RGPD : les administrateurs de pages Facebook sont responsables du traitement !

La Cour de justice de l’Union européenne vient de rendre une décision encore peu commentée mais très importante à l’heure de l’application du RGPD (Règlement général relatif à la protection des données personnelles). Elle élargit la notion de responsable du traitement dans des proportions qui pourraient affecter tous les utilisateurs.

Rendue le 5 juin 2018 dans le cadre d’une affaire allemande, la décision vise les administrateurs de pages fan hébergées sur Facebook et plus spécifiquement les cookies générés automatiquement pour analyser les données d’utilisation de la page. La CJUE considère que ces administrateurs sont responsables du traitement des données des utilisateurs de la page fan dans les mêmes proportions que l’hébergeur de la page qui est Facebook.

Administrateurs de pages Facebook : RGPD s’applique à vous

Avec l’entrée en vigueur du RGPD, on a vu le patron de Facebook délivrer des discours rassurants et pleins d’enthousiasme sur la conformité de son réseau avec les exigences de transparence et de sécurité en matière de protection des données personnelles. Le réseau aurait fait sa mue et serait en totale adéquation avec les nouvelles obligations liées au RGPD. 

Cela peut paraître rassurant, mais tous les administrateurs de pages fan sur ce réseau devraient se poser des questions car ils sont désormais considérés comme responsables du traitement des données personnelles utilisateurs au même titre que Facebook. La CJUE considère en effet que « la notion de « responsable du traitement » […] englobe l’administrateur d’une page fan hébergée sur un réseau social« . 

Les observateurs remarqueront que cette décision fait référence à la notion de responsable du traitement prévue par la directive de 1995. Mais cette directive vient d’être remplacée par le RGPD et l’on peut déduire sans difficulté que l’interprétation de la CJUE survivra à l’abrogation de la directive de 1995.

Quelles sont les conséquences sur les administrateurs de pages fan sur Facebook ?

Cette reconnaissance de responsabilité pourrait avoir plusieurs conséquences. 

La première est que l’administrateur de page de fan et Facebook pourraient être désignés co-responsables du traitement des données personnelles. Dans ce cas, le RGPD prévoit qu’un document doit partager concrètement entre les responsables les tâches à effectuer pour être conforme au Règlement : à l’heure actuelle aucune démarche de ce type n’est proposée par Facebook. Facebook pourrait, à terme, estimer possible de se décharger petit-à-petit sur les administrateurs des pages de fan. 

La seconde conséquence possible est la responsabilisation de l’administrateur de page de fan qui devra s’assurer que le RGPD est bien respecté par Facebook (on leur souhaite bien du courage, qui a dit Cambridge Analytica ?). Cela signifie aussi que si la société Facebook est un jour reconnue responsable de ne pas avoir respecté le RGPD, la responsabilité pourrait retomber sur l’administrateur de la page fan hébergée sur le réseau qui n’a pas mis en oeuvre toutes les mesures nécessaires à la protection des données personnelles. 

Seule la pratique permettra de confirmer ou d’infirmer ces pistes de réflexion. Toujours est-il que les utilisateurs de Facebook, a fortiori les administrateurs de pages fan, sont invités à la plus grande vigilance.

 

Retrouvez le texte complet de l’arrêt en cliquant sur ce lien

Par ces motifs, la Cour (grande chambre) dit pour droit :

1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

[…]

A propos Leo Guittet 171 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

2 commentaires sur RGPD : les administrateurs de pages Facebook sont responsables du traitement !

  1. Cette article est un incomplet. Quel a été la sentence ? Et si la page fan est une page sans aspect monétaire ?

    Encore un article creux sur le RGPD ?

    • Bonjour Phil,

      La CJUE ne délivre pas de « sentence » comme vous le demandez, mais tranche les litiges relatifs au droit européen. Dans le cas présent, la décision a été rendue le 5 juin 2018, difficile donc pour le juge national de prendre en compte l’interprétation du juge européen et de se prononcer avant l’écriture de notre article le 6 juin 2018.
      Je me permets de préciser également que la décision (à laquelle vous pouvez accéder grâce à des liens placés dans notre article) ne distingue pas les pages fan avec ou sans aspect monétaire. Le seul fait d’en être administrateur donne la qualification de « responsable du traitement ».
      L’impact de la décision en droit national n’est pas encore connu, d’où les suppositions que nous formulons dans la seconde partie de notre article.

      Je vous souhaite une bonne journée,

      Léo Guittet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
La guerre Apple / Samsung s’exporte aux cryptomonnaies

Les deux géants des nouvelles technologies se sont tout deux lancés sur le marché émergeant du moment : les cryptomonnaies....

Fermer