RGPD et Facebook : être « fan », c’est être responsable ?

Publié le 22-06-2018 9:43

Une société gère sa page Facebook et en est l’administratrice. Par le biais de cette page, elle collecte des données sur les internautes qui « likent » sa page Facebook. Cette collecte de données implique-t-elle qu’elle soit tenue des obligations applicables aux responsables de traitement, dans le cadre du règlement général sur la protection des données (RGPD) ?

Données personnelles : sur Facebook, seul Facebook est responsable ?

Une page « fan » est un compte d’utilisateur qui peut être configuré sur Facebook par des particuliers ou des entreprises. Les administrateurs d’une page « fan » peuvent obtenir des données statistiques anonymes concernant les visiteurs de la page à l’aide d’une fonction « Facebook Insight », mise gratuitement à leur disposition par Facebook, selon des conditions d’utilisation précises non modifiables.

Ces données sont collectées grâce à des fichiers témoins (appelés « cookies ») comportant chacun un code utilisateur unique, actifs pendant 2 ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page « fan ».

Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté puis traité au moment de l’ouverture de la page « fan ».

Quand une société, administratrice d’une page « fan » sur Facebook, collecte des données via cette page, est-elle co-responsable du traitement des données, ou inversement, Facebook est-il seul tenu par les obligations du responsable du traitement ?

C’est à cette question qu’a dû répondre la justice, dans un litige opposant une société allemande à l’autorité régionale de protection des données (équivalente à la Cnil en France). Et la réponse est la suivante.

Une société est co-responsable de traitement, avec Facebook, dès lors qu’en tant qu’administratrice de la page « fan », elle peut :

  • obtenir des statistiques établies par Facebook à partir des visites de cette page à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page « fan » ;
  • par la création d’une telle page, placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page « fan », que cette personne dispose ou non d’un compte Facebook ;
  • posséder une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page « fan ».

Source : Arrêt de la Cour de justice de l’Union Européenne, du 5 juin 2018, n° C-210/16

RGPD et Facebook : être « fan », c’est être responsable ? © Copyright WebLex – 2018