5 Août 2019
Les réseaux sociaux mettent à la disposition des éditeurs de sites internet des modules sociaux (social plug-ins) qui leur permettent d’interagir avec les internautes. Toutefois, l’utilisation de ce bouton n’est pas sans conséquences et pourrait désormais être fortement sanctionnée sur le fondement de la réglementation relative aux données à caractère personnel.
***
Facebook a développé plusieurs modules dont le plus connu est le bouton « J’aime ». Ce bouton permet de relayer sur Facebook le contenu proposé par l’éditeur d’un site internet en le faisant apparaître sur le fil d’actualités du cercle d’amis Facebook de l’internaute qui clique sur ce bouton.
Ce faisant, l’éditeur du site internet bénéficie d’une publicité intensive et gratuite puisqu’il va pouvoir toucher un public large grâce à la seule action de l’internaute. C’est pourquoi la plupart des éditeurs intègrent ce bouton sur leurs sites.
Cependant, en implantant ce bouton « J’aime » sur son site internet, l’éditeur dépose sur le terminal de l’internaute, qu’il ait un compte Facebook ou non, des cookies. Ces cookies permettent de collecter des données concernant l’internaute et de les transmettre à Facebook, ce qui constitue un traitement de données à caractère personnel.
Or, selon la Cour de Justice de l’Union Européenne, l’éditeur détermine, conjointement avec Facebook, les moyens et les finalités de ce traitement.
Le moyen utilisé pour réaliser le traitement correspond au bouton « J’aime » de Facebook. Ce bouton « J’aime » a été conçu et est fourni par Facebook aux éditeurs de site internet. Toutefois, ce sont ces derniers qui décident de l’insérer sur leur site. Ainsi, ils influent de manière déterminante sur le traitement de données, qui n’aurait pas lieu sans l’insertion de ce bouton, de telle sorte que la Cour considère que Facebook et les éditeurs de site déterminent conjointement les moyens du traitement.
La Cour considère également que les finalités du traitement sont déterminées conjointement par Facebook et les éditeurs de site internet. Tandis que les éditeurs bénéficient d’un avantage commercial qui leur permette d’être plus visibles sur le réseau social Facebook lorsqu’un internaute clique sur le bouton « J’aime », Facebook, de son côté, récupère les données et peut en disposer pour poursuivre ses propres fins commerciales.
Forte de ce constat, la Cour considère que l’éditeur de site internet est responsable conjointement avec Facebook du traitement des données des internautes (CJUE, 29 juillet 2019, affaires C-40/17).
Cette qualification entraîne des obligations conséquentes auxquelles devront désormais se conformer les éditeurs de sites internet.
A cet égard, il conviendra en particulier que l’éditeur recueille expressément le consentement des internautes à la collecte et à la transmission de leurs données, sauf à démontrer que le traitement de données est nécessaire aux fins de ses intérêts légitimes et de ceux de Facebook.
Par ailleurs, l’éditeur devra également communiquer aux personnes concernées l’ensemble des informations relatives au traitement en indiquant notamment que les données seront transmises à Facebook.
Ces formalités devront être accomplies préalablement à la collecte des données.
A défaut, les éditeurs de site internet s’exposeront à une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires.
Si cet arrêt a été rendu en considération du bouton « J’aime » de Facebook, le même raisonnement devra être transposé à tous les modules sociaux fonctionnant selon le même mécanisme.