ARRÊT CJUE du 29 juillet 2019 – Aff. C-40/17 dite « Fashion ID » – L’éditeur du site internet ayant inséré le plugiciel d’un réseau social peut être considéré comme responsable conjoint de la collecte et de transmission des données personnelles des visiteurs de son site à ce réseau social.

Dans cet arrêt[1], qui était très attendu, la Cour de Justice de l’Union Européenne clarifie la question de l’étendue de la responsabilité d’un éditeur de site internet qui insère sur celui-ci des plugiciels de réseaux sociaux.

Qu’est-ce qu’un plugiciel ?

Pour rappel, un plugiciel (« plugin » en anglais) est un programme informatique qui complète un logiciel hôte pour lui apporter de nouvelles fonctionnalités. Il peut, par exemple, être inséré dans le code d’un site internet afin de permettre à celui-ci d’afficher des contenus émanant de tiers.

Comme le rappelle la Cour dans son arrêt, si un éditeur de site internet entend insérer sur celui-ci des contenus externes, il doit placer sur son site un lien vers ledit contenu externe. « Lorsque le navigateur du visiteur dudit site ouvre ce lien, il sollicite le contenu externe et l’insère à l’endroit voulu de l’affichage du site. À cet effet, le navigateur communique au serveur du fournisseur externe l’adresse IP de l’ordinateur dudit visiteur ainsi que les données techniques du navigateur afin que le serveur puisse déterminer le format sous lequel le contenu est délivré à cette adresse. Le navigateur communique en outre des informations sur le contenu souhaité ».

La Cour ajoute que « le gestionnaire d’un site Internet qui propose un contenu externe en l’insérant sur ce site ne peut pas déterminer les données que le navigateur transmet ni ce que le fournisseur externe fait de ces données, en particulier s’il décide de les stocker et de les exploiter. »

Les faits ayant donné lieu à cet arrêt:

Dans cette affaire, il s’agissait d’une entreprise allemande de vente de vêtements en ligne qui avait inséré, sur son site internet, le bouton « j’aime » de Facebook. Le plugiciel permettant d’insérer ce bouton était fourni par Facebook.

Il semblerait, comme le note la Cour, que cette insertion ait eu pour effet de transmettre à Facebook Ireland des données à caractère personnel des visiteurs du site internet de Fashion ID, sans que ceux-ci en soient conscients et indépendamment du fait qu’ils soient membres ou non du réseau social concerné ou qu’ils aient cliqué ou non sur ledit bouton. Et c’est la raison pour laquelle, une association allemande d’utilité publique de défense des intérêts des consommateurs a attaqué en justice cette société. Elle lui reprochait d’avoir transmis ces données à Facebook Ireland sans le consentement des visiteurs du site internet et ce en violation des obligations d’informations prévues dans les dispositions relatives à la protection des données personnelles.

La question qui se posait à la CJUE était notamment de savoir si pouvait être considéré comme ayant déterminé les finalités et les moyens d’un traitement, et donc être considéré comme responsable de traitement, l’éditeur d’un site internet qui ne faisait qu’insérer sur celui-ci un plugiciel fourni par un tiers, sans qu’il ne puisse avoir aucune influence sur les données transmises par le navigateur à ce dernier, ni même la connaissance de l’utilisation qui sera faite par ce tiers de ces données.

Et la Cour a répondu à cette question par l’affirmative.

Les critères utilisés par la CJUE pour son analyse:

Pour répondre à cette question, la Cour a notamment réutilisé un critère posé à l’occasion d’une précédente affaire, et selon lequel le fait d’influer, à des fins qui lui sont propres, sur un traitement de données à caractère personnel, peut être considéré comme une participation à la détermination des finalités et moyens de ce traitement (arrêt CJUE du 10 juillet 2018, Jehovan todistajat, aff. C-25/17 [2]).

En effet, la Cour a considéré sur la base des éléments de faits qui lui avaient été transmis et sous réserve des vérifications que devra faire la juridiction de renvoi à cet égard, que :

  • Fashion ID pourrait être considéré comme ayant influé de manière déterminante sur les deux opérations de traitement en cause, en ayant inséré dans son site internet le bouton « j’aime » de Facebook tout en étant conscient que celui-ci servait d’outil de collecte et de transmission à Facebook des données personnelles des visiteurs de son site, que ceux-ci soient membres ou non du réseau social Facebook. En effet, sans l’installation de ce plugiciel, les deux opérations de traitement concernées n’auraient pas eu lieu.
  • Et, en ce qui concerne la détermination de la finalité, la Cour a considéré que l’insertion de ce bouton pourrait avoir permis à Fashion ID d’optimiser la publicité pour ses produits en les rendant plus visibles sur le réseau social Facebook tout en fournissant des données que Facebook Ireland pouvait utiliser à ses propres fins commerciales, et qu’ainsi il pourrait en être déduit que par l’insertion par Fashion ID de ce plugiciel mis à disposition par Facebook, ces deux sociétés aient recherché leurs intérêts économiques respectifs.

La Cour rappelle aussi, que si une personne ne détermine les finalités et les moyens que pour certaines des opérations constituant les différents stades d’un traitement, l’analyse de l’étendue de la responsabilité d’une personne doit se faire uniquement pour celles de ces opérations dont elle détermine les finalités et les moyens (dans notre cas, il s’agissait de la collecte et du transfert à Facebook Ireland des données et non de l’utilisation qui était faite de ces données par cette dernière).

 La Cour a enfin indiqué que le fait qu’une personne physique ou morale n’ait pas accès aux données personnelles concernées par un traitement n’exclut pas automatiquement, pour cette personne, la qualification de responsable de traitement.

Conclusion

Bien que cet arrêt ait été rendu, concernant cette problématique, sur le fondement de la directive 95/46 (abrogée par le RGPD mais applicable au litige eu égard à la date des faits), la solution qu’il apporte nous semble parfaitement transposable à la caractérisation, sur le fondement du RGPD, d’une responsabilité conjointe en cas d’insertion dans un site internet, par l’éditeur de celui-ci, d’un plugiciel de réseau social, et permet d’affiner encore davantage la grille d’analyse permettant de définir l’étendue de la responsabilité d’une personne à l’égard d’un traitement de données à caractère personnel.

Stéphane Guerre – Avocat au Barreau de Paris

Téléchargez l’article en PDF


[1] https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099fr.pdf

      http://curia.europa.eu/juris/documents.jsf?num=C-40/17

[2] http://curia.europa.eu/juris/liste.jsf?language=fr&num=c-25/17&td=ALL