Le responsable du traitement au RGPD

RGPD et les PME et TPE

Au cœur du RGPD, le responsable du traitement. Tout n’est pas nouveau dans la règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le RGPD .  Certes le RGPD a prévu l’abrogation de la directive 95/46/CE, mais ses définitions et la jurisprudence obtenue sur celle-ci seront encore très utiles à partir du 25 mai 2018. Pour preuve, arrêtons-nous sur les conclusions de l’Avocat Général près de la Cour de justice dans  l’affaire C‑210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH,en présence de Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht. Les conclusions sont ici.

Cette affaire est intéressante à plus d’un titre. Limitons-nous ici à la notion du responsable de traitement telle que l’Avocat Général l’exprime dans ses conclusions  du 24 octobre 2017 sur une question préjudicielle posée par le Bundesverwaltungsgericht.

Très brièvement les faits

L’affaire porte sur un profil Facebook, celui de la Wirtschaftsakademie, structure qui offre des services de formation. Sa page Faccebook permet via l’outil « Facebook Insights » mis gratuitement à sa disposition par Facebook, d’obtenir différentes informations dont des statistiques d’audience qui permettent à la Wirtschaftsakademie de mieux cibler sa communication.. Ces statistiques sont établies à partir de cookie comportant un numéro ID unique, qui, précisent les conclusions, « est actif pendant deux ans, est sauvegardé par Facebook sur le disque dur de la personne ayant consulté la page fan ».

L’ULD, l’organisme du Land de Schleswig-Holstein en charge de la protection des données personnelles demande à la Wirtschaftsakademie de désactiver cette page Facebook au motif « que ni la Wirtschaftsakademie ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait leurs données à caractère personnel à l’aide de cookies et qu’il traitait ensuite ces données ».

De recours de la Wirtschaftsakademie contre cette décision de l’ULD puis en demande d’annulation de celle-ci devant les juridictions allemandes,  l’affaire vient devant le Bundesverwaltungsgericht qui saisit la Cour de Justice de différentes questions préjudicielles.

Posée la question serait y répondre : qui est le « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46, et qui doit supporter l’obligation de modifier cette page fan, la Wirtschaftsakademie ou Facebook ?

  1. Par ses première et deuxième questions préjudicielles, qu’il convient selon nous d’examiner ensemble, la juridiction de renvoi demande, en substance, à la Cour de dire pour droit si l’article 17, paragraphe 2, l’article 24 et l’article 28, paragraphe 3, deuxième tiret, de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent aux autorités de contrôle d’exercer leurs pouvoirs d’intervention à l’encontre d’un organisme qui ne peut pas être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d), de cette même directive, mais qui pourrait malgré tout être tenu responsable en cas d’atteinte aux règles relatives à la protection des données à caractère personnel en raison du choix effectué par cet organisme d’avoir recours à un réseau social tel que Facebook pour diffuser son offre d’informations.
  2. Ces questions reposent sur la prémisse selon laquelle la Wirtschaftsakademie ne constitue pas un « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46. C’est pourquoi cette juridiction souhaite savoir si une mesure d’injonction telle que celle en cause au principal peut être dirigée contre une personne ne répondant pas aux critères fixés par cette disposition.
  3. Nous considérons, cependant, que cette prémisse est erronée. En effet, la Wirtschaftsakademie doit, à notre avis, être considérée comme étant responsable conjointe de la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook.
  4. On entend par « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel »

Le responsable du traitement a un rôle fondamental, une notion fonctionnelle

Le responsable du traitement joue un rôle fondamental dans le cadre du système mis en place par la directive 95/46 et son identification est dès lors essentielle. En effet, cette directive prévoit que le responsable du traitement est débiteur d’un certain nombre d’obligations destinées à assurer la protection des données à caractère personnel . Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google (18). Celle-ci a en effet jugé que le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données en cause satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment leur droit au respect de la vie privée, puisse effectivement être réalisée (19).

Il ressort également de la jurisprudence de la Cour que cette notion doit être définie de manière large afin d’assurer une protection efficace et complète des personnes concernées (20).

Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Comme l’indique le groupe de travail « Article 29 », « [l]a notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle » (21).

Le responsable du traitement, une fonction exercée par plusieurs entités

En tant que concepteurs de ce traitement, c’est bien, à nos yeux, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités.

Plus précisément, Facebook Inc. a mis au point le modèle économique général conduisant à ce que la collecte de données à caractère personnel lors de la consultation de pages fan puis l’exploitation de ces données puissent permettre, d’une part, la diffusion de publicités personnalisées et, d’autre part, l’établissement de statistiques d’audience à destination des administrateurs de ces pages.

En outre, il ressort des pièces du dossier que Facebook Ireland est désignée par Facebook Inc. comme étant chargée du traitement des données à caractère personnel au sein de l’Union. Selon les explications fournies par Facebook Ireland, les modalités de fonctionnement du réseau social peuvent connaître certaines adaptations dans l’Union (22).

Par ailleurs, s’il est constant que toute personne résidant sur le territoire de l’Union et désirant utiliser Facebook est tenue de conclure, lors de son inscription, un contrat avec Facebook Ireland, il convient de relever que, dans le même temps, les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont, en tout ou en partie, transférées vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement (23).

Compte tenu de l’implication de Facebook Inc. et, s’agissant plus particulièrement de l’Union, de Facebook Ireland dans la détermination des finalités et des moyens du traitement de données à caractère personnel en cause au principal, ces deux entités doivent, au vu des éléments dont nous disposons, être considérées comme étant responsables conjointement de ce traitement. Il y a lieu, à cet égard, de relever que l’article 2, sous d), de la directive 95/46 prévoit expressément la possibilité d’une telle responsabilité conjointe. Comme indiqué par la juridiction de renvoi elle-même, il incombera, en dernier lieu, à cette dernière de clarifier les structures décisionnelles et de traitement des données internes au groupe Facebook pour déterminer qui sont le ou les établissements responsables du traitement au sens de l’article 2, sous d), de la directive 95/46 (24).

L’administrateur d’une page fan est aussi responsable de traitement quand il exerce une influence de droit ou de fait sur les finalités et les moyens du traitement 

À la responsabilité conjointe de Facebook Inc. et de Facebook Ireland doit s’ajouter, à notre avis, en ce qui concerne la phase du traitement que constitue la collecte de données à caractère personnel par Facebook (25), celle d’un administrateur d’une page fan tel que la Wirtschaftsakademie.

Un administrateur d’une page fan est, certes, avant tout un utilisateur de Facebook, auquel il fait appel pour bénéficier de ses outils et profiter ainsi d’une meilleure visibilité. Ce constat n’est toutefois pas de nature à exclure qu’il puisse également être considéré comme responsable de la phase du traitement de données à caractère personnel qui fait l’objet du litige au principal, à savoir la collecte de telles données par Facebook.

S’agissant du point de savoir si l’administrateur d’une page fan « détermine » les finalités et les moyens du traitement, il convient de vérifier si cet administrateur exerce une influence de droit ou de fait sur ces finalités et ces moyens. Cet élément de la définition permet de considérer que le responsable du traitement n’est pas celui qui effectue le traitement des données à caractère personnel, mais celui qui en détermine les moyens et les finalités.

En ayant recours à Facebook pour diffuser son offre d’informations, l’administrateur de la page fan adhère au principe de la mise en œuvre d’un traitement des données à caractère personnel des visiteurs de sa page aux fins de l’établissement de statistiques d’audience (26). Même s’il n’est bien entendu pas le concepteur de l’outil « Facebook Insights », cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page.

