Cela pourrait être prometteur, mais ces propos sont à modérer d’une demi-teinte. Au travers de son PDG Mark Zuckerberg, Facebook n’en finit plus d’être sous le feu des projecteurs.
Du fait de ses annonces sur de nouvelles fonctionnalités, le réseau social souhaite encore agrandir sa place sur le marché, notamment avec le lancement de sa propre cryptomonnaie (Libra) et d’une nouvelle fonctionnalité – toujours en phase de test – permettant la gestion de données personnelles récupérées en dehors du réseau social.
Récemment, nous avons appris que Facebook utilisait les microphones de nos appareils connectés pour nous écouter. Également, il y a eu le scandale de Cambridge Analytics qui a eu pour conséquence de faire condamner Facebook par les autorités Américaines à une amende de 5 milliards de USD.
C’est une nouvelle controverse qui nous intéresse. Celle-ci touche – mais cette fois-ci de façon indirecte – le réseau social Facebook, et fait la une de la presse spécialisée.
Cette nouvelle affaire a pour but de déterminer qui est le responsable de traitement lors de la présence du bouton « Like » de Facebook, et c’est aux juges de la Cour de Justice de l’Union Européenne de l’interpréter.
Bien que se prononçant sous l’empire de l’ancien droit, la Cour de Justice de l’Union Européenne va s’inscrire dans le mouvement de protection renforcée des droits des personnes physiques entamé par le RGPD, et c’est ce qu’elle va souligner au sein de l’arrêt suivant.
Toute la question de cette affaire est de savoir qui collecte vraiment les données personnelles sur un site d’e-commerce, et qui est responsable, lorsque le bouton « Like » de Facebook est présent sur un site internet.
Ainsi :
Cela étant dit, la plupart des sites internet utilisent aujourd’hui ce bouton sur leurs pages : c’est pourquoi cette décision était si attendue.
En l’espèce, en 2016, une association de consommateurs Allemande (Verbraucherzentrale NRW), avait déposé une plainte à l’encontre d’un site en ligne d’e-commerce (Fashion ID) auprès des tribunaux allemands. Ce dernier utilisait la présence du bouton « Like » de Facebook directement sur son site internet, suggérant ainsi aux potentiels utilisateurs de « liker » la page Facebook du site d’e-commerce.
La plainte était claire : l’envoi supposé sans consentement de données à Facebook directement au travers de ce bouton « Like », cela engendrait un problème au niveau de la protection des données.
En effet, le consentement permet de comprendre le traitement qui sera fait des données collectées, de choisir d’accepter ou non le traitement, et enfin de pouvoir changer librement d’avis. De plus, ce qui était également reproché au site d’e-commerce, c’est que l’utilisateur n’était pas averti qu’il n’y avait pas un, mais deux responsables de traitement : à savoir Fashion ID dans un premier temps, et Facebook dans un second.
C’est ainsi que les tribunaux Allemands, en se basant sur les articles 256 et 267 du TFUE, ont utilisé le mécanisme de la question préjudicielle,demandant à la Cour l’interprétation des articles 2, 7, 10, et 22 à 24 de la directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette interprétation ayant pour objectif de connaître les responsables de traitement lorsque le module « Like » de Facebook est intégré au sein d’une page internet.
La CJUE a exposé sa réponse au sein du considérant 75.
En substance, il ressort de ce considérant et de cette décision, que Fashion ID – en ayant inséré le bouton « Like » de Facebook – a offert la possibilité à Facebook d’obtenir les données à caractère personnel des visiteurs de son site, juste en le consultant, sans nécessairement être préalablement inscrit sur le réseau social, même sans avoir cliqué sur le bouton « Like », et surtout sans avoir connaissance d’une telle opération de collecte de données.
La responsabilité conjointe de traitement, notion consacrée par le RGPD à l’article 13, n’est que la continuité des recommandations faites par l’ancien G29, aujourd’hui CEPD, au sein d’un avis de janvier 2010.
Les juges de l’Union ont estimé que Fashion ID, le site d’e-commerce, était bien responsable du traitement consistant au transfert de données à Facebook, et doit donc respecter les principes et obligation liés à la collecte des données personnelles des visiteurs de son site. Mais, c’est ici que toute la nuance de cette affaire prend sens : la responsabilité est partagée.
