Le bouton « j’aime » de Facebook permet de réagir à un contenu en ligne. Nombreux sont les sites qui prévoient ce bouton (pages web, réseaux sociaux, blogs, forums). Dans un arrêt récent du 29 juillet dernier, la Cour de justice de l’Union européenne a décidé que ces sites étaient co-responsables, avec Facebook, de la collecte des données personnelles.
Une association de consommateurs allemande reprochait à Fashion ID, un site de vente de vêtements en ligne, de transmettre les données personnelles des visiteurs à Facebook sans leur consentement. En effet, les informations telles que l’adresse IP, étaient transmises à Facebook et ce, indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » ou encore qu’ils aient connaissance d’une telle opération.
Le Tribunal supérieur de Düsseldorf demandait à la Cour de justice d’interpréter les dispositions de la directive de 1995 sur la protection des données, remplacée depuis par le règlement dit « RGPD », entré en vigueur le 25 mai 2018.
La Cour, suivant les conclusions de son avocat général, a considéré que ce site était co-responsable de la collecte et de la transmission des données à Facebook. Toutefois, cette responsabilité ne saurait être étendue aux opérations de traitement des données effectuées par Facebook après leur transmission.
La Cour retient que les opérations de traitement sont effectuées dans l’intérêt économique de Fashion ID (qui optimise sa publicité en améliorant sa visibilité) et de Facebook (qui dispose de ces données à des fins commerciales).
Il en résulte une obligation, pour Fashion ID, de fournir, au moment de la collecte, certaines informations à ses visiteurs, comme son identité et les finalités du traitement et celle de recueillir le consentement de l’utilisateur au préalable uniquement pour les opérations dont il est co-responsable, à savoir la collecte et la transmission des données.
La coresponsabilité implique, théoriquement, la conclusion d’un contrat entre les deux responsables. Toutefois, indépendamment des termes de l’accord ou de l’existence même d’un contrat, l’utilisateur pourra exercer les droits que lui confère le règlement RGPD contre chacun d’eux.
La portée de cet arrêt semble se limiter aux sociétés « telles que Fashion ID ». Bien que la Cour ne définisse pas les sociétés qu’elle vise, il semblerait que les sociétés marchandes soient concernées.
La Cour s’était déjà prononcée, dans un même sens, le 5 juin 2018, à l’égard de l’administrateur d’une page « Fan » sur Facebook.
Ainsi, la Cour ne perd pas une occasion pour rappeler aux gestionnaires de pages contenant le bouton « j’aime » qu’ils ne peuvent pas profiter des avantages de ce module social sans assumer une part de responsabilité.
Face à ces obligations plus contraignantes, il y a fort à parier que les pouces levés soient en berne dans les mois à venir.