RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

par
5
Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD

Sommaire

  1. Les pages Facebook et la collecte d’information
  2. Les administrateurs sont aussi des responsables de traitement
Consulter un avocat spécialisé en RGPD

Depuis le 25 mai 2018, le RGPD — règlement général sur la protection des données — est entré en vigueur au sein de l’Union Européenne. Ce règlement qui a remplacé la directive 95/46/CE consacre de nombreuses règles destinées à protéger les données personnelles des ressortissants européens.
Parmi les exigences consacrées par le RGPD figure l’obligation d’information pour les collectes de données. En effet, le règlement exige qu’avant de collecter les données personnelles d’un client ou visiteur, les responsables de traitement doivent l’informer de la collecte et de ses finalités, et avoir au préalable son consentement.
Si les responsables de sites web s’étaient toujours sentis concernés par la mesure, cela n’a jamais été le cas pour les administrateurs de « Pages Fan » sur Facebook.
Alors qu’elle était récemment saisie dans une affaire relative à la protection de donnée, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la question.

 
powered by Typeform

Les pages Facebook et la collecte d’information

Plus qu’un simple réseau social, Facebook est devenu un outil de promotion à part entière. Grâce à ses « Pages Fan », les professionnels peuvent placer toutes sortes de communications afin de développer une activité commerciale. Nombreuses sont les entreprises qui profitent aujourd’hui des avantages de cette solution pour assurer la promotion de leurs produits et services.

De plus, Facebook a développé un outil, « Facebook Insights », qu’elle met gratuitement à la disposition des administrateurs de « Fan Page ».
Grâce à cet outil, les administrateurs peuvent obtenir des statistiques d’audience élaborés et des informations anonymes sur les utilisateurs ayant visité les fan-pages. Facebook collecte lesdites informations grâce à des cookies avec numéro ID unique qu’il installe sur les appareils des visiteurs et qui reste actif pendant deux ans.
Les administrateurs ont même la possibilité de personnaliser les statistiques du réseau social à l’aide de différents critères — âge, sexe, localisation —, qu’ils peuvent sélectionner. Ils se servent ensuite des données obtenues pour mieux cibler leur communication.

RGPD : l'administrateur de page Fan est-il responsable de traitement ?

Les administrateurs sont aussi des responsables de traitement

Dans l’affaire sur laquelle s’est prononcée la CJUE, l’autorité régionale de protection des données de Schleswig-Holstein, un état allemand, avait ordonné à une société locale disposant d’une fan-page Facebook de la désactiver. La raison ? Les visiteurs n’étaient pas informés de la collecte de leurs données aux fins d’établir des statistiques qui serviront à des publicités ciblées.
La société avait alors refusé de se plier à l’injonction et l’affaire est remontée jusqu’au tribunal administratif supérieur qui a saisi la CJUE. Et pour se prononcer, cette dernière s’est chargée de déterminer le responsable de traitement pour les pages Facebook.
Le RGPD définit en effet le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
En se basant sur cette définition, la cour établit que Facebook était le principal responsable de traitement des données collectées sur une « Page Fan ». En effet, c’est bien lui qui procède à la collecte des données personnelles et à leur exploitation en vue de permettre l’établissement des statistiques qui vont ensuite être exploitées par les administrateurs des pages.
Mais même si la Cour sous-entend que l’administrateur était avant tout un utilisateur, elle n’exclut pas sa responsabilité pour autant. Elle le considère en réalité comme co-responsable de traitement.
En effet, la Cour estime que Facebook n’aurait pas effectué de traitement si l’administrateur n’avait pas décidé de créer et d’exploiter sa page. De plus, bien que les modalités de « Facebook Insights » soient définies par le réseau social, l’administrateur peut influer — comme nous l’avons déjà expliqué — sur la mise en œuvre du traitement, en fonction de la finalité qu’il prévoit.

En définitive, la CJUE a conclu que les administrateurs de « Page Fan » sur Facebook sont responsables de traitement conjointement avec Facebook. De ce fait, ils doivent donc faire face aux obligations prévues par le RGPD en matière de protection de données personnelles.
Bien sûr, la Cour établit que l’étendue de la responsabilité n’est pas le même pour les opérateurs. Bien qu’on parle de « responsabilité conjointe », les responsables peuvent être impliqués dans le traitement à différents degrés. Tout dépend donc des circonstances de l’affaire.

 

 

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier