Directive 95/46 : Interprétation de la notion de responsable de traitement

L’administrateur d’une plateforme mise en place par un réseau social, opérant un traitement de données en dehors d’un cadre personnel, est un responsable de traitement soumis aux obligations de la directive 95/46 et désormais du RGPD.

Ce qu’il faut retenir : L’administrateur d’une plateforme mise en place par un réseau social, opérant un traitement de données en dehors d’un cadre personnel, est un responsable de traitement soumis aux obligations de la directive 95/46 et désormais du Règlement général sur la protection des données.

Pour mémoire : La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces donnée,s constituait le texte de référence en matière de protection des données à caractère personnel.

Cette directive a été abrogée au 25 mai 2018 par le Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « Règlement »).

Pour approfondir : Une société allemande, Wirtschafttsakademie (« la Société »), spécialisée dans le domaine de l’éducation, assurait la promotion de services de formation au moyen d’une page fan hébergée sur Facebook. En tant qu’administrateur de la page, la Société pouvait obtenir des données statistiques anonymes sur les visiteurs de sa page grâce à une fonction mise à la disposition des administrateurs par Facebook, « Facebook Insight ». Les données étaient collectées grâce à des cookies comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook. Le code utilisateur pouvait être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, était collecté et traité au moment de l’ouverture de la page fan.

L’Autorité régionale indépendante de protection des données du Land Schleswig-Holstein en Allemagne (« l’Autorité »), était chargée, par l’article 28 paragraphe 1 de la directive 95/46, de « surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive ». L’Autorité a été saisie et a ordonné à la société de procéder à la désactivation de la page au motif que ni la Société, ni Facebook n’avaient informé les visiteurs de la page que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.

La Société a contesté cette décision devant le Tribunal administratif allemand en faisant valoir que le traitement des données personnelles effectué par Facebook ne pouvait lui être imputé et qu’elle n’avait pas non plus chargé Facebook de procéder à un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. Elle a soutenu que l’Autorité aurait dû agir directement contre Facebook et non contre elle.

Par un arrêt rendu le 9 octobre 2013, le Tribunal administratif a accueilli la demande de la Société. Elle a retenu que l’administrateur d’une page fan sur Facebook n’était pas un organisme responsable.

L’Autorité de protection des données a interjeté appel de cette décision auprès de la Cour administrative fédérale allemande qui a posé deux questions à la Cour de justice afin qu’elle interprète la directive 95/46 sur la protection des données.

Dans un premier temps, la Cour de justice a rappelé que la société américaine Facebook et sa filiale irlandaise Facebook (Facebook Ireland) devaient être regardées comme étant « responsables du traitement » des données à caractère personnel des utilisateurs du réseau social ainsi que celles des visiteurs. Elle a souligné le fait que ces sociétés déterminaient les finalités et les moyens du traitement de ces données à titre principal.

La Cour s’est donc interrogée sur la contribution de la Société quant aux finalités et aux moyens d’un tel traitement.

Elle a noté que l’administrateur de la page fan pouvait demander l’obtention de données démographiques concernant son audience cible, d’informations sur le style de vie et les centres d’intérêt de son audience cible, et de données géographiques afin de cibler au mieux son offre d’information.

Elle a constaté qu’à raison d’un tel ciblage, cet administrateur participait à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan, conjointement avec Facebook Ireland. De ce fait, la Société a été qualifiée de responsable au sens de de la directive 95/46.

La Cour a jugé que le fait pour un tel administrateur d’utiliser la plateforme mise en place par Facebook ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.

Par cet arrêt, on assiste à un élargissement de la qualification liée à la notion responsable de traitement. Par la reconnaissance d’une responsabilité conjointe, l’objectif premier de la Cour a été « d’assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan ».

Dans un second temps, la Cour a jugé que l’Autorité était compétente pour assurer le respect des règles y afférentes tant à l’égard de la Société que de la société Facebook Germany et ce, même si la société mère ou filiale en charge du traitement demeurent dans un pays tiers ou dans un autre pays de l’Union.

Lorsqu’une entreprise établie en dehors de l’Union (en l’espèce, la société américaine Facebook) détient plusieurs établissements dans différents Etats membres, l’autorité de contrôle d’un Etat membre (en l’espèce, l’Autorité) est habilitée à exercer les pouvoirs que lui confère l’article 28 paragraphe 3 de la directive 95/46, à l’égard d‘un établissement de cette entreprise situé sur le territoire de cet Etat membre (en l’espèce, la Société) ; quand bien même cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire de l’Etat membre en question et que la responsabilité exclusive de la collecte et du traitement des données personnelles incombe pour l’ensemble du territoire de l’union, à un établissement situé dans un autre Etat membre (en l’espèce, Facebook Ireland).

L’Autorité était compétente pour procéder au contrôle de la légalité d’un tel traitement de données de manière autonome par rapport à l’autorité de l’Irlande. L’Autorité pouvait exercer ses pouvoirs d’intervention à l’égard de la société sans préalablement appeler l’autorité de contrôle de l’Irlande à intervenir.

Cette décision, bien que rendue sous l’empire de la directive 95/46, peut s’inscrire dans la ligne du Règlement général sur la protection des données (« RGPD »). Le RGPD met à la charge de tout Responsable de traitement situé sur le territoire de l’Union Européenne une série d’obligations visant à garantir les droits de l’utilisateur.

Il faut noter que le RGPD n’a pas modifié la définition du responsable de traitement. De ce fait, elle conserve tout son intérêt au regard du nouveau Règlement.

Désormais, tout opérateur susceptible de traiter des données personnelles doit se conformer aux articles 13 et 14 du RGPD qui instaurent une obligation d’information auprès des personnes concernées avant tout traitement de leurs données personnelles. Un tel traitement est subordonné au consentement exprès de la personne. En effet, de telles obligations sont importantes afin d’éviter d’impacter les droits et libertés des personnes physiques (article 35 du RGPD « analyse d’impact relative à la protection des données »)

A rapprocher : Règlement Général sur la Protection des Données personnelles