Par une décision C-40/17 du 29 juillet 2019, Fashion ID c. Autorité de Protection des Données allemande, la Cour de justice de L’Union Européenne (CJUE) a statué que :
– L’opérateur d’un site web, tel que Fashion ID, qui intègre sur ce site web un plugin social (c’est-à-dire le bouton « J’aime » de Facebook) peut être considéré comme un responsable de traitement.
– Sa responsabilité est toutefois limitée à l’opération ou à l’ensemble des opérations impliquant le traitement de données à caractère personnel dont elle détermine effectivement les finalités et les moyens, c’est-à-dire la collecte et la communication par transmission des données en cause.
– Dans de telles circonstances, c’est à l’exploitant du site, plutôt qu’au fournisseur du plugin social, d’obtenir le consentement des personnes concernées (et de fournir la mention d’information), puisque c’est le fait que le visiteur consulte son site qui déclenche le traitement des données personnelles.
– Toutefois, le consentement qui doit être donné à l’opérateur du site ne porte que sur l’opération ou l’ensemble des opérations impliquant le traitement de données à caractère personnel dont l’opérateur détermine effectivement les finalités et les moyens.
L’exploitant du site Web est un responsable conjoint de traitement.
– L’exploitant d’un site Web est un responsable conjoint du traitement des données mis en oeuvre du fait de l’utilisation de tout plugin de médias sociaux tel que le bouton Facebook « J’aime » qu’il intègre sur son site.
– En effet, la Cour considère que l’exploitant du site Web a participé à la détermination des finalités et des moyens de traitement déclenchés par le plugin de médias sociaux (c.-à-d. optimiser la publicité de ses produits en les rendant plus visibles sur Facebook).
– Il n’est pas nécessaire que l’exploitant du site web puisse accéder aux données pour être considéré comme responsable conjoint du traitement.
– Cette position s’inscrit dans le droit fil d’une affaire antérieure relative aux cookies statistiques déposés par Facebook sur une page fan Facebook. L’administrateur de la page fan Facebook a été considéré comme un responsable conjoint puisqu’il bénéficiait du traitement de données (statistiques etc.) effectué par Facebook (voir ici pour plus de détails sur cette affaire).
Sa responsabilité est limitée aux opérations de traitements qu’il met en oeuvre, mais il doit fournir la mention d’information et obtenir tout consentement nécessaire.
– En tant que responsable conjoint du traitement, l’exploitant du site internet n’est responsable que de l’ensemble des opérations de traitements nécessaires à l’optimisation de la publicité de ses produits sur Facebook (c’est-à-dire la collecte et la communication par transmission des données) et ne peut être tenue responsable de toute utilisation ultérieure ou supplémentaire des données par Facebook.
– Par conséquent, et compte tenu du fait que les données des visiteurs sont collectées et transmises depuis son site internet, il n’est responsable que de fournir la mention d’information et d’obtenir le consentement nécessaires à ces fins seulement.
La CJUE a donné un aperçu de la manière dont les juges répartiront les responsabilités de chaque responsable conjoint de traitement.
– Étonnamment, la Cour semble distinguer les traitements et les finalités du traitement de manière à limiter la responsabilité de l’exploitant du site internet à toute opération de traitement effectuée sous son contrôle effectif. Elle n’a pas cherché à étendre sa responsabilité aux opérations de traitement ultérieures mises en oeuvre par Facebook et nécessaires à l’optimisation de la publicité de ses produits sur Facebook.
– Les obligations RGPD de chaque responsable du traitement (ex: mention d’information etc.) sont déterminées au cas par cas, en fonction de la partie qui est la mieux placée pour satisfaire à ces exigences.
