Veille Juridique – septembre 2019.

C’est ainsi le cas lorsque l’on installe un simple plug-in sur son site internet, même si l’on n’a pas accès soi-même aux données collectées par ce biais.

Un récent arrêt de la Cour de Justice de l’Union Européenne, connu sous le nom de « Fashion ID »  , vient confirmer ce constat en précisant la responsabilité des gestionnaires de sites internet qui insèrent une icône Facebook « j’aime/like » sur leur page.

L’insertion de ce simple plug-in peut ainsi avoir pour conséquence de rendre le gestionnaire du site conjointement responsable de traitement avec le réseau social qui collecte ces données.

D’un point de vue technique, la simple insertion d’un plug-in sur une page web permet en effet la communication automatique des données de connexion des visiteurs de cette page au réseau social concerné, que les visiteurs cliquent ou non sur l’icône du plug-in. Dans le cas d’espèce, les données des visiteurs du site Fashion ID, une entreprise allemande de vente de vêtements de mode en ligne, étaient ainsi systématiquement transmises à Facebook. C’est ce qui se passe en réalité pour de très nombreux sites internet aujourd’hui, qu’il s’agisse de vente en ligne, de sites d’information ou de blogs. Et le raisonnement qui vise Facebook dans le cas d’espèce peut être étendu à tout réseau social ou autre entité utilisant la même technologie.

La Cour de Justice précise que le fait que le gestionnaire du site n’ait pas accès aux données ainsi transmises n’enlève rien à sa responsabilité. Le fait qu’il détermine, conjointement avec Facebook, les finalités et les moyens du traitement reste l’élément déterminant. La Cour déduit la possible co-responsabilité du site et de Facebook des avantages économiques mutuels qu’ils retirent de cette coopération : pour Facebook, l’enrichissement de sa base de données, et pour le gestionnaire de site, une optimisation de la publicité pour ses produits sur le réseau social Facebook dès qu’un visiteur clique sur l’icône « j’aime ».

La Cour précise que les responsabilités et les obligations légales varient en fonction des différents aspects du traitement : en l’occurrence, Fashion ID ne peut être tenu responsable de la façon dont Facebook traitera ultérieurement les données. Facebook doit d’ailleurs prévoir une base légale spécifique pour ce traitement. En revanche, le gestionnaire du site Internet a l’obligation d’informer et d’obtenir de façon distincte le consentement de ses visiteurs en ce qui concerne la collecte et la transmission de ces données au réseau social.

On retient de cet arrêt important plusieurs enseignements. Il est ainsi conseillé de :

• Vérifier systématiquement les conditions d’utilisation de plug-ins sur son site internet, et les conditions éventuelles de transmission de données à des tiers,
• Contrôler les clauses de responsabilité dans les contrats avec ces tiers ;
• Informer les visiteurs de façon spécifique quant à cette collecte et obtenir leur consentement distinct.

Ces précautions sont d’autant plus d’actualité que la CNIL a précisé récemment les conditions strictes d’obtention du consentement au regard du ciblage publicitaire en ligne, et a annoncé concentrer ses activités de contrôle en 2019 sur les questions de répartition des responsabilités entre les différents acteurs traitant des données à caractère personnel. 

Ces questions font également l’objet de travaux au niveau européen. L’EDPB, qui regroupe les CNILs de l’Union européenne, a entamé des discussions impliquant différentes organisations sectorielles pour actualiser l’avis de référence des autorités de contrôle sur l’identification et le rôle des responsables, des co-responsables de traitement et des sous-traitants.

Et aussi :

• en Europe :

Brexit :

Quelles seraient les conditions de transfert de données vers le Royaume-Uni si ce pays devait quitter l’Union Européenne sans accord? L’EDPB a publié une note début 2019 qui détaille les conditions et les différentes bases légales applicables. L’autorité de protection des données britannique répond également à de nombreuses questions sur son site officiel.

Biométrie :

L’autorité suédoise de protection des données a adopté le 21 août sa première sanction dans le cadre du RGPD. Une amende de 20 000 euros a été infligée à une école pour mise en œuvre d’un système de reconnaissance faciale des élèves en violation de plusieurs principes du RGPD: caractère non valide du consentement obtenu, données biométriques sensibles, absence d’analyse d’impact préalable et absence de consultation de l’autorité de protection des données.

Cloud et protection des données :

La perspective d’un cloud européen aux règles harmonisées se rapproche. Le 29 août a eu lieu à La Haye la première réunion des acteurs du secteur public et privé, au niveau européen et international.

• dans le monde :

Preuves électroniques :

Les conditions dans lesquelles les autorités judiciaires peuvent avoir accès aux preuves électroniques (‘e-evidence’) détenues par les entreprises est l’objet de développements en Europe et au niveau international. L’objectif est d’harmoniser ces règles en Europe mais également d’arriver à un accord avec les Etats-Unis sur les conditions d’accès à ces données, dans le cadre de la lutte contre la criminalité. En vertu du « Cloud Act » américain, les Etats-Unis ont depuis mars 2018 accès aux données des entreprises américaines basées en Europe. L’objectif est de parvenir à un accord sur ces conditions d’accès de part et d’autre de l’Atlantique, dans le respect des règles de protection des données.

Norme ISO :

La nouvelle norme ISO/IEC/27701 a été publiée début août. Il s’agit d’une extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée, qui prend également en considération le prescrit du RGPD.

1 L’arrêt fait application de la Directive 95/46/CE, abrogée depuis par le Règlement (UE) 2016/679 ou RGPD. Les dispositions concernant la (co)responsabilité sont toutefois restées identiques dans le nouveau Règlement.