En effet, d’une part, ce traitement ne pourrait pas intervenir sans la décision préalable de l’administrateur d’une page fan de créer et d’exploiter celle-ci sur le réseau social Facebook. En rendant possible le traitement des données à caractère personnel des utilisateurs de la page fan, le gestionnaire de cette page adhère au système mis en place par Facebook. Il acquiert ainsi une meilleure visibilité sur le profil des utilisateurs de sa page fan et permet, dans le même temps, à Facebook de mieux cibler la publicité diffusée dans le cadre de ce réseau social. En acceptant les moyens et les finalités du traitement des données à caractère personnel, tels qu’ils sont prédéfinis par Facebook, le gestionnaire de la page fan doit être considéré comme participant à leur détermination. Par ailleurs, tout comme l’administrateur d’une page fan exerce ainsi une influence déterminante sur le déclenchement du traitement de données à caractère personnel des personnes qui consultent cette page, il dispose également du pouvoir de faire cesser ce traitement en fermant sa page fan.

D’autre part, bien que les finalités et les modalités de l’outil « Facebook Insights » en tant que tel soient définies de façon générale par Facebook Inc. conjointement avec Facebook Ireland, l’administrateur d’une page fan a la possibilité d’influer sur la mise en œuvre concrète de cet outil en définissant les critères à partir desquels les statistiques d’audience sont établies. Lorsque Facebook invite l’administrateur d’une page fan à créer ou à modifier l’audience de sa page, il lui indique qu’il fera de son mieux pour montrer cette page aux personnes qui comptent le plus pour lui. L’administrateur d’une page fan peut, à l’aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d’affiner le groupe de personnes à destination duquel des informations relatives à son offre commerciale seront diffusées, mais surtout de designer les catégories de personnes qui vont faire l’objet d’une collecte de leurs données à caractère personnel par Facebook. Ainsi, en déterminant l’audience qu’il souhaite toucher, l’administrateur d’une page fan identifie par la même occasion quel public cible est susceptible de faire l’objet d’une collecte puis d’une exploitation de ses données à caractère personnel par Facebook. En plus d’être l’élément déclencheur d’un traitement de telles données lorsqu’il crée une page fan, l’administrateur de cette page joue dès lors un rôle prépondérant dans la mise en œuvre de ce traitement par Facebook. Il prend part, de la sorte, à la détermination des moyens et des finalités dudit traitement en exerçant sur celui-ci une influence de fait.

Nous déduisons de ce qui précède que, dans des circonstances telles que celles du litige au principal, un administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page.

Sont responsables de traitement ceux qui recherchent des finalités étroitement liées

Cette conclusion se trouve renforcée par le constat selon lequel un administrateur d’une page fan tel que la Wirtschaftsakademie, d’une part, et des fournisseurs de services tels que Facebook Inc. et Facebook Ireland, d’autre part, poursuivent chacun des finalités étroitement liées. La Wirtschaftsakademie veut obtenir des statistiques d’audience à des fins de gestion de la promotion de son activité et, pour les obtenir, un traitement de données à caractère personnel est nécessaire. Ce même traitement permettra également à Facebook de mieux cibler la publicité qu’il diffuse à travers son réseau.

Des dispositions contractuelles ne permettent pas d’exclure la qualification de responsable de traitement même si un des opérateurs n’a pas accès aux données

Il convient, dès lors, de rejeter une interprétation qui serait tirée exclusivement des clauses et des conditions du contrat conclu entre la Wirtschaftsakademie et Facebook Ireland. En effet, le partage des tâches indiqué contractuellement ne peut fournir qu’un indice concernant le rôle réel des parties au contrat dans la mise en œuvre d’un traitement de données à caractère personnel. Autrement, ces parties pourraient attribuer artificiellement la responsabilité du traitement à l’une d’elles. Cela vaut d’autant plus dans une situation où les conditions générales sont préparées à l’avance par le réseau social et ne sont pas négociables. Il ne saurait donc être considéré que celui qui peut seulement adhérer ou refuser le contrat ne peut pas être un responsable du traitement. À partir du moment où ce même cocontractant a conclu l’accord librement, il peut toujours être un responsable du traitement au vu de son influence concrète sur les moyens et les finalités de ce traitement.

Ainsi, le fait que le contrat et ses conditions générales soient préparés par un prestataire de services et que l’opérateur qui a recours aux prestations offertes par ce prestataire n’ait pas accès aux données n’exclut pas qu’il puisse être considéré comme un responsable du traitement, dès lors qu’il a librement accepté les clauses contractuelles, assumant de ce fait une totale responsabilité en ce qui concerne ces dernières (27). À l’instar du groupe de travail « Article 29 », il convient également de reconnaître qu’un éventuel déséquilibre du rapport de forces entre le fournisseur et le preneur du service ne fait pas obstacle à ce que ce dernier puisse être qualifié de « responsable du traitement » (28).

