentement pour les cookies. Aura-ton aussi des demandes de consentement pour les boutons I like, Linkedin, Google +
La cour a dû statuer sur d'autres questions posées par les juridictions allemandes : oui, une association de consommateurs peut agir en son nom contre une atteinte à la protection des données à caractère personnel alors qu'elle n'est pas une/la personne physique qui en en subit les conséquences.
Le site web comme Facebook ne peuvent exploiter les données que si elles ont un intérêt légitime à le faire. Traduisez : ce n'est pas parce ces données ont été collectées sauvagement qu'on peut en faire n'importe quoi. Leur exploitation par Facebook doit être liée au site web visité, au produit recherché, ....
Même si l'arrêt a été rendu dans le cadre de l'ancienne directive de protection des données personnelles, le raisonnement s'étend facilement au RPGD. Les échanges de données entre sites, le nerf de la guerre de la rentabilité sur Internet, vont subir un mauvais quart d'heure avec cette jurisprudence....
Comment va se positionner la CNIL ?
______________________________________
Pour en savoir plus :
ARRÊT DE LA COUR (deuxième chambre), 29 juillet 2019, « Renvoi préjudiciel - Protection des personnes physiques à l'égard du traitement des données à caractère personnel - Directive 95/46/CE - Article 2, sous d) - Notion de "responsable du traitement" - Gestionnaire d'un site Internet ayant incorporé sur celui-ci un module social qui permet la communication des données à caractère personnel du visiteur de ce site au fournisseur dudit module - Article 7, sous f) - Légitimation des traitements de données - Prise en compte de l'intérêt du gestionnaire du site Internet ou de celui du fournisseur du module social - Article 2, sous h), et article 7, sous a) - Consentement de la personne concernée - Article 10 - Information de la personne concernée - Réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice »
