CJUE

Protection des données personnelles : la responsabilisation des administrateurs de pages fan

CJUE, grande chambre, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH, aff. C‑210/16

Quelques semaines après l’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD), la Cour de justice de l’Union européenne, dans un arrêt du 5 juin 2018[1], était amenée à se prononcer sur une notion clé de la législation relative à la protection des données à caractère personnel : le responsable de traitement. Elle apportait, en outre, d’utiles précisions quant à la compétence des autorités nationales de contrôle chargées de veiller au respect de cette législation. Rendues sous l’empire de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les solutions retenues dans cet arrêt sont parfaitement transposables au droit positif issu du RGPD et restent donc d’actualité.

En l’espèce, une société allemande (Wirtschaftsakademie) spécialisée dans le domaine de l’éducation diffusait ses offres de formations au moyen d’une page fan hébergée sur Facebook. La page fan permet à son administrateur de se présenter aux utilisateurs de ce réseau social ainsi qu’aux personnes visitant la page et de diffuser des communications de toute nature sur le marché des médias et de l’opinion. L’administrateur de la page peut, en outre, obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à sa disposition par Facebook selon des conditions d’utilisation non modifiables. Ces données sont collectées grâce à des fichiers témoins (« cookies ») comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque de l’ordinateur. Or ni Facebook ni Wirtschaftsakademie n’avaient informé les visiteurs de la page de la collecte et du traitement de leurs données. Saisie des faits, l’autorité régionale indépendante de protection des données du Schleswig-Holstein (Allemagne) a ordonné à Wirtschaftsakademie de désactiver sa page fan. Cette dernière a alors exercé un recours contre cette décision devant le tribunal administratif allemand en faisant valoir qu’elle ne pouvait être considérée comme le responsable du traitement. Selon elle, l’autorité régionale aurait dû agir directement contre Facebook. Le tribunal administratif allemand lui donna raison et annula l’injonction prise à son encontre. Cette décision fut confirmée par le tribunal administratif supérieur. Saisie à son tour, la Cour administrative allemande décida de sursoir à statuer et de poser plusieurs questions préjudicielles à la Cour de justice de l’Union européenne que l’on peut résumer ainsi :

d’une part, la responsabilité d’un organisme peut-elle être retenue, en sa qualité d’administrateur d’une page fan hébergée sur un réseau social, en cas d’atteinte aux règles relatives à la protection des données à caractère personnel ?

d’autre part, l’autorité nationale de contrôle d’un État membre est-elle habilitée à exercer ses prérogatives à l’encontre d’un établissement situé sur son territoire alors même qu’en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement assure uniquement la promotion et la vente d’espaces publicitaires sur le territoire dudit état membre tandis que, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre ?

La Cour répond positivement aux deux questions. L’arrêt du 5 juin 2018 consacre ainsi la responsabilité des administrateurs de pages fan (I) et affermit les compétences des autorités nationales de contrôle (II).

I. La responsabilité des administrateurs de pages fan

Une première série de questions amena la Cour à s’interroger sur la possibilité de retenir la qualité de « responsable de traitement » à l’endroit de l’administrateur d’une page fan hébergée sur un réseau social.

Selon l’art. 2 d) de la directive 95/46/CE : « le responsable de traitement » est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel (…) » [2]. La Cour rappelle que, conformément à l’objectif poursuivi par la directive de garantir un niveau élevé de protection des personnes physiques à l’égard, notamment, du traitement des données à caractère personnel, il convient de retenir une acceptation large de la notion de « responsable de traitement ». Elle souligne, ensuite, que la notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données. Encore-faut-il toutefois que ces acteurs soient considérés comme ayant déterminé « les finalités et les moyens » du traitement. Autrement dit, ils doivent être ceux qui ont déterminé « pourquoi » et « comment » le traitement a été mis en œuvre. A cet égard, la Cour relève que cette circonstance ne souffre d’aucune hésitation à l’endroit de Facebook Inc et, s’agissant de l’Union, Facebook Ireland : ces derniers doivent être regardés comme déterminant, à titre principal, les finalités et les moyens du traitement concerné. La question était plus délicate pour l’administrateur de la page fan. Celui-ci faisait valoir que le traitement était effectué par Facebook, qu’il n’avait pas chargé ce dernier de procéder à un tel traitement qu’il ne contrôlait pas et ne pouvait influencer. Selon lui, il ne pouvait donc être considéré comme responsable de traitement. Une analyse rigoureuse des faits amena la Cour à adopter une solution contraire.

