La Cour de justice vient de rendre ce 29 juillet 2019 sa décision dans l’affaire du « Like button » de Facebook (CJUE affaire C-40/17).
En résumé, la Cour décide que le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site. En revanche, il n’est, en principe, pas responsable du traitement ultérieur de ces données par Facebook.
L’insertion du bouton « j’aime » a pour conséquence que, lorsqu’un visiteur consulte le site Internet, des données à caractère personnel de ce visiteur sont transmises à Facebook Ireland. Le bouton « j’aime » transmet l’adresse IP, l’identification du navigateur Web et la date et l’heure de la consultation lorsque la page est chargée. Cette transmission s’effectue même sans que ledit visiteur en soit conscient et indépendamment du fait qu’il soit membre du réseau social Facebook ou qu’il ait cliqué sur le bouton « j’aime ».
L’affaire arrive devant la Cour de justice suite à l’action d’une association allemande de défense des intérêts des consommateurs qui reproche à la défenderesse d’avoir transmis à Facebook Ireland des données à caractère personnel des visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.
La Cour constate, suivant ainsi les conclusions de son avocat général Bobek, que l’inclusion du bouton permettrait à la société opérant le site web d’optimiser la publicité pour ses produits en les rendant plus visibles sur Facebook. Il s’agit d’un avantage économique pour lequel cette société a donné son accord « au moins tacitement » à la collecte des données personnelles des visiteurs de son site.
Ainsi, ces opérations de traitement paraissent être effectuées dans l’intérêt économique tant de la défenderesse que de Facebook Ireland, pour qui le fait de pouvoir disposer de ces données à ses propres fins commerciales constitue la contrepartie de l’avantage offert.
Après avoir constaté dans l’arrêt « Wirtschaftsakademie » de 2018 que l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de sa page, elle conclut que le gestionnaire d’un site Internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site.
Quelles sont les conséquences de l’arrêt ?
Outre le bouton « j’aime » de Facebook, d’autres plug-ins au fonctionnement similaire, tels que ceux utilisés par les agences de publicité en ligne, sont également susceptibles d’être affectés par cette décision.
En tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook Ireland, une société opérant un site web intégrant un plug-in doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.
Le gestionnaire du site Internet doit également recueillir le consentement préalable pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données, afin de disposer d’une base légale pour le traitement de données, sauf à invoquer que le traitement de données est nécessaire à la réalisation d’un intérêt légitime, dans quel cas, selon la Cour, chacun des (co)responsables du traitement, à savoir le gestionnaire du site Internet et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.
A l’avenir, les internautes sont donc susceptibles d’être confrontés à un nouveau clic de consentement lorsqu’ils accèdent à divers sites Web utilisant des plug-ins sociaux.
L’article 26 du RGPD impose, en outre, la conclusion d’un contrat entre les deux responsables conjoints définissant de manière transparente les obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne l’exercice des droits ainsi que l’information de la personne concernée sur base des articles 13 et 14 du RGPD.
En cas d’utilisation de plug-ins sociaux, il est recommandé de vérifier au plus vite la base légale du traitement des données, d’intégrer un mécanisme de consentement et de revoir, notamment, les politiques de confidentialité qui doivent intégrer toutes les informations pertinentes quant aux traitements.