Sélectionner une page

De nombreuses entreprises ouvrent une page Facebook pour accroître leur visibilité en ligne et stimuler leurs activités de marketing. Mais la Cour de justice de l’Union européenne a statué, dans un arrêt du 5 juin 2018, que si vous êtes dans ce cas, vous pourriez être tenu responsable du traitement des données personnelles de vos visiteurs par… Facebook.

Comment est-ce possible ?

Le traitement des données en question est essentiellement effectué par Facebook en plaçant des cookies sur l’ordinateur ou d’autres dispositifs des personnes visitant votre page de fans.

Facebook traite ensuite les informations stockées dans les cookies pour permettre à l’administrateur de la page d’obtenir des statistiques sur les visites sur la page et améliorer la publicité ciblée.

La cour considère qu’en créant la page Facebook, l’administrateur de la page donne à Facebook la possibilité de placer des cookies sur l’ordinateur ou tout autre dispositif d’une personne visitant sa page (que cette personne possède ou non un compte Facebook) et, en définissant les paramètres de la page et en déterminant les catégories de personnes et données personnelles à traiter par Facebook, l’administrateur contribue au traitement des données personnelles par Facebook.

En définissant les paramètres qui cibleront le public cible, l’administrateur de la page détermine les finalités et les moyens du traitement des données personnelles. L’administrateur doit être considéré, selon la Cour, comme un responsable du traitement des données personnelles, conjointement avec Facebook.

Quelles sont les implications à la lumière du GDPR ?

Cette affaire a été jugée sur la base de l' »ancienne » directive 95/46. La Cour précise que l’existence d’une responsabilité conjointe n’implique pas nécessairement une responsabilité égale des différents opérateurs impliqués dans le traitement des données à caractère personnel.

Toutefois, l’article 26 du GDPR dispose que les responsables du traitement communs « déterminent de manière transparente leurs responsabilités respectives en ce qui concerne le respect des obligations découlant du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée et leurs obligations respectives de fournir les informations visées aux articles 13 et 14, dans le cadre d’un accord entre eux ».

Après GDPR, Facebook et l’administrateur de la page professionnelle devraient s’entendre sur leurs responsabilités respectives et sur la façon dont ils devraient mettre à jour leurs politiques de confidentialité.

Mais comment sera évalué le niveau de responsabilité de chaque contrôleur ? Est-ce que seule l’entente sera prise en considération, laissant Facebook dicter le partage des responsabilités ? Ou bien les tribunaux pourront-ils le déterminer en tenant compte de toutes les circonstances pertinentes ?

Plus important encore, l’article 26, §3 du GDPR stipule que « Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement ».

Avec le jugement de la Cour, l’administrateur d’une page de fan Facebook court maintenant le risque de voir une personne concernée exercer contre elle les droits qu’elle détient sur des données que l’administrateur a aidé Facebook à recueillir et traiter, avec le danger, selon la collaboration de Facebook, de ne pas pouvoir remplir cette obligation.

Qu’en est-il des autres services tels que Google Analytics, Google AdWords, etc. ?

la lumière de l’arrêt de la Cour, qui a aidé un tiers à collecter et à traiter, au moyen de cookies, des données telles que les données démographiques, les centres d’intérêt du public cible, les catégories de biens et de services qui font le plus appel ou les données géographiques, etc., la question se pose de savoir si un administrateur de site web qui utilise – par exemple – Google Analytics pourrait désormais être considéré comme un contrôleur commun avec Google.

L’article 26 du GDPR s’appliquerait alors, l’administrateur du site Web étant désormais responsable du traitement des données à caractère personnel conjointement avec Google.

Conclusion : accord entre les responsables du traitement et mise à jour de la politique de confidentialité

Tous les services similaires aux pages Facebook, où un administrateur de contenu aide une tierce partie à recueillir des données personnelles de personnes déterminées par des paramètres établis par l’administrateur, nécessiteront désormais un accord conjoint des contrôleurs et une mise à jour de la politique de confidentialité.

Il est souhaitable que le rôle et les responsabilités de chaque contrôleur soient clairement définis dans l’entente et expliqués dans les politiques de confidentialité.

Traduit avec www.DeepL.com/Translator