Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

Maxime Wagner
Maxime Wagner Co-fondateur de Captain Contrat. Diplômé de Centrale Lille et l'ESSEC. Relu par Pierre-Florian Dumez, Diplômé en droit

Depuis le 25 mai 2018, le RGPD — règlement général sur la protection des données — est entré en vigueur au sein de l’Union Européenne. Ce règlement qui a remplacé la directive 95/46/CE consacre de nombreuses règles destinées à protéger les données personnelles des ressortissants européens.
Parmi les exigences consacrées par le RGPD figure l’obligation d’information pour les collectes de données. En effet, le règlement exige qu’avant de collecter les données personnelles d’un client ou visiteur, les responsables de traitement doivent l’informer de la collecte et de ses finalités, et avoir au préalable son consentement.
Si les responsables de sites web s’étaient toujours sentis concernés par la mesure, cela n’a jamais été le cas pour les administrateurs de « Pages Fan » sur Facebook.
Alors qu’elle était récemment saisie dans une affaire relative à la protection de donnée, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la question.

 

 

Les pages Facebook et la collecte d’information

Plus qu’un simple réseau social, Facebook est devenu un outil de promotion à part entière. Grâce à ses « Pages Fan », les professionnels peuvent placer toutes sortes de communications afin de développer une activité commerciale. Nombreuses sont les entreprises qui profitent aujourd’hui des avantages de cette solution pour assurer la promotion de leurs produits et services.

De plus, Facebook a développé un outil, « Facebook Insights », qu’elle met gratuitement à la disposition des administrateurs de « Fan Page ».
Grâce à cet outil, les administrateurs peuvent obtenir des statistiques d’audience élaborés et des informations anonymes sur les utilisateurs ayant visité les fan-pages. Facebook collecte lesdites informations grâce à des cookies avec numéro ID unique qu’il installe sur les appareils des visiteurs et qui reste actif pendant deux ans.
Les administrateurs ont même la possibilité de personnaliser les statistiques du réseau social à l’aide de différents critères — âge, sexe, localisation —, qu’ils peuvent sélectionner. Ils se servent ensuite des données obtenues pour mieux cibler leur communication.

RGPD : l'administrateur de page Fan est-il responsable de traitement ?

Les administrateurs sont aussi des responsables de traitement

Dans l’affaire sur laquelle s’est prononcée la CJUE, l’autorité régionale de protection des données de Schleswig-Holstein, un état allemand, avait ordonné à une société locale disposant d’une fan-page Facebook de la désactiver. La raison ? Les visiteurs n’étaient pas informés de la collecte de leurs données aux fins d’établir des statistiques qui serviront à des publicités ciblées.
La société avait alors refusé de se plier à l’injonction et l’affaire est remontée jusqu’au tribunal administratif supérieur qui a saisi la CJUE. Et pour se prononcer, cette dernière s’est chargée de déterminer le responsable de traitement pour les pages Facebook.
Le RGPD définit en effet le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
En se basant sur cette définition, la cour établit que Facebook était le principal responsable de traitement des données collectées sur une « Page Fan ». En effet, c’est bien lui qui procède à la collecte des données personnelles et à leur exploitation en vue de permettre l’établissement des statistiques qui vont ensuite être exploitées par les administrateurs des pages.
Mais même si la Cour sous-entend que l’administrateur était avant tout un utilisateur, elle n’exclut pas sa responsabilité pour autant. Elle le considère en réalité comme co-responsable de traitement.
En effet, la Cour estime que Facebook n’aurait pas effectué de traitement si l’administrateur n’avait pas décidé de créer et d’exploiter sa page. De plus, bien que les modalités de « Facebook Insights » soient définies par le réseau social, l’administrateur peut influer — comme nous l’avons déjà expliqué — sur la mise en œuvre du traitement, en fonction de la finalité qu’il prévoit.

En définitive, la CJUE a conclu que les administrateurs de « Page Fan » sur Facebook sont responsables de traitement conjointement avec Facebook. De ce fait, ils doivent donc faire face aux obligations prévues par le RGPD en matière de protection de données personnelles.
Bien sûr, la Cour établit que l’étendue de la responsabilité n’est pas le même pour les opérateurs. Bien qu’on parle de « responsabilité conjointe », les responsables peuvent être impliqués dans le traitement à différents degrés. Tout dépend donc des circonstances de l’affaire.

 

 

 

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Besoin de conseils juridiques ?
Je consulte un avocat
Maxime Wagner
Ecrit par Maxime Wagner
Maxime Wagner est diplômé de Centrale Lille et d'un MBA à l'ESSEC. Il démarre sa carrière dans la distribution, où il s'intéresse aux méthodes de management et d'organisation ainsi qu'aux problématiques d'innovation. Fin 2012, il quitte Carrefour et lance, avec Philippe, Captain Contrat. Son objectif : lancer une start-up à impact positif sur la société et dans laquelle chacun est heureux de travailler.

Ces articles pourraient également vous intéresser

Le principe de coresponsabilité en RGPD
5 min
Le principe de coresponsabilité en RGPD
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
Infographie : les étapes pour être conforme avec le RGPD
3 min
Infographie : les étapes pour être conforme avec le RGPD
Conformité avec le RGPD : 4 actions à mettre en place !
3 min
Conformité avec le RGPD : 4 actions à mettre en place !
Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?
Sous traitants et RGPD : comment être conforme ?
5 min
Sous traitants et RGPD : comment être conforme ?