CJUE : plugiciel intégré dans le bouton “j’aime” de Facebook

Selon l’avocat général auprès de la CJUE, le gestionnaire d’un site Internet ayant inséré le plugiciel d’un tiers, tel le bouton « j’aime » de Facebook, qui collecte et transmet des données à caractère personnel de l’utilisateur, est responsable conjointement de cette phase du traitement des données.

Une association allemande de protection des consommateurs a intenté une action à l’encontre d’une société de vente en ligne d’article de mode au motif que l’utilisation du plugiciel sur son site Internet, à savoir le bouton « j’aime » de Facebook, était contraire aux lois sur la protection des données à caractère personnel.
Les juges allemand ont décidé de sursoir à statuer et on demandé à la cour de justice de l’Union européenne d’interpréter plusieurs dispositions de l’ancienne directive de 1995 sur la protection des données, applicable au litige.
Dans ses conclusions du 19 décembre 2018, l’avocat général auprès de la CJUE invite la Cour à constater que la directive ne fait pas obstacle à une réglementation nationale qui habilite des associations d’utilité publique à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données dans le but de défendre les intérêts des consommateurs
Il invite ensuite la Cour à juger qu’en vertu de la directive sur la protection des données, le gestionnaire d’un site Internet ayant inséré un plugiciel d’un tiers dans son site qui collecte et transmet des données à caractère personnel de l’utilisateur, soit considéré comme le responsable conjoint du traitement avec ledit tiers.
Toutefois, il rappelle que la responsabilité de ce responsable du traitement est limitée aux seules opérations pour lesquelles il est effectivement codécideur des finalités et des moyens du traitement des données à caractère personnel.
Sur la légitimité du traitement des données à caractère personnel sans le consentement de l’utilisateur, l’avocat général propose à la Cour de juger que les intérêts légitimes des deux responsables conjoints des traitements en cause doivent être pris en compte et mis en balance au regard des droits des personnes concernées au regard des utilisateurs du site Internet.
Il suggère également qu’il soit jugé que, lorsqu’il est exigé, le consentement de la personne concernée doit être donné au gestionnaire du site Internet qui y a inséré le contenu d’un tiers. De même, l’obligation de fournir à l’utilisateur du site Internet le minimum d’informations requis incombe au gestionnaire de ce site Internet.

– Communiqué de presse de la CJUE du 19 décembre 2018 – « Selon l’avocat général Bobek, le gestionnaire d’un site Internet ayant inséré le plugiciel d’un tiers, tel le bouton ‘j’aime’ de Facebook, qui collecte et transmet des données à caractère personnel de l’utilisateur, est responsable conjointement de cette phase du traitement des données » – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-12/cp180206fr.pdf
– CJUE, conclusions de l’avocat général Michal Bobek, 19 décembre 2018 (affaire C-40/17 – ECLI:EU:C:2018:1039), Fashion ID GmbH & Co. KG c/ Verbraucherzentrale NRW eV — https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-12/cp180206fr.pdf Directive 95/46/CE du parlement européen et du conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (applicable en l’espèce) – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-12/cp180206fr.pdf