CJUE : le bouton "j’aime" de Facebook et les données personnelles
Le gestionnaire d’un site internet équipé du bouton "j’aime" de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à ce dernier des données à caractère personnel des visiteurs de son site.
Le gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à ce dernier des données à caractère personnel des visiteurs de son site.
Une association allemande de protection des consommateurs a intenté une action à l’encontre d’une société de vente en ligne de vêtements qui a inséré sur son site Internet le bouton « j’aime » de Facebook. Elle lui reproche d’avoir transmis à Facebook des données à caractère personnel des visiteurs de son site sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.
Saisi du litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) a demandé à la Cour de justice de l’Union européenne (CJUE) d’interpréter plusieurs dispositions de la directive de 1995 sur la protection des données (abrogé par le règlement général sur la protection des données mais qui demeure applicable à cette affaire).
Dans son arrêt rendu le 29 juillet 2019, la CJUE considère que la société de vente en ligne, gestionnaire de site internet, peut être considérée comme étant responsable conjointement avec Facebook Ireland des opérations de collecte et de communication par transmission à Facebook des données en cause, dès lors qu’il peut être que les deux entreprises en déterminent, conjointement, les moyens et les finalités.
La Cour souligne que le gestionnaire d’un site internet, en tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook, doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.
Enfin, la Cour apporte des précisions à deux des six cas de traitement licite de données à caractère personnel, prévus par la directive :- dans le cas où la personne concernée a donné son consentement, le gestionnaire du site doit recueillir ce consentement au préalable (uniquement) pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données ;- dans les cas où le traitement de données est nécessaire à la réalisation d’un intérêt légitime, chacun des (co)responsables du traitement, à savoir le gestionnaire du site et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.
– Communiqué de presse n° 99/19 de la CJUE du 29 juillet 2019 – “Le gestionnaire d’un site Internet équipé du bouton ‘j’aime’ de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site” – https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf
– CJUE, 2ème chambre, 9 juillet 2019 (affaire C-40/17 – ECLI:EU:C:2019:629), Fashion ID GmbH & Co. KG c/ Verbraucherzentrale NRW eV – https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf
– Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (applicable en l’espèce) – https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf