Le 26 janvier 2017, le tribunal régional supérieur de Düsseldorf (l’Oberlandesgericht Düsseldorf) a transmis à la CJUE une question préjudicielle sur la qualification à retenir à l’encontre d’un site Internet qui intègre un bouton « j’aime » (« Like ») de Facebook et permet la collecte de données personnelles d’utilisateurs et de non-utilisateurs du réseau social.
Bientôt deux ans après cette question, l’avocat général près la Cour vient de rendre ses conclusions ainsi qu’un communiqué de presse. Selon lui, le site Internet et Facebook sont des responsables conjoints du traitement. Ces conclusions s’inscrivent dans la ligne directe des récentes décisions rendues au sujet de l’administration d’une page Facebook et au sujet de la responsabilité des prédicateurs d’une communauté religieuse.
Un site Internet, Fashion ID, propose à la vente des articles de mode. Comme d’innombrables sites Internet, le site intègre un bouton « j’aime » du réseau social Facebook. La finalité première de ce bouton, cliquable par tout utilisateur et visiteur du site Internet, est d’afficher sur son fil d’actualité Facebook des goûts et préférences. Le site web profite ainsi de la diffusion de ses produits par l’intermédiaire des utilisateurs qui cliquent sur le bouton « j’aime » afin de partager leurs coups de cœur sur Facebook auprès de leurs « amis ». De son côté, la société Facebook collecte des données personnelles qu’elle valorise auprès d’annonceurs de publicités.
Le problème soulevé est que ce bouton « j’aime » collecte des données personnelles du visiteur du site Internet même lorsque ce dernier ne clique pas dessus. La simple présence du bouton, indépendamment de toute action de la part de l’utilisateur, permet en effet à Facebook de collecter (i) l’adresse IP du visiteur, (ii) la chaîne de caractère du navigateur utilisé lors de la visite du site Internet Fashion ID et (iii) l’identification du site web visité. Puisqu’il s’agit de données à caractère personnel, se pose nécessairement la question de la qualification en responsable du traitement, en sous-traitant ou en responsable conjoint du traitement de Facebook d’une part, et du site Internet d’autre part.
Si plusieurs questions sont posées à la CJUE et abordées par l’avocat général, on pourrait résumer ces questions de la manière suivante :
1) L’éditeur d’un site Internet qui intègre volontairement et librement un « plugiciel » (contraction de « plug » et de « logiciel ») doit-il être qualifié de responsable conjoint du traitement avec la personne qui fournit ce contenu tiers et permet ainsi la collecte de données ?
2) Qui supporte la charge d’informer et de recueillir le consentement des personnes concernées dont les données personnelles sont ?
1. La qualification indiscutée de Facebook en tant que responsable du traitement
Comme le rappel l’avocat général, la conception de « responsable du traitement » peut donner lieu à plusieurs interprétations. Ainsi, la société Fashion ID refuse d’être qualifiée de responsable du traitement s’agissant des données collectées via le bouton « j’aime ». La société Facebook, pour sa part, considère également que Fashion ID n’est pas responsable du traitement mais estime que toutes deux sont responsables conjoints du traitement.
Autrement dit, alors que Fashion ID cherche à ne pas se voir appliquer la qualification de responsable du traitement, la société Facebook cherche, au contraire, à être qualifiée de responsable conjoint afin de partager avec l’éditeur du site web la responsabilité des traitements réalisés, aux cas où ces derniers seraient jugés contraires à la directive de 1995 alors applicable (dir. 95/46/CE).
