Un responsable de traitement n’est pas seulement celui qui met en place et organise ce traitement, il tient également un rôle essentiel dans la protection des données utilisées. L’entrée en vigueur du RGPD (Règlement européen relatif à la protection des données) apporte quelques modifications concernant le statut de ces responsables en leur donnant des obligations élargies pour veiller à cette protection. L’affaire en cause porte sur l’administrateur d’une page Facebook utilisant un outil de traitement de données personnelles. Il s’agit alors de définir précisément les contours de la notion de responsable de traitement afin de savoir si cet administrateur entre dans le cadre de la définition. Les conclusions rendues par l’avocat général permettent de constater une évolution de cette notion qui doit, selon lui, être élargie.

Responsable de traitement : un statut important imposant de nombreuses obligations

L’affaire Wirtschaftsakademie pose la question de savoir jusqu’où la définition de « responsable de traitement » peut être étendue. Avant de répondre à cette question, il faut analyser son champ d’application.

La notion de « traitement de données personnelles » désigne toutes les opérations ou ensemble d’opérations portant sur des données relatives à des personnes physiques ; il peut s’agir de l’enregistrement, la conservation ou l’organisation par exemple. Cette définition est donnée par la « loi informatique, fichiers et liberté » de 1978 modifiée en 2004. Il faut alors définir ce qu’est une donnée personnelle car il s’agit ici du traitement de ces données en particulier. La loi définit une donnée à caractère personnel comme une donnée permettant d’identifier directement ou indirectement une personne physique. Beaucoup de données peuvent entrer dans le champ de cette définition, comme un numéro de sécurité sociale ou une plaque d’immatriculation qui permet d’identifier une personne physique. Il en va de même avec les traitements qui sont effectués de ces données, ils sont nombreux et sont présents au quotidien ; la création d’un dossier dans une salle de sport, toute sorte de fichier client etc. Ces données qui se rapportent à des personnes physiques vont être protégées et la personne en charge de cette protection sera le responsable de traitement.

La notion de « responsable de traitement » ne sera pas directement définie dans l’ancienne loi de 1978, mais elle le sera grâce à la transposition de la directive de 24 octobre 1995 qui vient protéger les personnes physiques face aux traitements. Selon la loi, ce responsable de traitement est « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités (du traitement) et ses moyens ». Il s’agit donc de la personne prenant l’initiative du traitement et qui va définir dans quel but celui-ci est effectué. A ce titre il aura des obligations face à ce traitement qui devra être encadré et les données utilisées devront être sécurisées. Le fait de réaliser ce genre de traitement n’est pas anodin, celui qui en définira les tenants et aboutissants doit connaitre les risques et tout mettre en œuvre afin de rester dans le cadre de la loi. La seule exception à cette responsabilité est la situation dans laquelle le traitement sera effectué pour une activité exclusivement personnelle ou domestique. Seule cette situation n’entre pas dans le cadre de la loi et n’implique pas une protection particulière.

Plusieurs obligations incombent donc à ce responsable de traitement, elles portent sur la finalité du traitement, la protection des données ou l’information. En effet il est nécessaire de recueillir le consentement de la personne dont les données sont traitées. Le responsable de traitement doit également être transparent avec ces personnes concernant son identité ou la finalité de son traitement. De plus, ces données devront être exactes, complètes et mises à jour. Il s’agit également de respecter la finalité de ce traitement donc ne s’en tenir qu’à l’objectif fixé avant la mise en place de celui-ci. Cela implique que les informations collectées doivent être en lien avec cet objectif. La protection de ces données est également un point essentiel que le responsable de traitement doit respecter. Cette protection passe par la non divulgation des informations collectées, seules les personnes autorisées pourront accéder à ces informations. Enfin, une déclaration doit être faite auprès de la CNIL de l’existence d’un tel traitement.

Toutes ces obligations sont essentielles et permettent au responsable de traitement d’effectuer celui-ci dans le respect de la loi et des personnes concernées. C’est en cela que l’affaire Wirtschaftsakademie est intéressante en ce qu’elle permet de s’interroger sur l’étendue de la définition du responsable de traitement afin de savoir si celui-ci sera ou non soumis à la loi et donc aux obligations qui en découle.

L’affaire Wirtschaftsakademie : vers une interprétation large de la notion de responsable de traitement ?

