La Cour de justice de l'Union européenne s'apprête à se prononcer, lundi 29 juillet, sur les obligations auxquelles sont astreintes les sociétés qui recourent aux modules d'extension (plug-in) de réseaux sociaux, comme le bouton « J'aime » de Facebook. Si les juges suivent les conclusions de l'avocat général, ces sociétés pourraient être soumises à un contrôle plus strict.
Le litige (affaire C-40/17) oppose l'association allemande de protection des consommateurs, Verbraucherzentrale NRW, à la société de vente en ligne d’articles de mode, Fashion ID. La première reproche à la seconde de prélever indûment les données à caractère personnel de ses utilisateurs (informations sur leur adresse IP et chaîne de caractères du navigateur), sans les prévenir, ni obtenir leur consentement. En outre, cela permet à Facebook d'installer des témoins de connexion (cookies) sur l'appareil de l'utilisateur.
La Cour de justice est donc interrogée par le tribunal régional supérieur de Düsseldorf (Allemagne), notamment sur le degré de responsabilité de la société Fashion ID et ses obligations en matière d'information et d'obtention du consentement.
Dans ses conclusions, souvent suivies par la Cour, l'avocat général estime que Fashion ID est bel et bien responsable conjointement avec Facebook au regard du droit européen, cette responsabilité étant limitée à la phase de traitement des données qu’elle pratique. L'avocat général, Michal Bobek, ajoute que cette responsabilité « ne saurait déborder sur les phases subséquentes de traitement de données, si celui‑ci échappe à son contrôle et, semble‑t‑il [dans cette affaire NDLR], est réalisé à son insu ». En termes d'obligations, l'avocat général considère qu'il revient à Fashion ID de fournir des informations à l'utilisateur et d'obtenir son consentement avant la collecte et le transfert des données. (Sophie Petitjean)