Au regard de l’argumentation tenue par les différentes parties et par le juge allemand, il ne fait donc pas de doute que la société Facebook est responsable du traitement de données à caractère personnel qui est réalisé par l’intermédiaire de son bouton « j’aime ». Dans la mesure où ce bouton est créé par la société Facebook et lui permet de traiter des données sur les utilisateurs et les non-utilisateurs de son réseau social, la société détermine bien les finalités et les moyens du traitement des données. Reste à savoir si la société est responsable conjoint ou unique du traitement…
Avant de s’aventurer sur la question du partage de la responsabilité de la société Facebook avec la société Fashion ID, il faut dire quelques mots sur le fameux bouton, sur le respect de la vie privée des utilisateurs du site Internet, et sur le respect du Règlement Général sur la Protection des Données (« RGPD »).
Le bouton « j’aime » collecte de manière indifférenciée les données de tous les utilisateurs des sites, que ceux-ci soient ou non-inscrits sur le réseau social. Deux situations doivent donc être distinguées : celle des utilisateurs du site, membres du réseau social, et celle des utilisateurs non-membres du réseau social.
La société Facebook peut informer et obtenir les consentements des utilisateurs qui disposent d’un compte sur son réseau. En revanche, la collecte des données des utilisateurs non-membres est plus compliquée et deux conceptions technologiques pourraient être soutenues :
- La première, extensive, porterait sur une collecte généralisée des données des utilisateurs par Facebook, sans prendre en considération le statut de membre du réseau social de l’utilisateur du site Internet. La collecte des données serait ici massivement réalisée partout sur le web.
- La seconde, et la plus logique, serait que seul le fait de cliquer sur le bouton conduit à la collecte et au traitement de données par Facebook. A priori, seules les données des utilisateurs qui disposent d’un compte sur le réseau social devraient être traitées par Facebook.
La première solution technologique est celle actuellement appliquée. Le « plugiciel », le bouton « j’aime », se comporte comme un cookie tiers ou comme toute autre technologie de traçage. On peut alors se demander pour quelle raison ce plugiciel n’a pas fait l’objet d’une analyse aussi poussée que ces autres technologies.
Si des questions de consentement et d’information se posent (cf. infra) des questions plus générales du respect de la vie privée sont également sous-jacentes. La société Facebook peut-elle utiliser sa réputation pour justifier le traitement d’utilisateurs non-membres de son réseau social, sous couvert de permettre aux utilisateurs membres de bénéficier de nouvelles fonctionnalités ? Si la question est abordée pour la société Facebook, elle est évidemment transposable aux autres réseaux sociaux.
Si cette question n’est pas développée dans les conclusions de l’avocat général, la seconde solution technologique proposée devrait normalement déjà être en place. En effet, une telle solution présente les garanties imposées par les principes de l’article 25 du RGPD de protection des données dès la conception et de protection des données par défaut. En tant que responsables du traitement, il conviendrait que les sociétés et réseaux sociaux qui proposent de tels plugiciels modifient ces derniers afin de prendre en compte ces deux principes. Sous peine de s’exposer, à nouveau, à des actions en justice sur le fondement de la violation du respect au droit à la vie privée et à la violation du droit des données personnelles.
De notre point de vue en effet, rien ne justifie qu’un réseau social sur lequel une personne n’est pas inscrite, puisse collecter la moindre donnée sur cette personne lorsqu’elle visite un autre site web, distinct du réseau social. À tout le moins, le consentement préalable s’impose, avec une information circonstanciée sur ce que Facebook compte faire de telles données.
Et si un membre de Facebook pourrait consentir à ce que Facebook use d’informations sur sa navigation ou ses goûts pour personnaliser son utilisation du réseau social, on ne voit en revanche aucune finalité légitime si la personne n’a pas de compte Facebook.
2. La qualification du site Internet de responsable conjoint du traitement, sur certains traitements
La question de la qualification en responsable du traitement et celle de la coresponsabilité deviennent de plus en plus centrales dans l’application du RGPD. Les récentes mises en demeure de la CNIL à l’encontre des éditeurs de Software Development Kit (« SDK ») et leur qualification de responsables du traitement, les pages du site web de la CNIL sur les cookies, ou encore l’avis 2/2010 du G29 relatif à la publicité comportementale qui aborde la qualification des annonceurs de publicité, des diffuseurs et des fournisseurs de réseaux publicitaires, sont autant d’éléments à prendre en compte dans la détermination d’une éventuelle responsabilité conjointe du site Fashion ID avec Facebook.
