Les faits

Le tribunal régional supérieur de Düsseldorf en Allemagne avait saisi la CJUE d’une question préjudicielle dans le cadre d’un litige opposant la société Fashion ID, spécialisée dans la vente de vêtements en ligne, et la Verbraucherzentrale NRW, une association de défense des intérêts des consommateurs, au sujet de l’insertion par Fashion ID, d’un module social de Facebook Ireland Ltd (bouton « J’aime ») sur son site Internet.

Le bouton « J’aime » est un lien vers un contenu externe (une page Facebook), géré par un fournisseur externe (Facebook Ireland Ltd).

L’association avait toutefois été alertée sur le fait que la simple consultation par un internaute du site internet Fashion ID donnait lieu à une transmission automatique à Facebook, par le navigateur internet, de l’adresse IP du visiteur ainsi que de certaines données techniques de navigation, indépendamment de tout clic sur le bouton « J’aime » et de son appartenance ou non à la communauté Facebook.

La Verbraucherzentrale NRW reprochait en conséquence à Fashion ID de manquer à ses obligations de responsable de traitement en transmettant les données des visiteurs de son site à Facebook sans leur consentement, et en manquant à son obligation d’information à leur égard. Fashion ID contestait quant à elle cette qualification, alléguant n’avoir aucun contrôle sur les données transmises et l’usage fait de ces données par Facebook.

La question préjudicielle posée à la CJUE était donc de savoir si Fashion ID peut être considéré comme un responsable de traitement, notamment dans la mesure où Fashion ID ne peut contrôler les données que le navigateur transmet à Facebook, ni ce que Facebook fait ensuite desdites données.

Les faits du litige ayant eu lieu avant l’entrée en vigueur du Règlement Général sur la Protection des Données, la décision a été rendue à la lumière de la directive 95/46.

La décision de la CJUE1

Devant la Cour, Fashion ID a soutenu d’une part que l’action de l’association n’est pas recevable car celle-ci n’a pas qualité pour agir en justice dans le cadre de la directive 95/46, et d’autre part qu’elle ne pouvait être considérée comme responsable du traitement dans la mesure où elle n’avait aucune influence sur les données transmises par le navigateur du visiteur ni sur la façon dont Facebook utilise ces données.

Sur le premier point, la CJUE écarte les arguments de la société au motif que la directive 95/46 ne s’oppose aucunement à ce qu’une règlementation nationale permette aux associations de défense des intérêts de consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. Au contraire, le fait de prévoir une telle possibilité dans la règlementation nationale contribue aux objectifs de la directive européenne.2

Sur le second point, la CJUE rappelle que le droit européen définit de manière large la notion de « responsable de traitement » - l’objectif étant, ici encore, d’assurer « une protection efficace et complète » des personnes concernées. Elle rappelle également que cette notion ne renvoie pas nécessairement à une entité unique, et que la responsabilité conjointe n’implique pas nécessairement que tous les responsables de traitement aient accès aux données, ni qu’ils aient à leur charge une responsabilité équivalente.3

En l’espèce, la Cour observe que Fashion ID savait parfaitement que Facebook utilise le bouton “j’aime” pour collecter les données des visiteurs de son site internet, que ces derniers cliquent ou non Bouton « J’aime » Facebook : le gestionnaire du site et Facebook sont responsables de traitement conjoints sur ce bouton ou qu’ils appartiennent ou non à la communauté Facebook. Ainsi, en faisant le choix de déployer ce module social sur son site internet, Fashion ID avait conscience qu’elle offrait la possibilité à Facebook d’obtenir les données personnelles de l’ensemble des visiteurs de son site.

Selon la Cour, Fashion ID est donc impliquée dans la collecte et la communication des données, deux traitements dont elle détermine, conjointement avec Facebook :

– les moyens4 : en insérant un bouton « J’aime » Facebook sur sa page tout en étant consciente qu’il s’agit d’un moyen de collecter et transmettre les données à Facebook, la Cour souligne que Fashion ID « influe de manière déterminante » sur la collecte et la transmission des données, puisque celles-ci n’auraient pas lieu sans ledit module.5

– les finalités : l’utilisation du bouton « J’aime » par les visiteurs du site confère un avantage économique à Fashion ID en lui permettant d’optimiser la publicité de ses produits qui deviennent plus visibles sur Facebook.

Ainsi, Fashion ID doit être considérée comme responsable de traitement, mais uniquement pour les opérations dont elle détermine effectivement les finalités et les moyens, c’est-à-dire la collecte et la transmission des données à Facebook, et en aucun cas pour les traitements réalisés par Facebook sur les données après leur transmission par Fashion ID.