Cette dernière se partage entre deux responsables de traitement : Fashion ID qui utilise le bouton « Like » de Facebook, et Facebook par la suite, qui est co-responsable du traitement de données mis en œuvre.
Une précision est tout de même à ajouter : la CJUE a estimé que le site d’e-commerce Fashion ID n’était pas responsable du traitement ultérieur de ces données transmises à Facebook, mais que Facebook serait l’unique responsable de cet usage ultérieur.
Par conséquent, il aurait fallu que le site Fashion ID recueille le consentement « éclairé » des visiteurs, en les informant logiquement qu’un traitement subséquent allait suivre, par la transmission des données à Facebook.
C’est aussi sur cette question du consentement éclairé que cette affaire repose.
La question est de savoir ce que pourra potentiellement demander le site web aux utilisateurs – grossièrement : un consentement pour quoi faire ? -.
La Cour répond – plus ou moins clairement – à cette interrogation, en expliquant que lors de l’arrivée sur le site internet en question, le site web devrait informer l’utilisateur, qu’il collecte des données pour son compte, mais que du fait de la présence du module « Like » de Facebook, le réseau social les obtient lui aussi.
En conséquence, il serait nécessaire que la demande de consentement provienne du site internet, et qu’il informe l’utilisateur que les informations seront transmises à Facebook du simple fait de la présence du bouton like. En outre, pour que le consentement de l’utilisateur à ce transfert de données dont la finalité est la prospection commerciale soit libre, il faut que le site Web prévoie un moyen d’empêcher ce partage de données, en cas de refus de l’utilisateur.
Le RGPD, dont il n’est plus nécessaire de souligner l’impact en Europe mais également Outre-Atlantique, indique aux articles 4 et 7 les conditions applicables au consentement. En France, la CNIL, autorité administrative indépendante Française, indique notamment que le consentement se doit d’être libre, spécifique, éclairé et univoque ; le RGPD ayant eu principalement pour impact d’asseoir et de consolider ce qui était déjà inscrit au sein de la loi Informatique et Liberté de 1978, modifiée en 2004, avec ses articles 4 et 7.
La portée de cette décision doit être précisée : ne seront pas impactés l’ensemble des sites disposant d’un bouton « Like ». En effet, la Cour va notamment reprocher dans son considérant 80, que le site Fashion ID n’utilise ce module qu’à des fins commerciales. Il est ainsi possible de supposer que de nombreux sites qui l’utilisent pour une autre finalité pourraient conserver le bouton « like » sans inquiétude, en se fondant sur une autre base légale que le consentement. Les mentions d’informations imposées par l’article 13 du RGPD resteront cependant un passage obligatoire.
Plusieurs questions restent toutefois en suspens, et cet arrêt est déjà sous le feu des critiques, notamment par Bitkom, fédération allemande représentant les entreprises du net qui dénonce une énorme responsabilité envers les sites web.
Il sera intéressant de voir les conséquences éventuelles de cette décision, notamment observer l’attitude potentielle que va adopter la CNIL à ce sujet, car cette dernière dispose de la possibilité d’effectuer des contrôles en ligne de la conformité des responsables de traitement, sans information préalable de ces derniers.
Pour les sites d’e-commerce, ceux-ci pourraient, par exemple, préciser au sein de leur politique de confidentialité, qu’il y aura une collecte de données qui seront transmises au réseau social, ou encore qu’il y aura deux responsables de traitement des données collectées.
Références :
La décision : Cour de Justice de l’UE, 29 juillet 2019, 2èmechambre : https://www.legalis.net/jurisprudences/cour-de-justice-de-lunion-europeenne-2eme-ch-arret-du-29-juillet-2019/
La réaction du service Presse de la Cour de Justice de l’Union Européenne : https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf
La déclaration de Bitkom, la fédération allemande de consommateurs : https://www.lemonde.fr/pixels/article/2019/07/29/la-cour-de-justice-de-l-ue-encadre-l-usage-du-bouton-j-aime-de-facebook-par-les-sites-web_5494710_4408996.html
Le Règlement Général sur la Protection des données : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
La directive 95/46/CE : https://eur-lex.europa.eu/legal content/FR/TXT/?uri=celex%3A31995L0046
Par Andrea Biagiotti
Découvrez tout l’intérêt de se former avec cette article sur la formation RGPD