Toutefois, la qualification de responsable conjoint du traitement reste délicate dans la mesure où la directive de 1995 et le RGPD ne donnent pas de critères qui permettent de qualifier de manière certaine une société de responsable unique ou de responsable conjoint du traitement.
L’avocat général procède par analogie avec la décision rendue par la CJUE à propos de l’administrateur d’une page Facebook. De cette décision, l’avocat général retient que l’action de paramétrage de l’administrateur de la page Facebook était un élément déterminant dans sa qualification en responsable conjoint du traitement (cons. 63) puisque :
- d’une part, l’action de l’administrateur rend possible le traitement de données par la société Facebook ;
- d’autre part, les intérêts de la société Facebook et de l’administrateur convergent.
L’avocat général invoque aussi la décision de la CJUE rendue à l’encontre des Témoins de Jehova, non pas tant pour utiliser un critère de qualification que pour contester un argument avancé par la société Fashion ID. Selon l’avocat général et cette décision de la CJUE, le fait d’être responsable conjoint du traitement n’implique pas que les responsables du traitement aient accès aux mêmes données (cons. 65 & 66). Dans le même sens, on pourrait d’ailleurs faire remarquer qu’un responsable du traitement n’a pas nécessairement accès aux données personnelles lorsqu’il en délègue la gestion à un sous-traitant.
L’analyse proposée par l’avocat général nous apparaît claire et rigoureuse puisqu’il propose d’appliquer la qualification de responsable conjoint du traitement du site Internet qui intègre le plugiciel, à l’éditeur web qui décide, volontairement, de permettre à la société Facebook de collecter et traiter des données des visiteurs dudit site.
Une telle approche pourrait, à première analyse, conduire à qualifier de responsable conjoint du traitement toute personne qui permet à un autre responsable du traitement de traiter des données à caractère personnel. L’avocat général évoque le cas extrême dans lequel même le fournisseur d’accès à Internet pour recevoir la qualification de responsable conjoint du traitement puisqu’il permet à des sociétés (par exemple la société Facebook) de traiter des données personnelles (cons. 73 & 74).
En réalité, la notion de responsable conjoint du traitement suppose, ainsi que le rappelle l’avocat général, (i) de définir ce qu’est le traitement en cause et (ii) de définir ce qu’est un responsable du traitement.
De cela, l’avocat général en déduit que la société Fashion ID ne doit pas être qualifiée de responsable conjoint du traitement de manière absolue. Elle ne l’est que pour deux traitements : la collecte et la transmission des données à la société Facebook (cons. 102). La société Fashion ID n’est donc responsable conjointe du traitement que sur deux traitements, et non sur l’ensemble des traitements réalisés par la société Facebook ensuite.
Quant à la détermination de la finalité du traitement, notion centrale de la définition du responsable du traitement, l’avocat général adopte une vision plus souple que celle à laquelle on pourrait s’attendre dans le contexte de mise en conformité au RGPD. Selon lui, les deux sociétés agissent dans une unité de finalité : « une finalité commerciale et publicitaire » (cons. 104). Cela semble peu précis, notamment sur les usages subséquents que Facebook fera des données collectées…
Toujours est-il que, selon l’avocat général, dans la mesure où le site Internet Fashion ID et la société Facebook déterminent ensemble les moyens et les finalités du traitement, ces entités doivent être considérées comme des responsables conjoints des traitements susmentionnés.
3. Un dédoublement de l’obligation d’information et de recueil du consentement
Tous ces développements sur la qualification des parties en cause servent à déterminer qui supporte la charge d’informer les personnes concernées que leurs données à caractère personnel sont collectées et, le cas échéant, qui supporte la charge de recueillir le consentement des personnes au traitement de leurs données personnelles.