L’affaire en cause concerne l’administrateur d’une page Facebook. La Wirtschaftsakademie offre des services de formation à travers une « page fan » sur le site Facebook. Sur ce site un outil est mis à la disposition des utilisateurs ayant créé une « page fan » il s’agit du « Facebook Insights ». Cet outil permet d’obtenir des statistiques d’audience. Afin de configurer cet outil, l’administrateur doit entrer certains critères (concernant l’âge ou le sexe) qui permettront d’avoir des précisions concernant les visiteurs du site. L’objectif  du centre de formation sera d’utiliser ces statistiques afin de mieux cibler sa communication en connaissant les habitudes des personnes ayant consulté la page. Afin d’obtenir cela, un cookie comportant un numéro ID unique est sauvegardé par Facebook sur le disque dur de la personne qui consulte la page fan. En d’autres termes, des informations relatives aux données de connexions des utilisateurs sont collectées et traitées afin d’établir des statistiques d’audience selon certains critères. Un problème s’est alors posé au niveau de cette collecte car aucun visiteur n’avait été informé du recueil de ces informations. Les données de connexion d’un utilisateur Facebook sont des données à caractère personnel en ce qu’elles permettent d’identifier directement la personne physique liée à ces données. En l’espèce il y a donc eu un traitement de données effectué hors du cadre de la loi car le consentement des personnes concernées n’a pas été recueilli.

Dans un premier temps, il y a lieu de penser que la personne responsable de ce traitement est le site Facebook lui-même car il met à disposition cet outil de statistiques permettant de collecter les données. C’est cette conclusion qui a été donnée par la Wirtschaftsakademie lorsque les autorités allemandes ont ordonné la fermeture de la page Facebook au motif que les visiteurs n’étaient pas informés sur cette collecte de données. Lorsque l’affaire est menée devant le tribunal administratif, les juges donnent raison à la Wirtschaftsakademie concernant la responsabilité des données traitées, ils indiquent que « l’administrateur d’une page fan sur Facebook n’est pas un organisme responsable ». Lorsque la Cour administrative fédérale est saisie elle pose à la Cour de justice de l’Union européenne quelques questions préjudicielles dont celle qui est intéressante ici et qui porte sur la qualification de responsable de traitement.

Afin de savoir à qui reprocher le non-respect de la loi dans la mise en œuvre du traitement, encore faut-il savoir qui doit être qualifié de responsable de traitement dans une telle situation. C’est pourquoi les juges de la Cour doivent se pencher sur cette notion et apporter une réponse à la question suivante; l’administrateur d’une page Facebook peut-il être considéré comme un responsable de traitement ? Dans la loi, le responsable de traitement est celui qui porte la décision de mise en place de celui-ci en définissant notamment son objet, sa finalité et les moyens permettant de le mettre en œuvre. Il joue un rôle fondamental car il doit s’assurer que ce traitement respecte la loi et les droits des personnes qu’il vise, ce qui n’a pas été le cas le cas en l’espèce. L’importance de ce rôle est rappelée dans l’arrêt Google Spain de 2014 qui indique que le responsable de traitement doit s’assurer que le traitement de données qu’il met en œuvre respecte les exigences de la directive 95/46 afin que « les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées » soit mise en œuvre. C’est sur cette définition du responsable de traitement que se fonde l’avocat général de la Cour lorsqu’il rend ses conclusions concernant cette affaire.

Il commence tout d’abord par se référer à la définition du responsable de traitement donnée par la loi en indiquant que celui-ci définit les finalités et les moyens du traitement seul ou conjointement. C’est le terme « conjointement » qui est important ici en ce qu’il permet au juge de ne pas écarter directement la responsabilité de la Wirtschaftsakademie. Bien que Facebook soit un responsable de traitement, il faut considérer que l’administrateur de la page fan est responsable conjointement de ce traitement. Afin d’arriver à cette conclusion, l’avocat général de la cour commence par vérifier si « cet administrateur exerce une influence de droit ou de fait sur ces finalités et ces moyens ». En prenant la décision de créer cette page et d’exploiter l’outil de statistiques, bien qu’il n’en soit pas le créateur, l’administrateur de la page intervient directement dans les finalités et les moyens mis en œuvre pour le traitement. De plus, le pouvoir de faire cesser ce traitement est détenu par l’administrateur qui pourrait choisir de fermer cette page afin de ne plus récolter les données des visiteurs. D’autre part, la Wirtschaftsakademie exerce une influence directe sur la mise en œuvre de ce traitement et elle a la possibilité de définir les critères qui seront utilisés pour établir les statistiques d’audience. Il y a une identification du public dont les données doivent être récoltées et traitées. C’est bien l’administrateur de la page qui a défini ces critères.