Par ailleurs, pour qu’une personne puisse être considérée comme un responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46, il n’est pas nécessaire que cette personne dispose d’un pouvoir de contrôle complet sur tous les aspects du traitement. Comme le gouvernement belge l’a indiqué à juste titre lors de l’audience, un tel contrôle existe de moins en moins en pratique. De plus en plus, les traitements ont une nature complexe, en ce sens qu’il s’agit de plusieurs traitements distincts impliquant plusieurs parties exerçant elles-mêmes différents degrés de contrôle. Par conséquent, l’interprétation privilégiant l’existence d’un pouvoir de contrôle complet sur tous les aspects du traitement est susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel.

Ces conclusions de l’Avocat Général distinguent la présente affaire de précédentes décisions rendues par la Cour de justice

Les faits à l’origine de l’arrêt du 13 mai 2014, Google Spain et Google (29), en constituent une illustration. En effet, dans cette affaire, il était question d’une situation impliquant des fournisseurs d’informations en cascade, dans laquelle différentes parties exerçaient chacune une influence distincte sur le traitement. Dans cette affaire, la Cour a refusé d’interpréter de façon restrictive la notion de « responsable du traitement ». Elle a considéré que l’exploitant du moteur de recherche devait, « en tant que personne déterminant les finalités et les moyens de [son] activité[,] assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 » (30). La Cour a, par ailleurs, évoqué la possibilité d’une responsabilité conjointe de l’exploitant du moteur de recherche et des éditeurs de sites web (31).

À l’instar du gouvernement belge, nous estimons que l’interprétation large de la notion de « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46, qui doit, selon nous, prévaloir dans le cadre de la présente affaire, est de nature à éviter les abus. En effet, il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel. En d’autres termes, il ne faut pas, selon nous, faire de distinction entre l’entreprise qui dote son site Internet d’outils analogues à ceux proposés par Facebook et celle qui adhère au réseau social Facebook pour profiter des outils offerts par ce dernier. Il convient ainsi de garantir que les opérateurs économiques qui ont recours à un service d’hébergement de leur page Internet ne puissent pas se soustraire à leur responsabilité en se soumettant aux conditions générales d’un prestataire de services. En outre, comme ce même gouvernement l’a indiqué lors de l’audience, il n’est pas déraisonnable d’attendre des entreprises qu’elles soient diligentes au moment de choisir leur fournisseur de services.

Nous sommes donc d’avis que le fait pour un administrateur d’une page fan d’utiliser la plateforme offerte par Facebook et de bénéficier des services y afférents ne l’exonère pas de ses obligations en matière de protection des données à caractère personnel. Nous observons, à cet égard, que, si la Wirtschaftsakademie avait ouvert un site Internet en dehors de Facebook en mettant en œuvre un outil analogue à « Facebook Insights » pour établir des statistiques d’audience, elle serait considérée comme le responsable du traitement qui est nécessaire en vue d’établir de telles statistiques. À notre avis, un tel opérateur économique ne devrait pas être dispensé de respecter les règles de protection des données à caractère personnel issues de la directive 95/46 au seul motif qu’il utilise la plateforme de réseau social Facebook pour promouvoir ses activités. Comme l’indique à juste titre la juridiction de renvoi elle-même, un fournisseur d’informations ne doit pas pouvoir s’exonérer, par le choix d’un fournisseur d’infrastructures déterminé, des obligations que lui impose le droit applicable à la protection des données à l’égard des utilisateurs de son offre d’informations, et qu’il aurait à remplir s’il s’agissait d’un simple fournisseur de contenu (32). Une interprétation contraire créerait un risque de contournement des règles relatives à la protection des données à caractère personnel.