La Cour relève d’abord que toute personne souhaitant créer une page fan sur Facebook conclut avec Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux conditions d’utilisation de cette page, y compris à la politique en matière de cookies. En créant une page fan, l’administrateur offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook. La Cour met ainsi en exergue le rôle d’initiative joué par l’administrateur de la page fan dans la mise en place du traitement : sans sa décision préalable de créer et d’exploiter celle-ci sur le réseau social, le traitement ne pourrait intervenir. La Cour insiste, ensuite, sur le rôle actif joué par l’administrateur de la page dans le traitement de ces données. Elle relève ainsi que la création d’une page fan sur Facebook implique de la part de l’administrateur une fonction de paramétrage qui influe sur le traitement de données personnelles aux fins d’établir des statistiques à partir des visites de la page. Grâce à des filtres mis à sa disposition par Facebook, l’administrateur peut définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel sur Facebook. Il peut demander l’obtention – et donc le traitement – des données démographiques le renseignant notamment sur les tendances d’âge, de sexe, de situation amoureuse, de profession et de consommation des visiteurs de sa page fan. Selon la Cour, l’action de paramétrage caractérise ainsi la participation de l’administrateur de la page fan à la détermination des finalités et des moyens du traitement des données personnels des visiteurs de cette page. Il doit donc être considéré comme le responsable de ce traitement, conjointement avec Facebook.

Il ressort de cette décision que si Facebook ne respecte pas les obligations européennes relatives à la protection des données personnelles, les administrateurs de la page fan pourront désormais également voir leur responsabilité engagée. L’existence d’une responsabilité conjointe ne se traduit toutefois pas nécessairement par une responsabilité équivalente des différents opérateurs. Au contraire, nous dit la Cour, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.

II. La compétence des autorités nationales de contrôle

Dans une seconde série de questions, la Cour de justice de l’Union européenne était amenée à s’interroger sur la compétence de l’autorité nationale allemande à l’égard de Facebook Germany.

Selon l’art. 4§1 de la directive 95/46/CE « chaque Etat membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable de traitement sur le territoire de l’Etat membre (…) ». Pour que l’autorité de contrôle d’un Etat membre puisse exercer ses pouvoirs de contrôle, deux conditions doivent donc être réunies : d’une part, la présence sur le territoire, d’un établissement en charge du traitement des données ; d’autre part, le traitement des données doit être effectué « dans le cadre des activités » de l’établissement concerné.

La première condition ne suscite pas de difficulté : la Cour relève que Facebook Inc. dispose d’un établissement stable en Allemagne, à savoir Facebook Germany, et que cette société exerce réellement et effectivement des activités (vente d’espaces publicitaires et marketing) sur ce territoire. De ce fait, elle constitue un établissement au sens de la directive. La seconde condition pouvait être discutée en raison de la stratégie organisationnelle adoptée par Facebook Inc. L’entreprise américaine a en effet choisi d’implanter son établissement principal en Europe en Irlande ; l’établissement situé en Allemagne n’étant que secondaire. Plus précisément, en vertu de la répartition des missions au sein du groupe la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à Facebook Ireland, tandis que Facebook Germany est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing en Allemagne. La Cour rappelle toutefois que l’art. 4 de la directive n’exige pas que le traitement des données à caractère personnel soit exercé « par » l’établissement concerné lui-même mais « dans le cadre des activités » de celui-ci. Or dans la mesure où Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité diffusée sur les pages web que les utilisateurs créent et auxquels ils accèdent et, d’autre part, que Facebook Germany est destiné à assurer, en Allemagne, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par Facebook, les activités de cet établissement doivent, selon la Cour, être considérées comme étant indissociablement liées au traitement de données personnelles en cause. Un tel traitement doit donc être regardé comme étant effectué dans le cadre des activités d’un établissement du responsable du traitement. La Cour en déduit que l’autorité de contrôle allemande est donc compétente pour appliquer le droit allemand à l’établissement situé sur son territoire et précise que cette compétence s’exerce en toute indépendance à l’égard de l’autorité de contrôle située en Irlande.

La solution affermit ainsi les pouvoirs de contrôle et de sanctions autonomes des autorités nationales[3].