Press enter to start

Communication

Facebook : l’administrateur d’une page est responsable des données (CJUE)

Selon un arrêt du 5 juin 2018 de la Cour de justice de l’Union européenne (CJUE), l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données à caractère personnel des visiteurs de sa page.

La Cour de Justice de l’Union Européenne a estimé que « si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook. »

Et de poursuivre : « Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook. Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page. »

Conclusion : même si un organisme ne collecte ni traite des informations personnelles sur Facebook, le simple fait d’administrer la page le rend co-responsable du recueil et des traitements opérés, y compris à l’insu de l’utilisateur.

La Cour a toutefois mis une limite à ce principe de coresponsabilité en modérant le niveau de celle-ci : « Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».

Source : http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=497075