Par un arrêt rendu le 5 juin 2018, la Cour de Justice de l’Union européenne a considéré que l’administrateur d’une page fan Facebook devait être qualifié de responsable conjoint de traitement en raison de sa faculté de définir les paramètres de gestion des cookies.

Le litige soumis à la Cour opposait l’autorité régionale indépendante de protection des données du Schleswig-Holstein (Allemagne) à la société allemande Wirtschaftsakademie Schleswig-Holstein GmbH. Cette société, spécialisée dans le domaine de l’éducation, utilisait Facebook et en particulier sa page « fan » Facebook, afin de promouvoir ses activités.

L’administrateur de la page « fan » pouvait obtenir des statistiques anonymes sur les visiteurs de ces pages, grâce à une fonctionnalité gratuite « Facebook Insight », soumise à des conditions générales Facebook non-modifiables ; « Facebook Insight » fonctionnant grâce à des cookies utilisant des codes utilisateur uniques actifs.

Cette fonctionnalité permettait à l’administrateur d’obtenir en particulier des statistiques anonymisées très précises concernant son audience cible visitant sa page « fan » Facebook.  Ces statistiques pouvaient présenter les grandes tendances de l’audience cible notamment en matière d’âge, genre, situation amoureuse, profession, localisation géographique, style de vie, centres d’intérêt, et comportement d’achat. Ces informations permettaient ainsi à l’administrateur de la page « fan » de mieux cibler la promotion des activités de la société allemande.

L’autorité régionale indépendante allemande de protection des données du Schleswig-Holstein avait demandé à la société allemande de désactiver sa page « fan » Facebook, car ni la société, ni Facebook n’avait informé le visiteur de la page « fan », du traitement de ses données personnelles effectué à l’aide des cookies à des fins statistiques.

Les faits, antérieurs au RGPD, étaient soumis à la directive 95/46 relative à la protection des données personnelles et soulevaient plusieurs questions d’interprétations.

La question la plus intéressante consistait à déterminer le rôle de la société allemande, au regard des articles 2 d), 17 §2, 24 et 28 §3 2° de la directive 95/46 ; en particulier il s’agissait de déterminer si cette société devait être qualifiée de responsable de traitement.

La Cour a considéré que la société en cause devait être qualifiée de responsable conjointe (avec Facebook) du traitement.

Pour se déterminer en ce sens, la Cour a relevé que l’administrateur de la page « fan » participait à travers ses choix en matière de paramétrage à la définition des finalités et des moyens du traitement. Ce paramétrage pouvait s’effectuer à partir de filtres qui permettaient de définir les critères sur lesquels devaient se baser les statistiques produits par Facebook. Ces critères prenaient en compte l’audience cible et les objectifs de gestion ou de promotion des activités de la société allemande. Il en résultait que l’administrateur pouvait à travers ce paramétrage, demander à Facebook d’obtenir des statistiques très précises sur le profil et le comportement d’achat de son audience cible. En ce sens, l’administrateur de la page « fan » contribuait indiscutablement au traitement, et devait être qualifié de responsable conjoint de traitement.

Cette décision européenne illustre à quel point le paramétrage est un élément déterminant, qu’il convient de prendre en compte pour toute question relative à la qualification d’un acteur de responsable ou responsable conjoint de traitement.

Références : CJUE, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein c. Wirtschaftsakademie Schleswig-Holstein GmbH, aff. C-210/16