Une double question préjudicielle
En l'espèce, une entreprise de e-commerce allemande, Fashion ID, avait placé le signe "Like" de Facebook sur une page de son site. Que les visiteurs activent ou non le bouton, leurs données étaient transmises à Facebook, sans que le consentement des intéressés soit sollicité, sans même qu'ils soient informés de ce transfert. Une association allemande de consommateurs a saisi la justice pour violation des règles relatives à la protection des données personnelles. Certes, l'arrêt ID Fashion se situe sous l'empire de l'ancienne directive 95/46,
désormais abrogée avec l'entrée en vigueur du règlement général de
protection des données (RGPD). Mais le principe du consentement à la collecte et à la conservation des données personnelles n'a pas changé de manière substantielle.
Dans l'affaire ID Fashion, la CJUE est saisie d'un double question préjudicielle. Ecartons d'emblée celle qui porte sur l'intérêt à agir d'une association de consommateurs. L'arrêt du 6 novembre 2003 Lindqvist avait déjà estimé que les Etats membres prenaient une "mesure appropriée" en décidant qu'une association de consommateur pouvait agir en justice pour protéger les droits des internautes. Un tel recours contribue en effet à la réalisation des objectifs de la directive.
La seconde question est plus intéressante. Les juges allemands demandent en effet à la Cour si le gestionnaire d’un site Internet, tel que Fashion ID, qui insère sur son site un bouton destiné à transmettre les données de caractère personnel d'un visiteur peut être considéré comme "responsable du traitement". La réponse n'est pas évidente, dès lors que le site Fashion ID se borne à transférer des données et n'a donc aucune influence sur le traitement qui en sera fait par Facebook.
De manière traditionnelle, la CJUE adopte une définition large de la notion de « responsable du traitement » comme visant "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel " (CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein). Rien n'interdit d'ailleurs, selon l'arrêt du 10 juillet 2018, Jehovan todistajat, que le "responsable du traitement" soit pluriel, constitué de plusieurs acteurs qui sont alors également soumis au droit de la protection des données. Dans ce cas, ces acteurs peuvent être impliqués à des stades divers du traitement, de la collecte, à la conservation et à l'utilisation des données.
En l'espèce, Fashion ID, en insérant le bouton sur son site, a offert à l'entreprise Facebook Ireland la possibilité d'obtenir les données personnelles des visiteurs, qu'ils soient ou non membres du réseau social, qu'ils aient ou non cliqué sur le bouton, et bien entendu sans qu'ils aient eu connaissance de cette opération. Fashion ID est donc considéré comme "responsable du traitement" dans la mesure où elle collecte et transmet des données. En revanche, elle n'est plus "responsable du traitement" pour la suite, c'est-à-dire pour l'usage qu'en fera Facebook, même si, et la Cour ne manque pas de le faire remarquer, cet usage ultérieur n'aurait pas lieu sans son intervention. Il appartiendra donc aux juges allemands d'évaluer la responsabilité respective de chacun des deux acteurs.
Cette solution n'est guère surprenante si l'on considère que les systèmes juridiques des Etats membres n'ignorent pas les responsabilités conjointes. Derrière cette analyse, transparaît aussi l'idée qu'il existe en l'espèce un cumul des fautes. Car Fashion ID n'a pas songé à demander aux internautes de consentir à la captation de leurs données, consentement qui constitue l'un des socles sur lequel s'est construit le droit de la protection des données. Et Facebook n'a pas davantage exigé ce consentement de son co-contractant, alors même que ses dirigeants, et notamment Mark Zuckerberg, affirment leur volonté de se plier aux règles imposées par le droit européen.
Dans l'affaire ID Fashion, la CJUE est saisie d'un double question préjudicielle. Ecartons d'emblée celle qui porte sur l'intérêt à agir d'une association de consommateurs. L'arrêt du 6 novembre 2003 Lindqvist avait déjà estimé que les Etats membres prenaient une "mesure appropriée" en décidant qu'une association de consommateur pouvait agir en justice pour protéger les droits des internautes. Un tel recours contribue en effet à la réalisation des objectifs de la directive.
Une responsabilité conjointe
La seconde question est plus intéressante. Les juges allemands demandent en effet à la Cour si le gestionnaire d’un site Internet, tel que Fashion ID, qui insère sur son site un bouton destiné à transmettre les données de caractère personnel d'un visiteur peut être considéré comme "responsable du traitement". La réponse n'est pas évidente, dès lors que le site Fashion ID se borne à transférer des données et n'a donc aucune influence sur le traitement qui en sera fait par Facebook.
De manière traditionnelle, la CJUE adopte une définition large de la notion de « responsable du traitement » comme visant "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel " (CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein). Rien n'interdit d'ailleurs, selon l'arrêt du 10 juillet 2018, Jehovan todistajat, que le "responsable du traitement" soit pluriel, constitué de plusieurs acteurs qui sont alors également soumis au droit de la protection des données. Dans ce cas, ces acteurs peuvent être impliqués à des stades divers du traitement, de la collecte, à la conservation et à l'utilisation des données.
En l'espèce, Fashion ID, en insérant le bouton sur son site, a offert à l'entreprise Facebook Ireland la possibilité d'obtenir les données personnelles des visiteurs, qu'ils soient ou non membres du réseau social, qu'ils aient ou non cliqué sur le bouton, et bien entendu sans qu'ils aient eu connaissance de cette opération. Fashion ID est donc considéré comme "responsable du traitement" dans la mesure où elle collecte et transmet des données. En revanche, elle n'est plus "responsable du traitement" pour la suite, c'est-à-dire pour l'usage qu'en fera Facebook, même si, et la Cour ne manque pas de le faire remarquer, cet usage ultérieur n'aurait pas lieu sans son intervention. Il appartiendra donc aux juges allemands d'évaluer la responsabilité respective de chacun des deux acteurs.
 |
| Voutch. 22 janvier 2019 |
Consentement et loyauté
Cette solution n'est guère surprenante si l'on considère que les systèmes juridiques des Etats membres n'ignorent pas les responsabilités conjointes. Derrière cette analyse, transparaît aussi l'idée qu'il existe en l'espèce un cumul des fautes. Car Fashion ID n'a pas songé à demander aux internautes de consentir à la captation de leurs données, consentement qui constitue l'un des socles sur lequel s'est construit le droit de la protection des données. Et Facebook n'a pas davantage exigé ce consentement de son co-contractant, alors même que ses dirigeants, et notamment Mark Zuckerberg, affirment leur volonté de se plier aux règles imposées par le droit européen.
En l'espèce, il ne fait aucun doute que les internautes ont été victimes, à leur insu, d'une opération purement commerciale reposant précisément sur leur crédulité. La responsabilité des deux partenaires est donc engagée aussi dans la mesure où ils ont manqué à un autre principe cardinal de la protection des données, celui de la loyauté de leur collecte. La CJUE protège ainsi l'internaute crédule, comme le font les juges allemands. On se prend à espérer que les internautes participent eux-mêmes à la protection de leurs données personnelles, par exemple en évitant de les disséminer sur les réseaux sociaux.
Aucun commentaire:
Enregistrer un commentaire