Le gestionnaire d'un site Internet ayant inséré le bouton 'J'aime' de Facebook est responsable conjointement de la phase de collecte et de traitement des données personnelles transmises au géant américain, a estimé l'avocat général Michal Bobek dans des conclusions rendues mercredi 19 décembre (affaire C-40/17).
La société Fashion ID, qui vend des articles de mode en ligne, a intégré sur son site Internet le bouton 'J'aime' de Facebook. Lorsqu'un utilisateur se rend sur le site de la société, des informations sur son adresse IP et la chaîne de caractères de son navigateur sont transmises automatiquement à Facebook même s'il ne clique pas sur le bouton et s'il ne dispose pas d'un compte Facebook.
Saisie par l'association allemande Verbraucherzentrale NRW de protection des consommateurs, la justice allemande demande à la Cour de justice de l'UE d'interpréter plusieurs dispositions de la directive (95/46) sur la protection des données personnelles qui s'applique à cette affaire, bien qu'elle ait été abrogée depuis par le règlement général 'GDPR' (2016/679).
Dans ses conclusions, l'avocat général invite la Cour à juger qu'en vertu de la directive, le gestionnaire d'un site Internet ayant inséré un plugiciel (comme le bouton 'J'aime' de Facebook), qui collecte et transmet des données personnelles d'un utilisateur, est responsable conjointement du traitement de ces données.
Cette responsabilité conjointe est limitée aux seules opérations pour lesquelles il est effectivement codécideur des finalités et des moyens du traitement des données personnelles. Elle n'inclut pas les autres phases, antérieures ou postérieures, de la chaîne de traitement pour lesquelles le gestionnaire d'un site ne détermine ni les finalités ni les moyens du traitement des données.
D'après M. Bobek, sous réserve de vérification, il semble que Fashion ID et Facebook Ireland soient conjointement responsables de la phase de collecte et de transmission des données des utilisateurs du site de vente d'articles de mode du fait de la finalité commerciale qui unit les deux sociétés.
L’avocat général rappelle que le traitement des données personnelles sans le consentement des utilisateurs est possible si trois conditions sont réunies : - la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées ; - la nécessité du traitement des données pour la réalisation de l’intérêt légitime poursuivi, et ; - la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.
Sur ce point, l’avocat général propose à la Cour de juger que les intérêts légitimes de Fashion ID et Facebook Ireland doivent être mis en balance au regard des droits des utilisateurs du site Internet. Le cas échéant, ces utilisateurs devront donner leur consentement explicite au gestionnaire du site Internet, qui aura l’obligation de les informer sur l'utilisation de leurs données. (Mathieu Bion)