Responsabilité du gestionnaire d’un site internet ayant incorporé un module social

CJUE, 29 juillet 2019, Fashion ID GmbH & Co. KG c. Verbraucherzentrale NRW eV, C-40/17.

Saisie par les juridictions allemandes d’une question préjudicielle relative au point de savoir dans quelle mesure le gestionnaire d’un site inter­net, Fashion ID (entreprise de vente de vêtements de mode en ligne), ayant incorporé une fonctionnalité dite module social (du type « j’aime » du réseau social Facebook) permettant la communication, sans en avoir informé les intéressés et obtenu leur consentement, des données personnelles des utilisateurs (adresse IP de l’ordinateur du visiteur, informations sur le contenu souhaité…), et alors qu’il n’a aucune influence sur le traitement des données transmises au fournisseur du module, la Cour de justice de l’Union européenne (CJUE), fondant sa décision sur la directive 95/46/CE, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (en vigueur à l’époque des faits de l’espèce, et aujourd’hui remplacée par le règlement (UE) n° 2016/679 ayant le même objet), détermine notamment les conditions de la responsabilité du gestionnaire et l’étendue de sa responsabilité.

Conditions de la responsabilité

Se référant à « l’objectif poursuivi par la directive 95/46, de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel », l’arrêt mentionne que son article 2, « définit de manière large la notion de “responsable du traitement” comme visant la personne physique ou morale […] le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ». Il ajoute que la Cour a précédemment posé « qu’une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe, de ce fait, à la détermination des finalités et des moyens de ce traitement peut être considérée comme [en] étant responsable ». En sens inverse, cette personne « ne saurait être considérée comme étant responsable […] des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens ».

En cette affaire, il est relevé que le gestionnaire « semble avoir inséré, sur son site Internet, le bouton “j’aime” de Facebook, mis à la disposition des gestionnaires de sites Internet par Facebook Ireland, tout en étant conscient que celui-ci sert d’outil de collecte et de transmission de données à caractère personnel des visiteurs de ce site », et qu’ « en insérant un tel module social sur son site », le gestionnaire « influe […] de manière déterminante sur la collecte et la transmission de données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module […] qui, en l’absence de l’insertion dudit module, n’auraient pas lieu ».

La Cour en conclut que le gestionnaire du site peut être considéré « comme étant responsable […] conjointement avec Facebook Ireland, des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs de son site Internet ». Le gestionnaire du site étant ainsi susceptible d’être tenu pour responsable, il convient encore de déterminer l’étendue de sa responsabilité.

Étendue de la responsabilité

Posant, comme précédemment indiqué, que « si le gestionnaire d’un site Internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel dudit visiteur peut être considéré comme étant responsable, conjointement avec ce fournisseur, des opérations de collecte et de communication par transmission des données à caractère personnel de ce visiteur », l’arrêt retient que « son obligation de recueillir le consentement de la personne concernée […] ainsi que son obligation d’information […] concernent ces seules opérations. En revanche, ces obligations ne s’étendent pas aux opérations de traitement des données à caractère personnel visant les autres stades, antérieurs ou postérieurs auxdites opérations ».

L’arrêt ajoute que, dans un cas comme celui de l’espèce, l’obligation d’obtenir le consentement des utilisateurs pèse sur le gestionnaire du site « uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens ».

De cela, la Cour de justice conclut que « le gestionnaire d’un site Internet », tel que celui en cause en l’espèce, « qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet, à ce fournisseur, des données à caractère personnel du visiteur, peut être considéré comme responsable du traitement », mais que « cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens ».

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here