Pour pallier à cette difficulté, l’article 26 du RGPD impose aux responsables conjoints du traitement de conclure un contrat qui organise le traitement et d’y indiquer qui supporte l’obligation d’information des personnes concernées et le recueil de leur consentement.
Malheureusement, la présence d’un contrat était ici improbable :
- la directive de 1995 applicable à l’affaire n’imposait pas la conclusion d’un tel contrat, qui est une nouveauté du RGPD ;
- la situation est une responsabilité conjointe de fait, demandée par l’avocat général, et non une responsabilité conjointe contractuelle, conscientisée et assumée par les sociétés Fashion ID et Facebook.
L’absence de contrat rend la détermination de la personne en charge de l’obligation d’information de la personne concernée délicate. Plusieurs solutions sont évoquées dans les conclusions de l’avocat général :
- Faire peser l’intégralité de l’obligation d’information et de recueil du consentement des personnes concernées sur la société Facebook ;
- Faire peser l’obligation d’information et de recueil du consentement des personnes concernées membres du réseau social Facebook sur la société Facebook ; faire peser sur le site Internet l’obligation d’informer et de recueillir le consentement des personnes concernées qui ne sont pas membres du réseau social Facebook ;
- Faire peser l’intégralité de l’obligation d’information et de recueil du consentement des personnes concernées sur le site Internet qui intègre un plugiciel, peu importe que l’utilisateur dispose ou non d’un compte sur le réseau social Facebook.
Si l’avocat général se prononce en faveur de la troisième solution par souci d’efficacité et d’équité entre les utilisateurs membres et non membres de Facebook (cons. 138), son argumentation n’emporte pas pleinement la conviction. Selon lui, opter pour la deuxième solution conduirait à ce que l’acceptation des conditions générales d’utilisation de Facebook par les personnes concernées membres du réseau social « emporte effectivement renonciation à tout droit de protection des données à caractère personnel en ligne à l’égard de Facebook » puisque « l’utilisateur [accepterait] par avance toutes sortes de traitements des données concernant toutes activités en ligne [qu’il pourrait avoir] avec des tiers ayant un lien quelconque avec Facebook ;». En réalité, l’obligation du réseau social d’informer ses utilisateurs de l’identité des responsables du traitement conduirait surtout à l’impossibilité matérielle pour la société Facebook de lister les milliers des sites qui intègrent son bouton « j’aime ». En outre, une telle solution rendrait l’information trop dense et illisible.
Seule la troisième solution permet donc de s’assurer que toutes les informations obligatoires selon l’article 10 de la directive sont délivrées afin de permettre le recueil d’un consentement libre, éclairé et exprès de la personne concernée. Il est en effet plus facile pour un site de s’identifier comme responsable conjoint auprès de deux, trois voire quatre réseaux sociaux, que pour un réseau social de s’identifier comme responsable conjoint avec plusieurs milliers de sites Internet. À l’inverse, on peut considérer qu’il est bien plus profitable pour Facebook de multiplier ses collectes sur des centaines de milliers de sites web dans le monde, que pour un site web d’ajouter quelques boutons « j’aime » dans ses pages web…
Les conclusions de l’avocat général dans cette affaire qui oppose un site Internet à la société Facebook confirment la tendance actuelle à vouloir responsabiliser non pas tout le monde mais les personnes qui participent, permettent et mettent en place des traitements de données personnelles spécifiquement identifiés. S’il faudra attendre la décision de la CJUE pour s’assurer de la qualification de responsable conjoint du traitement du site Internet avec la société qui propose un plugiciel (aujourd’hui la société Facebook, demain la société Twitter ou Google ?), on peut déjà utiliser les quelques critères avancés par l’avocat général qui sont autant de pistes pour les futurs exercices de qualification.