CJUE, 2ème ch., 29 juillet 2019, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV, Facebook Ireland Ltd et autre
Intégrer un bouton « j’aime » du réseau social Facebook sur son site internet entraîne la qualification de responsable conjoint de traitement de l’administrateur du site internet aux côtés de Facebook.
Fashion ID est une entreprise de vente de vêtements de mode en ligne qui a inséré sur son site Internet le module social « j’aime » du réseau social Facebook.
En raison de la présence de ce module, lorsqu’un internaute navigue sur le site internet de Fashion ID, des données à caractère personnel le concernant sont transmises à Facebook Ireland et ce, même si l’internaute n’est pas membre du réseau social.
Les données de cet internaute sont également transmises à Facebook même s’il n’a pas cliqué sur le bouton « j’aime ».
Une association d’utilité publique de défense des intérêts des consommateurs – la Verbraucherzentrale NRW – reproche à Fashion ID d’avoir transmis à Facebook Ireland les données à caractère personnel des visiteurs de son site internet sans le consentement de ces derniers et en violation des obligations d’information prévues par la réglementation applicable en matière de protection des données personnelles.
L’association a alors intenté une action en cessation contre Fashion ID devant le tribunal régional de Düsseldorf, afin que la société mette fin à cette pratique.
Le tribunal allemand ayant partiellement fait droit aux demandes de l’association, Fashion ID a interjeté appel de la décision en soutenant notamment que le tribunal régional de Düsseldorf l’avait à tort jugé responsable du traitement issu du module social.
Fashion ID a notamment soutenu qu’en intégrant le bouton « j’aime » de Facebook, elle ne décide ni des données qui peuvent être collectées ni de la transmission de celles-ci à Facebook.
La juridiction de renvoi s’est alors interrogée sur la qualification de Fashion ID et son niveau de responsabilité, sur le fait de savoir si le traitement des données à caractère personnel en cause est licite et si les obligations d’information des personnes concernées pèsent sur Fashion ID ou sur Facebook Ireland.
Cette dernière question revêt un caractère particulièrement important dans la mesure où si une insertion de contenus externes sur un site internet donne lieu à un traitement de données, l’étendue et la finalité de ce traitement sont néanmoins inconnues de celui qui réalise cette insertion.
Dès lors, celui-ci n’est pas en mesure de fournir l’information à laquelle il est tenu.
Ainsi, la juridiction de renvoi considère que faire peser sur le gestionnaire d’un site internet l’obligation d’informer la personne concernée, alors que lui-même ne dispose pas de cette information, conduirait en pratique à interdire l’insertion de contenus externes.
Dans ces conditions, la juridiction de renvoi a décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union Européenne plusieurs questions préjudicielles et notamment les deux questions suivantes :
- « Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un code programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel, celui qui fait l’insertion est-il « responsable du traitement », au sens de l’article 2, sous d), de la directive [95/46], lorsqu’il ne peut avoir lui-même aucune influence sur ce processus de traitement des données ? »
- « L’obligation d’informer la personne concernée en vertu de l’article 10 de la directive [95/46] dans une situation telle que celle qui se présente en l’espèce pèse-t-elle également sur le gestionnaire du site qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des données à caractère personnel fait par un tiers ? »
Pour répondre à ces questions, la Cour a rappelé que la notion de « responsable du traitement » vise l’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Dès lors, cette notion implique qu’il est possible que plusieurs acteurs participent au même traitement.
La Cour a, par ailleurs, considéré qu’une personne physique ou morale qui exerce une influence sur le traitement de données à caractère personnel, participe de ce fait à la détermination des finalités et des moyens de ce traitement et peut donc être considérée comme responsable du traitement.
En poursuivant son analyse, la Cour a considéré que Fashion ID a offert la possibilité au réseau social de détenir des données personnelles des visiteurs de son site internet en insérant le bouton « j’aime » puisque l’insertion de ce bouton déclenche la transmission automatique des données concernant les internautes dès l’instant où ces derniers se rendent sur le site internet de Fashion ID.
En effet, Fashion ID a inséré sur son site internet le bouton « j’aime » de Facebook tout en étant consciente que ce module social sert d’outil de collecte et de transmission de données à caractère personnel des visiteurs de son site, que ceux-ci soient membres ou non du réseau social Facebook et même si les visiteurs ne cliquent pas sur ce bouton.
En conséquence, en insérant le bouton « j’aime » sur son site internet, Fashion ID exerce une influence déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs au profit de Facebook Ireland.
En outre, la Cour précise que la circonstance que Fashion ID n’a pas accès aux données personnelles collectées et transmises Facebook ne fait pas obstacle à la qualité de responsable du traitement.
En conséquence, compte tenu de ces éléments, la Cour a considéré que « le gestionnaire d’un site Internet, tel que Fashion ID, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement […] ; Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause ».
S’agissant des obligations d’information, la Cour a considéré que lorsque le gestionnaire d’un site Internet insère sur son site un tel module social, les obligations en matière de recueil de consentement et d’information pèsent sur le gestionnaire du site en ce qui concerne les seules opérations de traitement des données dont ce dernier détermine les finalités et les moyens de traitement.
A rapprocher : Articles 4, 5, 12, 25 et 26 du RGPD
1736 vues 