Selon l’avocat de la Cour, l’interprétation large de la notion de responsable de traitement est nécessaire en ce qu’elle permet d’éviter certains abus. En effet il indique que dans le cas où une entreprise aurait recours à un tiers elle pourrait alors se soustraire à ses obligations concernant la protection des données à caractère personnel. Somme toute, il faut banaliser la distinction qui pourrait être faite entre une entreprise qui adhère au réseau Facebook et utilise les outils disponibles sur cette plateforme ou une entreprise qui génère elle-même ces outils. L’objectif étant que toutes les entreprises se soumettent de la même manière aux obligations de protection des données. Il faut préciser tout de même que, bien que chacun soit responsable, la responsabilité ne sera pas la même. Pour revenir à la Wirtschaftsakademie, l’avocat indique que si celle-ci n’avait pas créé une page fan sur Facebook mais avait ouvert un site Internet et crée un outil similaire à « Facebook Insights », elle aurait été considérée comme responsable de traitement. C’est pourquoi dans la présente affaire elle doit également se voir reconnaître ce statut afin d’offrir une protection élargie aux personnes dont les données sont collectées.

Le module « Like » comme argument en faveur de l’élargissement de la définition

Dans son rapport, l’avocat de la Cour évoque également l’aspect du « module social ». Il s’agit d’une partie d’un site web qui comporte une fonction précise. En l’espèce il s’agit du bouton « Like » ou « J’aime » sur Facebook. L’avocat de la Cour s’appuie sur une autre affaire en cours appelée « Fashion ID (C-40/17) » dans laquelle une société a inséré dans son site web le module « j’aime ». Lorsque ce module est utilisé par un visiteur du site, cela entraine alors une transmission de données à caractère personnel de l’ordinateur de l’utilisateur du site web au fournisseur externe qui est Facebook. La société permet donc indirectement à Facebook d’accéder aux données des utilisateurs de son site web sans avoir recueilli leur consentement préalable. L’avocat général de la Cour fait un lien avec l’affaire « Wirtschaftsakademie » car il y a peu de différence entre l’administrateur d’une page Facebook et l’exploitant d’un site web dans le cas où ils ont tous deux effectué une récolte de données à l’insu des utilisateurs. La même question se pose dans l’affaire Fashion ID pour savoir si la société peut être qualifiée de responsable de traitement. Afin de donner un avis sur la question, l’avocat précise que lorsque l’administrateur d’une page ou d’un site web exerce une influence de fait sur le traitement alors il faut le qualifier de responsable du traitement également.

Au vue de tous ces éléments, l’avocat de la Cour conclut qu’une définition élargie du responsable de traitement est nécessaire. En effet il s’agit de responsabiliser même les administrateurs de page sur Facebook dès lors que ceux-ci exercent une influence sur le traitement de données à caractère personnel. Il n’est pas nécessaire de disposer d’un pouvoir de contrôle complet sur les aspects du traitement pour en être le responsable, cette interprétation entraînerait des difficultés en matière de protection des données personnelles. Avec l’entrée en vigueur du RGPD (Règlement pour la protection des données personnelles), le responsable de traitement tient un rôle important et voit ses responsabilités accrues. L’issue de cette décision permettra de savoir si la définition pourra être interprétée largement, auquel cas des obligations incomberont même à des administrateurs de page Facebook quand un traitement de données est effectué.

SOURCES :

REES (M.), « Données personnelles : la responsabilité d’une société face à sa page « Fan » sur Facebook », NextImpact, 24 octobre 2017. https://www.nextinpact.com/news/105475-donnees-personnelles-responsabilite-dune-societe-face-a-sa-page-fan-sur-facebook.htm

BOT (Y.), CONCLUSIONS DE L’AVOCAT GÉNÉRAL M. YVES BOT, le 24 octobre 2017, 1 Affaire C-210/16 « Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH », en présence de Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht. https://cdn2.nextinpact.com/medias/c_210_16.pdf