La Cour souligne que la responsabilité de Fashion ID est encore plus importante pour les visiteurs de son site qui ne sont pas membres du réseau social Facebook car elle influe d’autant plus sur la collecte de leurs données par Facebook.

En pratique

L’affaire, qui reflète l’approche générale adoptée par la CJCE en matière de responsabilité et de responsabilité conjointe, a des implications non seulement pour l’utilisation du fameux bouton "J’aime" de Facebook, mais également pour tous les modules de tiers intégrés sur les sites web afin de collecter des données personnelles. C’est également ce qui ressort des orientations en matière de cookies au Royaume-Uni et en France, récemment mises à jour par l’ICO et la CNIL.6

La base légale du traitement

La décision Fashion ID permet donc d’éclairer les éditeurs des sites internet intégrant un tel module, qui sont donc responsables des traitements de collecte et de transmission des données de leurs visiteurs et doivent s’assurer que ces traitements reposent sur une base légale.

Bien que la Cour laisse le soin à la juridiction de renvoi de décider si le consentement est la base légale obligatoire en l’espèce7, elle indique que lorsque c’est le cas, le consentement doit être recueilli au préalable par le gestionnaire du site internet, pour les opérations dont il est co-responsable. Ceci implique que dès à présent, de nombreux éditeurs de sites internet doivent revoir leur mécanisme de collecte du consentement afin de couvrir un tel usage.

De plus, de nombreux éditeurs se verront obligés de modifier leur politique de protection des données personnelles et/ou leur politique de gestion des cookies afin de fournir aux visiteurs de leur site les informations requises pour lesdites opérations (y compris l’identité des tiers et les finalités de la collecte des données via ce module).

Lorsque le consentement n’est pas obligatoire et que le traitement repose sur la réalisation d’un intérêt légitime, ce sont les intérêts des deux responsables de traitement qui doivent être mis en balance avec les droits et libertés fondamentaux des personnes concernées afin de déterminer s’ils sont légitimes.

L’accord de responsabilité conjointe

Au-delà du fait que la conclusion d’un tel accord est aujourd’hui requise par l’article 26 du RGPD, cet accord est dans l’intérêt des responsables conjoints car il permettra de délimiter les rôles et responsabilités de chacun vis-à-vis du traitement de données personnelles envisagé et d’actionner le cas échéant, les garanties qui seront accordées par l’autre en cas de réclamation ou plainte. En effet, les termes de cet accord ne lient pas les personnes concernées, qui demeurent libres de porter leurs réclamations ou actions à l’encontre de l’un ou l’autre responsable de traitement.

Néanmoins, différents degrés de contrôle peuvent donner lieu à différents degrés de responsabilité, et la responsabilité "solidaire" ne peut pas être assumée dans tous les cas. C’est ce qu’avait déjà rappelé la CJUE dans son arrêt du 5 juin 2018 : « L’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».

Les grandes lignes de cet accord devront par la suite être mises à la disposition des personnes concernées. Il n’est pas spécifié néanmoins si cette mise à disposition doit résulter d’une démarche « proactive » des responsables de traitement auprès des personnes physiques concernées ou si elle peut ne se faire que « sur demande ».

Vous trouverez le texte intégral de la décision ici. : http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=5006458

1. CJUE, 29 juillet 2019, Fashion ID GmbH & Co. KG contre Verbraucherzentrale NRW eV.

2. L’article 80 du RGPD le prévoit expressément aujourd’hui.

3. Voir également sur ce point la décision CJUE, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH.

4. Comme indiqué dans les lignes directrices de l’EDPB, la notion de « moyens » ne couvre pas uniquement les moyens techniques utilisés pour le traitement des données, mais également et surtout les moyens « organisationnels » en lien avec les éléments essentiels du traitement : quelles données seront traitées, quels sont les tiers qui auront accès à ces données, à quel moment les données seront effacées, etc. (Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010).

5. Cette notion d’ « influence » semble déterminante pour la Cour européenne, qui en avait déjà fait l’usage dans la décision Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 dans laquelle elle avait jugé que l’administrateur d’une page « fan » Facebook était responsable conjoint du traitement des données personnelles des membres de cette page, notamment car il « influençait » et « contribuait » la détermination des

moyens et des finalités du traitement des données personnelles des visiteurs de la page fan Facebook.

6. CNIL, Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif). Voir également notre article sur le sujet (en anglais) et notre newsletter TIPs #8 du 30 août 2019.

7. La CJUE décide qu’il appartient à la juridiction de renvoi de vérifier si le fournisseur d’un module social, tel que Facebook, accède à des informations stockées dans l’équipement terminal, au sens de l’article 5.3 de la directive ePrivacy, du visiteur du site Internet, ce qui impliquerait nécessairement le recueil du consentement.