Dans un arrêt du 29 juillet 2019, la Cour de Justice de l’Union Européenne est, à nouveau, venue au secours du RGPD, le règlement (UE) 2016/679, et a apporté des éclaircissements utiles sur la notion phare de « responsabilité conjointe ».
Pour la CJUE, l’éditeur du site internet, Fashion ID, est responsable conjoint avec Facebook du traitement de données personnelles engendré par l’ajout du bouton « j’aime ». En pratique, le simple ajout de ce bouton permet la collecte par Facebook de données personnelles concernant les internautes visitant le site internet Fashion ID, quand bien même ces internautes ne cliquent pas sur le bouton, ni ne sont membres du réseau social en question.
La notion de responsabilité conjointe y est interprétée largement car :
- La responsabilité de l’éditeur du site internet découle notamment du fait qu’il permet à Facebook de collecter des données personnelles de personnes non-membres de son réseau social et n’ayant aucune interaction avec celui-ci ;
- Le fait que l’éditeur du site internet n’ait pas accès aux données personnelles en cause ne fait pas obstacle à cette qualification.
Cette interprétation n’est pas surprenante et fait suite à un précédent arrêt qui avait considéré que l’administrateur d’une page Facebook était responsable conjoint avec Facebook du traitement des données personnelles des visiteurs de sa page.
Les juges européens apportent cependant une précision utile concernant la délimitation de cette responsabilité conjointe :
- L’éditeur du site internet n’est responsable conjoint que de la collecte et de la transmission des données personnelles à Facebook ;
- En revanche, il n’est pas responsable des traitements opérés par la suite par Facebook sur les données personnelles ainsi collectées.
En conclusion, l’affaire Fashion ID s’inscrit dans un mouvement visant à assurer aux internautes et aux consommateurs une plus grande protection de leurs données personnelles par la responsabilisation de tous les acteurs.