Il convient également, à notre avis, de ne pas créer de distinction artificielle entre la situation en cause dans le cadre de la présente affaire et celle en cause dans le cadre de l’affaire C-40/17, Fashion ID (33).

Cette dernière affaire concerne la situation dans laquelle le gestionnaire d’un site web insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook), qui entraîne une transmission de données à caractère personnel de l’ordinateur de l’utilisateur du site web au fournisseur externe.

Dans le cadre du litige ayant donné lieu à cette affaire, une association de protection des consommateurs reproche à la société Fashion ID d’avoir, en insérant dans son site web le module « j’aime » fourni par le réseau social Facebook, permis à ce dernier d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel. Se pose alors le problème de savoir si, étant donné que Fashion ID permet à Facebook d’accéder aux données à caractère personnel des utilisateurs de son site Internet, cette société peut ou non être qualifiée de « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46.

Nous n’identifions pas, à cet égard, de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking.

Les plugins sociaux permettent aux exploitants de sites web d’utiliser certains services de réseaux sociaux sur leurs propres sites web afin d’accroître la visibilité de ces derniers, par exemple en intégrant à leur site le bouton « j’aime » de Facebook. Comme les administrateurs de pages fan, les exploitants de sites web intégrant des plugins sociaux peuvent bénéficier du service « Facebook Insights » afin d’obtenir des informations statistiques précises sur les utilisateurs de leur site.

À l’instar de ce qui se produit en cas de consultation d’une page fan, la consultation d’un site web contenant un plugin social va déclencher une transmission de données à caractère personnel vers le fournisseur concerné.

À notre avis, dans un tel contexte et comme l’administrateur d’une page fan, un gestionnaire de site web contenant un plugin social, dans la mesure où il exerce une influence de fait sur la phase du traitement relative à la transmission de données à caractère personnel à Facebook, devrait être qualifié de « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 (34).

Nous ajoutons que, comme l’indique à juste titre le gouvernement belge, le constat selon lequel la Wirtschaftsakademie agit comme un responsable conjoint du traitement lorsqu’elle décide de recourir aux services de Facebook pour son offre d’informations n’enlève rien aux obligations qui pèsent sur Facebook Inc. et sur Facebook Ireland en leur qualité de responsables du traitement. Il est clair, en effet, que ces deux entités exercent une influence déterminante sur les finalités et les moyens du traitement de données à caractère personnel qui intervient dans le cadre de la consultation d’une page fan et qu’elles utilisent également pour leurs propres finalités et intérêts.

Cependant, la reconnaissance d’une responsabilité conjointe des administrateurs de pages fan pour la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook contribue à assurer une protection plus complète des droits dont disposent les personnes qui consultent ce type de pages. Par ailleurs, le fait d’associer de façon active les administrateurs de pages fan au respect des règles de protection des données à caractère personnel en les désignant comme responsables du traitement est de nature, par un effet induit, à inciter la plateforme de réseau social elle-même à se mettre en conformité avec de telles règles.

Il convient également de préciser que l’existence d’une responsabilité conjointe ne signifie pas une responsabilité sur un pied d’égalité. Au contraire, les différents responsables du traitement peuvent être impliqués dans un traitement de données à caractère personnel à différents stades et à différents degrés (35).

Selon le groupe de travail « Article 29 », « [l]a possibilité d’une responsabilité pluraliste tient compte du nombre croissant de situations dans lesquelles différentes parties agissent en tant que responsables du traitement. L’évaluation de cette coresponsabilité doit être calquée sur celle de la responsabilité “unique”, en adoptant une approche concrète et pratique, pour établir si les finalités et les éléments essentiels des moyens sont déterminés par plus d’une partie. La participation des parties à la détermination des finalités et des moyens de traitement dans le cadre d’une coresponsabilité peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale » (36). En effet, « lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci). Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données » (37).

Il découle de ce qui précède que, selon nous, l’administrateur d’une page fan sur le réseau social Facebook doit être considéré comme étant, aux côtés de Facebook Inc. et de Facebook Ireland, responsable du traitement des données à caractère personnel qui est effectué en vue de l’établissement de statistiques d’audience relatives à cette page.