Arrêt C-210/16 du 5 juin 2018 Wirtschaftsakademie - L’arrêt « Facebook » qui tombe à pic
Quelques jours seulement après l’entrée en application du Règlement Général sur la Protection des Données, accompagné de son lot de courriels – voire même pourriels – et de son buzz médiatique, la CJUE s'est prononcée.
Cette affaire opposait la Wirtschaftsakademie du Land de Schleswig-Holstein à l’Autorité de protection des données régionale – « ULD », en présence de … Facebook Ireland Ltd.
Avant toute chose, précisons qu’il ne s’agit évidemment pas du premier arrêt rendu concernant le fameux RGPD ; il s’agit bien ici d’interpréter la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, l’ancêtre dudit Règlement !
Le litige au principal opposait l’ULD à la Wirtschaftsakademie, société de droit privée spécialisée dans le domaine de l’éducation au sujet de la légalité d’une injonction faite par l’autorité à cette dernière de désactiver sa « page » hébergée sur le site du réseau social Facebook.
En effet, selon l’autorité, ni la Wirtschaftsakademie, ni Facebook n’informaient les visiteurs de la page que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant, celles-ci étant traitées, notamment à travers l’application Facebook Insight, laquelle permet aux administrateurs des pages d’obtenir des informations statistiques sur leurs visiteurs.
Suite au litige national, la Cour administrative fédérale a adressé six questions préjudicielles à la Cour. Celle-ci n’a pas manqué de les regrouper afin, en définitive, d’en tirer trois enseignements particulièrement instructifs.
Premièrement, il apparaît que la notion de « responsable de traitement » - qui n’a pas connu d’évolution entre l’ancienne directive et le nouveau règlement - doit être interprétée en ce sens qu’elle englobe égalementl’administrateur – en l’occurrence la la Wirtschaftsakademie - d’une page fan hébergée sur un réseau social tel que Facebook. Faut-il en déduire que leurs responsabilités, conjointes, sont équivalentes ? Ce n’est ni ce que soutient l’Avocat général – voir les points 75 et 76 de ses conclusions – ni ce que soutient la Cour – voir le point 43 de l’arrêt ; le niveau de responsabilité de chacun doit être évalué en tenant compte de toutes les circonstances de l’espèce.
Deuxièmement, indépendamment de la répartition des missions au sein d’un même groupe commercial – Facebook, par exemple -, l’autorité de contrôle d’un Etat membre est habilitée à exercer ses pouvoirs d’intervention, et notamment d’interdiction de traitement, et ce même si la division du groupe installée sur son territoire n’est pas responsable de la politique de traitement de données au sein du groupe.
Troisièmement, la Cour tire de ce dernier enseignement que l’autorité de contrôle de l’Etat membre concerné peut exercer ses pouvoirs d’intervention sans même appeler l’autorité de contrôle de l’Etat membre dans lequel l’établissement principal de l’entité commerciale – l’Irlande, dans le cas de Facebook – à intervenir.
Que faut-il retenir de cet arrêt ? Il semble qu’il faut y voir la volonté de la Cour d’agir en garde-fou puisque, comme le souligne l’Avocat général, il s’agit d’éviter qu’une entreprise puisse conclure un contrat avec un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ». Et que chaque autorité de contrôle puisse agir si cela dérape ; reste à leur fournir les ressources nécessaires pour agir ...
Expertises liées: Vie privée et données personnelles