Protection des données personnelles : Facebook obligé de changer sa politique

Cibler précisément le public auquel on souhaite s'adresser lorsque l'on est une entreprise est assez intéressant. Alors, elles sont de plus en plus nombreuses à ouvrir des pages "fan" sur Facebook qui permettent de collecter des données sur les utilisateurs. Seulement, le cas d'une entreprise allemande devrait faire jurisprudence dans le cas de la collecte des données personnelles. 

Nouvelle grosse affaire pour Facebook Ireland Ltd. En 2015 déjà, le représentant du réseau social en Europe avait dû faire face à un recours de 25 000 usagers qui l'accusaient de violer le secret de leurs données personnelles. La plainte avait trouvé un écho auprès du tribunal civil de Vienne. Deux ans plus tard, la société allemande Wirtschaftsakademie Schleswig-Holstein GmbH est accusée à son tour d'avoir utilisé les cookies de Facebook pour recueillir des informations personnelles sur les utilisateurs sans les avertir. 

Des services de formation directement sur Facebook

C'est ce qu'offre la Wirtschaftsakademie via sa page fan hébergée sur le réseau social. Seulement, afin de mieux cibler leurs clients et accessoirement gonfler ses chiffres, l'académie s'est mise à utiliser le "plug-in" Facebook Insight qui permet d'obtenir des statistiques d'audience. Le problème, c'est que ces données, en plus d'analyser vos tendances d'achats, votre utilisation de Facebook mais aussi la langue que vous parlez, comportent aussi des informations plus personnelles. Ainsi, il est possible de voir l'âge et le sexe des utilisateurs, leur style de vie, leur niveau de scolarité ou encore leur statut relationnel. 

Toutes ces informations sont recueillies à l'aide de "cookies", des "petits textes servant à stocker des informations sur les navigateurs" explique le réseau social. Officiellement donc, ils permettent de proposer des contenus ciblés sur vos comptes Facebook. 

Ainsi, si le géant du web est censé informer ses utilisateurs que leurs données peuvent être stockées et étudiées, l'académie allemande n'avertissait pas les utilisateurs qui se rendaient sur sa page de ces démarches.

La CJUE s'empare du dossier 

La cour administrative fédérale d'Allemagne a déposé une demande de décision préjudicielle auprès de la Cour de Justice de l'Union Européenne, afin de définir le rôle des administrateurs des pages "fan" et de savoir ce dont ils sont responsables. 

La Wirtschaftsakademie explique " les opérations de traitement des données par Facebook ne sauraient lui être imputées et qu’elle n’aurait pas non plus chargé Facebook d’effectuer un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. " Autrement dit, c'est directement auprès de Facebook qu'il faudrait se retourner. De son côté, Facebook argue que sa filiale, étant installée en Irlande, ne doit répondre de ses actes que devant une juridiction irlandaise et non allemande. 

Pour la CJUE, la faute est donc partagée entre Facebook et la Wirtschaftsakademie. Ainsi, cette dernière, en utilisant les moyens mis à disposition par le plug-in du réseau social, agissait en connaissant les moyens utilisés par Facebook pour collecter des informations. De même, elle est fautive du fait de ne pas avoir averti ses clients que leurs données seraient collectées. Ensuite, la CJUE estime que la juridiction allemande est bien compétente  pour se prononcer sur ce cas car même si la filiale de Facebook qui s'occupe du traitement des données personnelles est bien installée en Irlande, étant donné qu'une seconde filiale de Facebook possède des locaux en Allemagne, la juridiction allemande est compétente. Qui plus, les victimes de ce système sont pour la plupart allemandes. 

Ceci-dit, aucune sanction n'a pour le moment été prononcée. Chaque pays européen qui sera jugé compétent appliquera, indépendamment des autres, les sanctions qu'il jugera appropriées. Pour ceux qui se poseraient des questions quant à l'intérêt de la décision de la CJUE, il ne s'agit pas d'un coup d'épée dans l'eau. Avec cette décision, le juge européen affirme sa position d'instance suprême, tout en donnant la possibilité aux pays concernés d'agir. Surtout, il définit clairement les obligations d'informations aux consommateurs quant au traitement de leurs données personnelles que doivent respecter les administrateurs des "fan-page". 

" La Wirtschaftsakademie doit, à notre avis, être considérée comme étant responsable conjointe de la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook.  On entend par « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » En tant que concepteurs de ce traitement, c’est bien, à nos yeux, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités.  À la responsabilité conjointe de Facebook Inc. et de Facebook Ireland doit s’ajouter, à notre avis, en ce qui concerne la phase du traitement que constitue la collecte de données à caractère personnel par Facebook, celle d’un administrateur d’une page fan tel que la Wirtschaftsakademie. "

" L’endroit où s’effectue le traitement, de même que l’endroit où le responsable du traitement a établi son siège au sein de l’Union ne sont donc pas déterminants, en cas de présence de plusieurs établissements de ce responsable au sein de l’Union, pour identifier le droit national applicable à un traitement de données et pour conférer à une autorité de contrôle la compétence pour exercer ses pouvoirs d’intervention. Certes, dans la mesure où Facebook a choisi d’installer son siège principal dans l’Union en Irlande, l’autorité de contrôle de cet État membre est amenée à jouer un rôle important pour vérifier si Facebook respecte les règles issues de la directive 95/46. Pour autant, comme cette autorité le reconnaît elle-même, cela ne signifie pas qu’elle dispose, dans le cadre du système actuel fondé sur cette directive, d’une compétence exclusive concernant les activités de Facebook au sein de l’Union. Partant, sur la base des indications fournies par la juridiction de renvoi quant à la nature des activités effectuées par Facebook Germany, il y a lieu de considérer que le traitement de données à caractère personnel litigieux est réalisé dans le cadre des activités de cet établissement et que l’article 4, paragraphe 1, sous a), de la directive 95/46 permet, dans une situation telle que celle en cause au principal, l’application du droit allemand relatif à la protection des données à caractère personnel . L’autorité de contrôle allemande est donc compétente pour appliquer son droit national au traitement de données à caractère personnel en cause au principal. "

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Lire les articles précédents :
10 milliards d’euros pour les entreprises, retour sur l’affaire qui va coûter cher à l’Etat

La taxe sur les dividendes instaurée en 2012, a été invalidée par le Conseil constitutionnel. L'Etat est condamné à rembourser...

Fermer