Gérance du bouton Like Facebook : responsabilité du réseau et du site tiers engagée

like facebook

Like Facebook : le réseau social est sur le devant de la scène

Grâce au PDG du célèbre réseau social, Mark Zuckerberg, Facebook ne cesse de faire parler de lui. En effet, il a annoncé de nouvelles fonctionnalités pour le réseau, en vue d’agrandir sa place sur le marché. On peut citer principalement :

  • La cryptomonnaie Libra qui sera bientôt lancée ;
  • Une nouvelle fonctionnalité destinée à la gérance des données personnelles hors de Facebook. Cette dernière est encore en phase de test, mais dans tous les cas, elle nécessitera l’intervention d’un dpo rgpd pour garantir la conformité.

Il n’y a pas si longtemps, deux scandales ont éclaté. Le premier concernait le fait que Facebook écoutait les conversations des utilisateurs à travers les microphones de leur smartphone. Le second se référait à Cambridge Analytics, qui a condamné Facebook à une lourde amende de 5 milliards USD.

Le bouton « Like Facebook » sur un site de vente et la responsabilité partagée

C’est un nouveau débat intéressant. Il touche indirectement le réseau social Facebook, qui fait la une des journaux spécialisés. L’affaire vise à identifier le responsable de traitement quand le bouton « Like » de Facebook est présent. Les juges de la Cour de Justice de l’Union Européenne seront chargés de l’interprétation.

Cette Cour s’inscrit dans la démarche de sécurité des données des personnes concernées énoncée par le Règlement Général sur la Protection des Données, même si elle a pour vocation de se prononcer sous le régime l’ancien droit. En effet, la mise en foncormité rgpd doit toujours être assurée en tout temps. Elle le stipule d’ailleurs dans l’arrêté ci-dessous.

Arrêté du 29 juillet 2019 par la Cour de Justice de l’Union Européenne, 2è chambre

L’objectif de l’affaire est d’identifier le responsable de traitement des données lorsque le bouton Like de Facebook est présente sur un site et qui se charge de la collecte des données sur un site e-commerce. De ce fait :

Le responsable de traitement

C’est la personne physique chargée de déterminer les moyens et les finalités du traitement des données personnelles.

Le responsable conjoint

Il joue un rôle dans le travail assigné au responsable de traitement si celui-ci collabore avec le responsable pour identifier ensemble les finalités du traitement de données.

Le sous-traitant

Il travaille suivant les instructions du responsable de traitement des données à caractère personnel et uniquement pour le compte de ce dernier.

Il faut noter que plusieurs sites internet se servent de ce bouton sur leur page, c’est pourquoi la décision était inattendue.

En 2016, une entité allemande de consommateurs s’est plainte aux tribunaux commerciaux contre un site d’e-commerce, le Fashion ID. En effet, ce dernier utilisait le bouton « Like » de Facebook sur son site pour amener les utilisateurs à liker directement la page Facebook du site lui-même.

Ce bouton Like impliquerait l’envoi de données à Facebook sans le consentement de la personne concernée. De ce fait, la protection des données est compromise.

Le consentement

Il admet la compréhension du traitement, le choix de l’accepter ou non et la liberté de le refuser plus tard. La plainte énonçait aussi que les personnes concernées n’étaient pas informées de l’engagement de deux responsables de traitement, qui sont Fashion ID et Facebook.

Les tribunaux allemands se sont alors basés sur les articles 256 et 267 du TFUE. Ils se sont servis du mécanisme de la question préjudicielle et ont demandé à la Cour d’interpréter les articles 2, 7, 10, 22 et 24 de la directive 95/46/CE du Conseil du 24 octobre 1995 et du Parlement Européen en rapport avec la sécurisation des personnes, conformément au traitement et à la portabilité des données. Cela permet de connaître l’identité des responsables de traitement quand le bouton « Like » Facebook est apparent sur un site.

A l’issue de la procédure, il a été conclu que Fashion ID a permis à Facebook de collecter les données des utilisateurs sans leur consentement, en incluant ce bouton Like sur leur page. De plus, ils n’ont pas été mis au courant de cette possible collecte de données.

L’allégation du principe de la responsabilité partagée

La responsabilité partagée de traitement des données à caractère personnel est la suite logique des recommandations du G29, qui est aujourd’hui devenu le CEPD. Selon les juges de l’Union, la responsabilité de Fashion ID était bien engagée en ce qui concerne le transfert de données à Facebook. De ce fait, le site se doit de respecter les principes et obligations de collecte de données des utilisateurs.

En revanche, la responsabilité sera partagée : entre Fashion ID qui propose le bouton « Like » et Facebook qui s’occupe du traitement de données collectées. Il convient donc de préciser que selon la CJUE, seul Facebook sera tenu responsable du traitement des données une fois qu’elles leur seront transmises.

De ce fait, Fashion ID devait obtenir clairement le consentement des utilisateurs sur cette collecte des données et les informer sur un possible traitement par Facebook par la suite.

L’importance du consentement libre et éclairé

L’affaire repose sur ce consentement. Il est question de savoir ce que le site pourra demander aux internautes, de manière grossière : pourquoi un consentement ?

La Cour répond que dès que l’utilisateur visite le site, ce dernier devrait l’informer de la collecte de données pour son compte et pour le compte de Facebook, à travers le bouton « Like ». La demande de consentement doit donc émaner de Fashion ID. Et pour garantir une liberté totale, le site doit donner à l’utilisateur la possibilité de refuser cette collecte de données.

Les conditions applicables au consentement sont énoncées dans les articles 4 et 7 du RGPD. Selon la CNIL, l’autorité de contrôle française, le consentement des personnes concernées doit être libre, spécifié, univoque et clair.

L’effet de la décision doit être précis. Tous les sites qui disposent d’un bouton Like ne seront pas en tort. En effet, selon la Cour, Fashion ID n’utilise ce bouton qu’à des fins commerciales. Les autres sites qui l’utilisent pour servir d’autres objectifs pourront donc le conserver sans problèmes, mais à condition d’avoir une autre base légale que le consentement. Toutefois, les mentions d’informations énoncées par l’article 13 du RGPD restent obligatoires.

Le plus intéressant est de comprendre les conséquences de cette décision, notamment la réaction de la CNIL, qui dispose du droit de contrôler la conformité des responsables de traitement à tout moment et sans devoir les en informer au préalable.